安天移动一周威胁情报盘点（8月5日~8月11日）

本期导读：

移动安全

● 搜狗键盘加密漏洞导致按键被网络窃听

● 2023年7月恶意软件威胁趋势报告

● 拥有250万安装量的Google Play应用程序在屏幕关闭时加载广告

APT事件

● 乌克兰抵御Sandworm战场间谍策略

● 与亲俄组织有联系的黑客破坏了外国驻白俄罗斯大使馆

● 朝鲜黑客“ScarCruft”入侵俄罗斯导弹制造商

● 揭秘南亚新 APT 组织 APT-K-47 “神秘象”

● 关于近期国内航空航天领域面临APT窃密攻击风险分析

漏洞新闻

● 安卓安全更新：修补了包括关键RCE在内的40多个漏洞

IOT安全

● 物联网恶意软件攻击周期正在加速

数据安全

● 英国发生重大数据泄露事件！近10年选民数据全部曝光

● 北爱尔兰警方大规模数据泄露，超过10,000名PSNI员工的个人详细信息发布在网上

● 航旅业大地震：常旅客积分系统曝严重漏洞

● 新的Inception攻击泄露所有AMD Zen CPU的敏感数据

移动安全

01 搜狗键盘加密漏洞导致按键被网络窃听

研究人员分析了腾讯的搜狗输入法，通过分析该软件的 Windows、Android 和 iOS 版本，发现搜狗输入法定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在令人不安的漏洞，包含敏感数据（例如包含用户击键的数据）的网络传输可以被网络窃听者破译，从而揭示用户键入的内容。

详情信息：

https://citizenlab.ca/2023/08/vulnerabilities-in-sogou-keyboard-encryption/

02 2023 年 7 月恶意软件威胁趋势报告

最新的 2023 年 7 月全球威胁指数显示，在威胁行为者上个月创建虚假网站以传播携带 RAT 的恶意下载程序后，Remcos 上升至第三位。与此同时，移动银行木马 Anubis 将相对较新的 SpinOk 从移动恶意软件列表的榜首位置上挤了下来，而教育/研究行业是受影响最严重的行业。

详情信息：

https://blog.checkpoint.com/security/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/

03 拥有250万安装量的Google Play应用程序在屏幕关闭时加载广告

Google Play 商店被 43 个 Android 应用程序渗透，安装量达 250 万次，这些应用程序在手机屏幕关闭时秘密显示广告，耗尽设备电池。这些应用程序主要是媒体流应用程序和新闻聚合器，目标受众主要是韩国人。然而，同样的欺骗策略可以很容易地应用于其他应用程序类别和更多样化的用户群体。虽然这些应用程序被视为广告软件，但它们仍然对用户构成风险，因为它们打开了潜在用户分析风险、耗尽设备电池寿命、消耗大量互联网数据以及对广告商进行欺诈的大门。

详情信息：

https://www.bleepingcomputer.com/news/security/google-play-apps-with-25m-installs-load-ads-when-screens-off/

APT事件

01 乌克兰抵御Sandworm战场间谍策略

在格鲁乌主要情报局运作的俄罗斯黑客 Sandworm 计划发起一场基于至少 7 个定制编码的 Android 恶意软件包的活动。Sandworm获得了在战场上缴获的乌克兰军用移动设备，Sandworm 感染军用移动设备的途径是 Android Debug Bridge，这是一款面向开发人员的移动操作系统命令行工具。SBU 披露的其他恶意软件包包括一个名为 NETD 的恶意软件包，即使在设备恢复出厂设置后也能确保持久性，以及另一个名为 DropBear 的恶意软件包，它允许黑客远程访问受感染的设备。

详情信息：

https://www.govinfosecurity.com/ukraine-fends-off-sandworm-battlefield-espionage-ploy-a-22772

02 与亲俄组织有联系的黑客破坏了外国驻白俄罗斯大使馆

白俄罗斯新发现的一个网络间谍组织在当地互联网服务提供商的协助下以外国大使馆为目标。该组织被称为 MustachedBouncer，自 2014 年以来一直在运作，早在 2017 年就已经入侵了至少两个欧洲国家的大使馆工作人员，其中一个来自南亚，一个来自非洲。

详情信息：

https://cyberscoop.com/belarus-hackers-russia-embassies/

03 朝鲜黑客“ScarCruft”入侵俄罗斯导弹制造商

NPO Mashinostroyeniya 是一家俄罗斯设计商和制造商，设计和制造俄罗斯和印度军队使用的轨道飞行器、航天器以及战术防御和攻击导弹。美国财政部 (OFAC) 自 2014 年起对该公司实施制裁，因其在俄罗斯-乌克兰战争中的贡献和作用。ScarCruft 是对 NPO Mashinostroyeniya 电子邮件服务器和 IT 系统进行黑客攻击的幕后黑手，攻击者在其中植入了一个名为“OpenCarrot”的 Windows 后门，用于远程访问网络。虽然此次攻击的主要目的尚不清楚，但 ScarCruft (APT37) 是一个网络间谍组织，以监视和窃取组织数据作为其网络活动的一部分而闻名。

详情信息：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-scarcruft-breached-russian-missile-maker/

04 揭秘南亚新 APT 组织 APT-K-47 “神秘象”

卡巴斯基发现了一个全新的APT组织，该组织的主要攻击目标为巴基斯坦，将其命名为“Mysterious Elephant（神秘象）”。该组织主要特点是使用了一个全新的后门，该后门通过恶意RTF文档传递到受害者机器上。恶意RTF文档通过钓鱼邮件进行投递。这个全新的后门通过RPC与C2服务器进行通信，并有在受控机器上执行文件或者命令的能力，同时该后门也可以从C2服务器上接收文件和命令并执行。

详情信息：

05 关于近期国内航空航天领域面临APT窃密攻击风险分析

自2023年年初，大量来自南亚地区的APT组织针对我国科研院所开展定向窃密攻击，其中航空航天领域成为其攻击核心，国内有关科研单位和高校相继受到攻击。西工大遭受网络攻击以来，科研院所一直是APT攻击的重要目标，据监测，2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自2023年1月起筹划，定向针对某重点实验室实施窃密攻击。据历史披露，CNC组织2021年6月，就曾在我国神舟十二号载人飞船成功点火升空，与天和号核心舱对接之际，针对我国航空航天领域相关单位发起集中攻击。

详情信息：

漏洞新闻

01 安卓安全更新：修补了包括关键RCE在内的40多个漏洞

安卓系统已于8月发布了安全补丁，其中已识别并修复了40多个漏洞。大多数漏洞与远程代码执行（RCE）、权限提升（EoP）和信息披露（ID）有关。这些漏洞导致37个高严重性漏洞和4个严重性漏洞。其中最关键的是没有用户交互的远程代码执行漏洞。截止七月，安卓系统修补了43个漏洞。

详情信息：

https://cybersecuritynews.com/android-august-security-updates/

IOT安全

01 物联网恶意软件攻击周期正在加速

在拉斯维加斯举行的黑帽安全会议上，松下的研究人员根据一个为期五年的项目制定了改善物联网防御的战略，该项目旨在收集和分析有关公司自己的产品如何受到攻击的数据。研究人员使用松下家用电器和该公司制造的其他联网电子产品来创建蜜罐，引诱现实世界的攻击者利用这些设备。通过这种方式，松下可以捕获当前的恶意软件并对其进行分析。此类物联网威胁情报工作在传统制造商中很少见。

详情信息：

https://www.wired.com/story/panasonic-iot-malware-honeypots/

数据安全

01 英国发生重大数据泄露事件！近10年选民数据全部曝光

英国国家选举委员会披露了一起大规模的数据泄露事件。2014年至2022年间，所有在英国注册投票者，个人信息均遭泄露。根据委员会发布的“网络攻击公开通知”，他们在2022年10月首次检测到本次网络攻击，后续调查时发现威胁行为者早在2021年8月就已经入侵了他们的系统。在这次网络攻击事件中，威胁行为者访问了英国选举委员会的服务器，其中存储了该部门的电子邮件、控制系统以及选民登记册副本，可能导致约4000万选民的数据泄露。

详情信息：

https://www.bleepingcomputer.com/news/security/uk-electoral-commission-data-breach-exposes-8-years-of-voter-data/

02 北爱尔兰警方大规模数据泄露，超过 10,000 名 PSNI 员工的个人详细信息发布在网上

北爱尔兰警方卷入了一起“规模巨大”的数据泄露事件，影响了数千名警官和文职人员。此次重大泄露事件涉及北爱尔兰警察局（PSNI）员工的姓名、军衔和其他个人数据，但不涉及警官和平民的私人地址。这些数据包含超过 10,000 名工作人员的姓氏，是应信息自由要求而错误泄露的，似乎涵盖了从警察局长西蒙·伯恩 (Simon Byrne) 到警察局中的所有人。

详情信息：

03 航旅业大地震：常旅客积分系统曝严重漏洞

Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。研究人员发现Points.com的API中存在可利用漏洞，攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”（例如里程），甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。

详情信息：

https://www.dailymail.co.uk/news/article-12386577/PSNI-data-breach-Surname-initial-rank-location-department-current-officers-accidentally-published-response-FOI-request.html

04 新的Inception攻击泄露所有AMD Zen CPU的敏感数据

研究人员发现了一种名为“盗梦空间”的新的强大瞬态执行攻击，它可以在所有AMD Zen CPU（包括最新型号）上使用非特权进程泄露特权机密和数据。瞬态执行攻击利用了所有现代处理器上存在的一个名为推测执行的功能，该功能通过猜测在完成较慢的操作之前下一步将执行什么，大大提高了CPU的性能。如果猜测正确，则CPU通过不等待操作完成而提高了性能；如果猜测错误，则只需回滚更改并使用新结果继续操作。推测执行的问题在于，它可能会留下痕迹，攻击者可以观察或分析这些痕迹，以检索本应受到保护的有价值数据。

详情信息：

https://www.bleepingcomputer.com/news/security/new-inception-attack-leaks-sensitive-data-from-all-amd-zen-cpus/