每周安全事件 221223-1229

高级威胁事件

1. APT-C-36 近期攻击活动分析

2. 研究人员披露 BlueNoroff 组织绕过 MoTW 的新方法

3. Lazarus APT 使用网络钓鱼域名来瞄准 NFT 投资者

国家安全事件

1. 指纹和虹膜扫描的军事数据库在eBay 上出售

数据泄露事件

1. 4亿推特用户数据在出售

2. 黑客窃取了电力公司客户数据

其他网络安全事件

1. 研究人员披露使用了窃取的证书签名的勒索软件和擦除器

2. 伪装成YouTube机器人的恶意软件窃取用户敏感信息

3. 黑客滥用谷歌广告在合法软件中传播恶意软件

移动端安全事件

1. EarSpy 可通过运动传感器窃听安卓手机

组织：疑似 APT-C-36（又名盲眼鹰/APT-Q-98，南美洲）

攻击手法： 【鱼叉式钓鱼攻击】

APT-C-36近期常采用鱼叉攻击，以PDF文件作为入口点，诱导用户点击文档里面的恶意链接下载RAR压缩包文件。大部分压缩包文件需要密码才能解压，密码基本为4位纯数字，解压后是伪装成PDF文件名的VBS脚本。VBS脚本被用户点击执行后将开启一段复杂多阶段的无文件攻击链，最终加载程序为混淆过的AsyncRAT或NjRAT木马，并且加入了绕过AMSI机制的代码。

归因分析： 1、本次攻击样本跟今年上半年研究人员捕获到的攻击样本具有很高的相似性。

2、RAR样本解压后为VBS脚本，该脚本大致的执行流程与之前攻击流程基本类似，也是采用多阶段加载最终开源RAT的方式。

3、在本次样本溯源分析中时发现了一处该组织托管在cmconcretos.com邮件服务器上的恶意程序，通过分析，在其中一个压缩包中发现了某下载链接为https://paste.ee/d/amsfg/0，表明恶意代码放在paste.ee平台，该组织曾将恶意代码托管到pastebin平台，区别在于前者不受限制地使用。

4、邮箱服务器以及C2基本都位于哥伦比亚地区，以及部分样本来源显示为哥伦比亚。

结合样本整个攻击链，研究人员认为捕获到的样本属于 APT-C-36 的攻击样本。

原文链接：

https://mp.weixin.qq.com/s/mTmJLHYC9bJDnphf_52JmA

发布平台：  360威胁情报中心 

组织：疑似 BlueNoroff（Lazarus 子组，朝鲜）

原文概述： BlueNoroff 组织是一个出于经济动机攻击者。最近，研究人员观察到其武器库中采用了新的恶意软件变种。该团伙通常利用 Word 文档和快捷方式文件进行初步入侵，但是，它最近开始采用新的恶意软件传递方法。该组织采用的第一个新方法旨在规避网络标记 (MOTW) 标志，这是一种安全措施，当用户试图打开从互联网下载的文件时，Windows 会显示一条警告消息。为此，使用了光盘映像（.iso 扩展名）和虚拟硬盘（.vhd 扩展名）文件格式。这是现在用来规避 MOTW 的常用策略。另外还观察到一个新的 Visual Basic 脚本、一个以前看不见的 Windows 批处理文件和一个 Windows 可执行文件。另外，他们还创建了许多看起来像风险投资和银行域名的假域名。大部分域名模仿日本风险投资公司，表明该集团对日本金融实体有着广泛的兴趣。

原文链接：

https://securelist.com/bluenoroff-methods-bypass-motw/108383/

发布平台： 卡巴斯基

组织：疑似 Lazarus（又名 APT-C-26/APT38, 朝鲜）

攻击目标： NFT 投资者

攻击手法： 【钓鱼攻击】

该活动于 9 月首次被研究人员注意到，他们随后进行了深入分析。结果发现，攻击者设置了近500个带有恶意Mints的诱饵站点。这些网站冒充 OpenSea、X2Y2 和 Rarible 等知名 NFT 市场来欺骗受害者。此外，其中一个网站伪装成与世界杯相关的项目。在活动初期，APT 通过域名“thedoodles[.]site”监控和记录用户数据。

攻击首先发送垃圾邮件，其中包含指向看起来合法的看似合法的网络钓鱼页面的链接。一旦投资者点击该链接，他们就会被带到一个具有相同品牌甚至相同布局的虚假网站。该网站要求受害者提供个人信息和投资详情，这些信息随后会转移给攻击者。这使得 Lazarus 组织能够完全访问受害者的资产，包括他们的授权记录和 sigData。

原文链接：

https://slowmist.medium.com/slowmist-our-in-depth-investigation-of-north-korean-apts-large-scale-phishing-attack-on-nft-users-362117600519

发布平台： slowmist

欧洲黑客组织 Chaos Computer Club (CCC) 的安全研究人员在 eBay 上购买了 6 台以前由美国军方使用的生物识别捕获设备。在其中一台设备的存储卡上，他们发现了 2,632 人的姓名、国籍、照片、指纹和虹膜扫描。元数据显示该设备于 2012 年夏天在阿富汗使用。2013 年在约旦使用的另一台设备包含一小群美国军事人员的指纹和虹膜扫描。这些设备被用来识别叛乱分子，检查当地公民和来自其他国家的公民是否可以进入美国军事基地。研究人员在接受纽约时报采访时表示，美国军方甚至没有尝试保护这些数据。

原文链接：

https://www.nytimes.com/2022/12/27/technology/for-sale-on-ebay-a-military-database-of-fingerprints-and-iris-scans.html

发布平台： nytimes

12 月 23 日，有人在一个流行的黑客论坛上发布了一条消息，宣布出售包含 4 亿多个 Twitter 账户的姓名、用户名、电子邮件地址、电话号码和关注者数量的数据库。免费提供了大约 1,000 条记录的样本。卖家希望 Twitter 提出购买数据，以避免因违反 GDPR 而支付巨额罚款。黑客指出，在超过 50 亿 Facebook 用户的详细信息泄露后，爱尔兰数据监管机构最近向 Meta 开出了 2.65 亿欧元的罚款。然而，黑客表示 Twitter 没有回应他将数据独家出售给该公司的提议。

发布平台： BreachForums

据美国有线电视新闻网报道，一份分发给电力行业信息共享组织成员的备忘录称，黑客在 Sargent & Lundy 公司使用了 Black Basta 勒索软件。该公司没有回复 Information Security Media Group 的置评请求。一家为 Sargent & Lundy 处理违规通知的律师事务所估计，黑客窃取了 6,900 多人的个人数据。

发布平台： CNN

研究人员发现针对阿尔巴尼亚政府的两波攻击中使用了相似的勒索软件和擦除器恶意软件样本，但进行了一些有趣的修改，可能允许逃避安全控制和更快的攻击速度。这些变化中最主要的是嵌入原始磁盘驱动程序，在恶意软件内部提供直接硬盘访问，修改元数据，以及使用 Nvidia 泄露的代码签名证书对恶意软件进行签名。

原文链接：

https://securelist.com/ransomware-and-wiper-signed-with-stolen-certificates/108350/

发布平台： 卡巴斯基

YouTube 机器人是可以在 YouTube 平台上自动执行任务的软件程序。最近安全研究人员在跟踪新活跃的恶意软件家族时发现了一种新的伪装成 YouTube bot 的恶意软件，它表面上可以对YouTube视频执行查看、点赞和评论等活动，此外它还可以从浏览器窃取敏感信息例如Cookie、账号自动填充记录、历史登录的密码数据等，并从命令和控制 (C&C) 服务器接收命令以进行其他恶意活动，例如强制用户观看指定的 YouTube 视频，或者在受害者的机器上下载和执行其他恶意文件。

原文链接：

https://blog.cyble.com/2022/12/23/new-youtube-bots-malware-spotted-stealing-users-sensitive-information/

发布平台： cyble

恶意软件运营者越来越多地滥用 Google Ads 平台，将恶意软件传播给毫无戒心的用户。这些活动中冒充的产品包括 Grammarly、MSI Afterburner、Slack、Dashlane、Malwarebytes、Audacity、μTorrent、OBS、Ring、AnyDesk、Libre Office、Teamviewer、Thunderbird和Brave。该威胁会克隆上述项目的官方网站，并在用户单击下载按钮时分发软件的木马化版本。以这种方式传送到受害者系统的一些恶意软件包括 Raccoon Stealer的变体、Vidar Stealer的自定义版本和 IcedID 恶意软件加载程序。另一个例子是使用伪造的 MSI Afterburner 门户网站通过 RedLine 窃取程序感染用户的活动。

原文链接：

https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e

发布平台： Guardio Labs

一组研究人员开发了一种针对 Android 设备的窃听攻击，可以在不同程度上识别来电者的性别和身份，甚至可以辨别私人谈话。名为 EarSpy 的侧信道攻击旨在通过捕获移动设备中耳机扬声器的混响引起的运动传感器数据读数来探索窃听的新可能性。 

原文链接：

http://arxiv.org/pdf/2212.12151.pdf

发布平台： arxiv