内存安全周报第144期 | Android恶意软件针对全球金融机构展开恶意攻击活动 - 新鲜讯息

安芯网盾内存安全周报专栏，希望帮助企业更好地理解内存安全相关问题。让用户更好地认识、发现问题，防止外部入侵等威胁、有效地对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。

一、Android恶意软件针对全球金融机构展开恶意攻击活动（7.4）

详细情况

一名代号为Neo_Net的黑客利用Android恶意软件对全球金融机构发起网络攻击活动。尽管黑客使用的攻击程序较为简单，但通过为攻击目标定制基础设施，成功盗取35万欧元，并泄露数千名受害者的个人身份信息（PII）。据了解，主要受到攻击的银行包括桑坦德银行、BBVA银行、CaixaBank、德意志银行、法国农业银行和ING银行。

该攻击活动采用短信钓鱼的方式进行多阶段攻击。黑客利用多种恐吓手段诱使不知情的收件人点击虚假登陆页面，并通过Telegram机器人收集并窃取他们的信息。

Neo_Net精心设计了钓鱼页面，采用了多重防御措施，如阻止非移动用户的代理请求，隐藏页面以避免机器人和网络扫描器的探测。这些页面的设计与真正的银行应用程序非常相似，使受害者难以辨别。此外，黑客还以安装安全软件为由，欺骗银行客户安装恶意的Android应用程序。一旦安装成功，这些应用程序会请求SMS权限来捕获银行发送的基于短信的两步验证（2FA）代码。

参考链接

https://thehackernews.com/2023/07/mexico-based-hacker-targets-global.html

二、新的StackRot Linux内核漏洞可实现权限提升（7.6）

详细情况

近日，Linux内核中出现了一个严重漏洞，该漏洞被称为StackRot（CVE-2023-3269），可能允许攻击者在目标主机上提升权限，对系统安全构成威胁。

据了解，StackRot漏洞影响Linux版本6.1—6.4的所有内核配置。目前，针对该漏洞的修复补丁已于7月1日发布，并已应用于稳定版本6.1.37、6.3.11和6.4.1。

研究人员指出，StackRot是在内存管理子系统中发现的Linux内核漏洞，与管理虚拟内存区域（VMAs）有关。具体来说，该漏洞存在于Linux 6.1引入的新的“maple tree”数据结构系统中，该系统取代了“red-black trees”，并采用了读—复制—更新（RCU）机制。StackRot漏洞是一种使用后释放（UAF）问题，由于在处理堆栈扩展时，“maple tree”可以在没有获得MM写锁的情况下替换节点。当Linux内核扩展堆栈并消除VMAs之间的间隙时，“maple tree”会创建一个新节点，并在当前读取完成后将旧节点标记为删除，以确保“maple tree”的RCU安全性。然而，在RCU宽限期间，如果进程访问旧节点，可能导致释放后使用问题，为攻击者提供了利用漏洞获得权限提升的机会。

因此，建议Linux用户及时升级到不受该漏洞影响的版本，以确保系统的安全性和稳定性。

参考链接

https://www.bleepingcomputer.com/news/security/new-stackrot-linux-kernel-flaw-allows-privilege-escalation/