安天移动一周威胁情报盘点（4月15日-4月22日）

01 SoumniBot恶意软件利用Android漏洞逃避检测

一种名为“SoumniBot”的新安卓银行恶意软件利用安卓清单提取和解析过程中的弱点，使用了一种不太常见的混淆方法。该方法使SoumniBot能够规避安卓手机中的标准安全措施，并执行信息窃取操作。研究人员还指出，SoumniBot能够搜索和过滤韩国银行用于网上银行服务的数字证书。此功能允许威胁行为者利用银行凭证进行欺诈交易。

详细信息：

https://www.bleepingcomputer.com/news/security/soumnibot-malware-exploits-android-bugs-to-evade-detection/

02 LightSpy卷土重来：更新的iOS间谍攻击苹果用户的智能手机

针对南亚用户的网络间谍活动再次出现。攻击的目标是针对用户引入新版本的LightSpy恶意软件。LightSpy的最新版本，称为‘F_Warehouse’，具有模块化结构，具有高级监视功能。这场恶意活动可能主要针对印度，因为该国向VirusTotal发送了大量副本。

03 Trust Wallet 向 iOS 用户发出零日漏洞攻击警告

Trust Wallet 注意到 iOS 用户，称该漏洞将允许攻击者在不点击任何链接的情况下渗透到目标 iPhone。如果得到证实，该零日漏洞将类似于Pegasus 间谍软件，它可以渗透移动设备并监控通信。加密钱包提供商建议

用户禁用 iMessages，“直到苹果修复此问题”。我们已经联系了苹果公司，但在发布之前没有收到回复。

04 Doctor Web对2023年移动设备上病毒活动的评论

2023年，广告显示木马是安卓系统最常见的威胁。与前一年相比，间谍软件特洛伊木马的活跃度较低，在受Dr.Web防病毒保护的设备上被检测到的次数排名第二。尽管银行木马的检测频率也较低，但随着这种威胁的不断演变，它们仍然对世界各地的用户构成重大危险。去年，大量新的安卓银行木马家族被发现，其中许多专门针对俄罗斯和伊朗用户等。

05 eXotic Visit针对安卓的间谍活动

通过伪装成消息传递服务的应用程序瞄准安卓用户。虽然这些应用程序提供功能服务作为诱饵，但它们与开源的XploitSPY恶意软件捆绑在一起。研究人员将这一活动命名为“eXotic Visit”，并自2021年11月开始追踪其活动踪迹。分析发现，黑客通过专门的网站分发恶意Android应用程序，甚至有段时间还会通过Google Play商店进行分发。由于活动的针对性特质，Google Play上的应用安装数量很低，且都已从应用商店下架。

06 广告拦截器的另一作用：对抗政府间谍软件

间谍软件制造商能够利用横幅广告来定位并秘密感染特定目标。《国土报》报道称，Intellexa 于 2022 年推出了一个名为 Aladdin 的概念验证系统，该系统可以通过在线广告植入手机间谍软件。这些文件包括阿拉丁系统的演示，其中包含有关间谍软件如何感染其目标的技术解释以及恶意广告的示例：通过“看似针对图形设计师和活动家提供工作机会，通过这些机会将间谍软件引入他们的设备”。

07 冒充韩国门户网站登录页面的网络钓鱼案

最近发现了与韩国门户网站登录屏幕相同的网络钓鱼文件的分发，攻击者冒充多个韩国门户网站、物流和运输品牌以及网络邮件登录页面。虚假页面与正常版本几乎无法区分。因此，如果网站无法正常访问，用户不得尝试登录。如果尝试登录，建议立即更改所有相关密码。

01 FIN7 针对美国汽车巨头的攻击失败

位于俄罗斯的网络犯罪集团FIN7，在2023年末对一家大型美国汽车制造商发起了针对性的网络钓鱼攻击，但未成功。攻击者发送定制的网络钓鱼邮件，邮件中包含指向恶意URL的链接，该URL模仿一个合法的IP扫描网站。受害者被重定向到攻击者拥有的Dropbox账户，并在不知情的情况下下载了恶意可执行文件WsTaskLoad.exe。网络防御者及早发现了攻击活动，定位并隔离了一个受感染的系统，阻止了攻击者通过网络横向移动进一步渗透。

详细信息：

02 Kimsuky 利用许可性 DMARC 政策伪造电子邮件

电子邮件在Kimsuky威胁组织的策略中起着核心作用。Kimsuky 黑客用它来诱骗受害者下载带有恶意软件的文档，但也作为一种主要的情报收集工具，有可能通过直接询问目标的意见或分析来满足其情报要求，而不是来自感染。Kimsuky欺骗已知组织的一种方式是利用宽松的DMARC政策。基于域的消息身份验证、报告和一致性协议旨在通过让收件人通过域名系统验证电子邮件的来源来阻止电子邮件欺骗。

03 伊朗APT组织利用密码喷洒攻击数千人

伊朗政府支持的 Peach Sandstorm（又名 APT33、Elfin 和 Refined Kitten）APT 组织，在 2023 年 2 月至 7 月期间使用了密码喷洒技术。这是一种暴力破解技术，威胁行为者尝试使用常用密码列表对多个账户进行身份验证。活动袭击了多个行业和地区的数千个组织，但后续活动更加“隐秘和复杂”。“在已知攻击的后期阶段，威胁行为者使用了一组已知 TTP 的不同组合来投放其他工具、横向移动，并最终从目标中窃取数据。”

04 最近的OT和间谍攻击与俄罗斯的Sandworm有关，现在被命名为APT44

APT44 使用多个黑客行动主义角色，包括 Cyber Army of Russia Reborn (CARR)、XAKNET 和 Solntsepek。CARR 声称能够操纵美国和欧盟的关键基础设施运营技术 (OT) 资产。

• 2024 年 1 月，CARR 发布视频显示操纵波兰和美国自来水公司的人机界面 (HMI)。2024 年 3 月，CARR 发布视频声称通过操纵水位扰乱了法国一座水力发电设施的发电。

• 自 2023 年 4 月以来，APT44 为俄罗斯军队提供了可能用于从战场上捕获的移动设备中提取加密 Signal 和 Telegram 消息的基础设施。APT44 还进行了供应链攻击，涉及擦除器恶意软件，导致东欧和中亚的关键基础设施网络受到破坏。

05 Darkbeat2：伊朗Muddywater扩大其黑客武库

与伊朗情报和安全部有联系的伊朗黑客组织Muddywater，开发了一种新的网络攻击工具，也被称为Boggy Serpens，Mango Sandstorm和TA450。最近在其行动中引入了一个新的“Darkbeat2”治理基础设施，这是继SimpleHarm和Muddyc2Go等工具之后黑客武库的最后一个补充。最新恶意活动之一是带有恶意URL的钓鱼电子邮件。除了使用新的Darkbeatc2域外，该组织还开始使用复杂的方法来管理受感染的系统，包括PowerShell脚本和通过注册表加载恶意库的机制。

06 网络间谍组织地球魂盾不断完善水熊和杜特熊

针对技术、研究和政府等各个部门的许多组织的网络攻击激增。这些攻击涉及名为 Waterbear 的恶意软件家族，该恶意软件家族与网络间谍组织 Earth Hundun（也称为BlackTech）有关，该组织是一个专注于从技术和政府组织（尤其是亚太地区）收集情报的威胁行为体。Waterbear 后门是最复杂的后门之一，具有广泛的反调试、反沙箱和一般防病毒阻碍技术。此外，其开发人员的频繁更新导致了更多的规避策略，包括对其加载器、下载器和通信协议的增强。

07 海莲花（APT-Q-31）组织数字武器Rust加载器技术分析

海莲花组织在近年来的攻击活动中不断更新攻击手法，此次发现的Rust加载器将后续载荷加密后附加到加载程序尾部，并试图用system32目录下合法DLL的内存空间存放待执行的shellcode，以避免触发安全软件的检测，同时滥用被多个黑客团体使用的Cobalt Strike水印混淆攻击归属。

08 新的 Lazarus 活动针对亚洲地区的个人，提供虚假的工作机会

攻击者通过向毫无戒心的个人提供捏造的工作机会来发起攻击，利用社会工程技术建立联系并建立融洽的关系。虽然具体的通信平台仍然未知，但Mandiant和ESET先前的研究表明，潜在的交付媒介可能包括LinkedIn，WhatsApp，电子邮件或其他平台。随后，攻击者试图发送伪装成 VNC 工具的恶意 ISO 文件，这是面试过程的一部分。

09 DuneQuixote 活动针对带有“CR4T”恶意软件的中东实体

研究人员发现了针对中东政府实体的新恶意软件活动。我们称它为“沙丘堂吉诃德”，调查发现 30 多个在活动中积极使用的 DuneQuixote 滴管样本。这些 dropper 存在于两个版本中——常规 dropper 和名为“Total Commander”的合法工具的篡改安装程序文件，携带恶意代码以我们称之为“CR4T”的后门形式下载额外的有效载荷。虽然只发现了两个 CR4T 植入物，但我们强烈怀疑存在其他植入物，它们可能是完全不同的恶意软件。

详细信息：

https://securelist.com/dunequixote/112425/

01 超过 90000 台 LG 智能电视可能遭受远程攻击

安全研究人员发现了四个漏洞，影响多个版本的 WebOS（LG 智能电视使用的操作系统）。这些缺陷可以对受影响的模型进行不同程度的未经授权的访问和控制，包括授权绕过、权限升级和命令注入。潜在的攻击取决于使用在端口 3000/3001 上运行的服务在设备上创建任意账户的能力，该服务可用于使用 PIN 的智能手机连接。

这四个缺陷总结如下：

·CVE-2023-6317允许攻击者利用变量设置绕过电视的授权机制，从而在没有适当授权的情况下向电视机添加额外的用户。

·CVE-2023-6318是一个特权提升漏洞，允许攻击者在 CVE-2023-6317 提供的初始未经授权的访问之后获得 root 访问权限。

·CVE-2023-6319涉及通过操纵负责显示音乐歌词的库来注入操作系统命令，从而允许执行任意命令。

·CVE-2023-6320允许通过利用com.webos.service.connectionmanager/tv/setVlanStaticAddress API 端点进行经过身份验证的命令注入，从而以 dbus 用户身份执行命令，该用户具有与 root 用户类似的权限。

01 Chirp Systems智能锁中检测到严重安全威胁

美国政府警告称，全国约有5万户住宅的“智能锁”包含可用于远程打开任何锁的硬编码证书。CVSS 已将标识符为 CVE-2024-2197 的漏洞评估为严重漏洞（9.1 分，满分 10 分）。美国网络安全和基础设施保护局 （CISA） 也就此问题发出警告，指出 Chirp 尚未采取必要措施来解决该漏洞。

01 Akira勒索软件从250多名受害者那里收到了4200万美元的赎金

CISA、联邦调查局、欧洲刑警组织和荷兰国家网络安全中心（NCSC-NL）发布的一份联合咨询报告显示，自2023年初以来，Akira勒索软件运营商从全球250多名受害者那里收到了4200万美元的赎金。与其他勒索软件团伙一样，该组织开发了一款针对VMware ESXi服务器的Linux加密机。Akira勒索软件运营商通过在加密之前过滤受害者的数据来实现双重勒索模式。

02 联合国开发计划署遭网络攻击，人力资源和采购数据泄露

UNDP在2024年3月的最后一周收到了一份威胁情报通知，黑客提出已入侵其系统，窃取了包括人力资源和采购信息在内的敏感数据，官方通知中对该事件进行了披露。

03 美国医疗保健濒临崩溃：美国数据在黑市上出售

网络犯罪组织RansomHub表示，他们已经开始发布美国公司Change Healthcare的数据，这是一场持续数月的复杂勒索攻击的新阶段。2月，Change Healthcare遭受了大规模的网络攻击，这严重扰乱了美国的医疗保健系统，使其更难与保险公司开具账单和文件。后来有消息称，Blackcat/AlphV组织声称窃取了6TB的数据。

详细信息：

https://www.securitylab.ru/news/547523.php