每周网安资讯 （6.24-6.30）| 黑客利用开源工具针对非洲金融机构发起攻击

1、AndroxGh0st僵尸网络劫持美国高校子域名

CloudSEK的研究人员近期发现，AndroxGh0st僵尸网络团伙入侵了美国一所大学的子域名，并将其用作命令与控制（C2）基础设施的记录器（Logger）。攻击者瞄准了美国加利福尼亚大学圣迭戈分校的子域名，似乎是美国男子篮球U19国家队的“USArhythms”门户网站，用来部署其指挥与控制（C2）日志监控面板。

2、黑客利用开源工具针对非洲金融机构发起攻击

Unit 42的研究人员发现针对非洲多家金融机构的新型恶意活动，该活动被追踪为CL-CRI-1014，至少自2023年7月以来一直活跃。攻击者使用开源工具组合，包括 PoshC2、Chisel、Classroom Spy等搭建渗透框架，利用伪造签名伪装成合法软件，同时创建隧道并进行远程管理。

3、新型间谍软件SparkKitty通过官方应用商店针对iOS和Android设备

卡巴斯基安全实验室发布的报告显示，攻击者发起了针对iOS和Android设备用户的网络间谍活动，疑似与SparkCat间谍软件攻击活动相关，新的攻击活动分发SparkKitty木马间谍程序。攻击者通过分发包含恶意SDK或者框架的应用，利用伪装成正常框架或库的恶意模块渗透到官方应用商店（App Store和Google Play）。

4、攻击者通过滥用ClickOnce和AWS云服务进行隐秘攻击

Trellix高级研究中心发现一个名为OneClik的复杂APT攻击行动，该活动专门针对能源、石油和天然气行业。攻击者通过钓鱼邮件引导受害者访问伪装成“硬件分析(hardware analysis)”的网站链接，诱骗受害者下载伪装成合法工具的ClickOnce清单文件（.application文件），该文件被静默下载并执行。

5、与朝鲜相关供应链攻击利用恶意npm包传播恶意软件

Socket威胁研究团队发现了一场与朝鲜威胁行为者相关的供应链攻击，该攻击通过恶意npm包感染开发人员的设备传播恶意软件。与“Contagious Interview”行动相关的威胁行为者通过24个npm账户发布了35个恶意包，其中6个目前仍处于活动状态，下载量超4000次。这些恶意包都包含HexEval Loader，安装该软件包时HexEval Loader会收集主机元数据，解码后续脚本，并在触发时获取并运行BeaverTail恶意软件。