安全简讯（2024.07.15）

1. AT&T 遭到黑客攻击超过1.09 亿客户通话记录遭泄露

7月12日，AT&T 警告称，该公司发生大规模数据泄露事件，威胁行为者从该公司 Snowflake 账户的在线数据库窃取了约 1.09 亿客户（几乎所有移动客户的）通话记录。该公司向 BleepingComputer 证实，数据在 2024 年 4 月 14 日至 4 月 25 日期间从 Snowflake 账户中被盗。AT&T在周五早上向美国证券交易委员会提交的 8-K 表格中表示，被盗数据包含 2022 年 5 月 1 日至 10 月 31 日以及 2023 年 1 月 2 日期间几乎所有 AT&T 移动客户和移动虚拟网络运营商 (MVNO) 客户的通话和短信记录。曝光的记录不包含通话或短信内容、客户姓名或任何其他个人信息，例如社会安全号码或出生日期。虽然访问的日志不包含直接暴露客户身份的敏感信息，但通信元数据可用于将其与公开信息关联起来，并在许多情况下轻松获取身份。该公司表示，在得知这一漏洞后，他们与网络安全专家合作并通知了执法部门。美国司法部于 2024 年 5 月 9 日和 2024 年 6 月 5 日两次批准 AT&T 推迟公开通知，原因是这可能会对国家安全和公共安全构成潜在风险。AT&T 向 BleepingComputer 证实，数据从其 Snowflake 账户中被盗，这是最近一系列使用泄露凭证进行数据盗窃攻击的一部分。Snowflake 是一家基于云的数据库提供商，允许客户对大量数据执行数据仓储和分析。

https://www.bleepingcomputer.com/news/security/massive-atandt-data-breach-exposes-call-logs-of-109-million-customers/

2. 短信网络钓鱼黑帮瞄准印度，大规模窃取个人信息和支付数据

7月12日，Resecurity（美国）发现，短信网络钓鱼三合会正在针对印度邮政（印度邮政部）发起新攻击，根据多起受害者报告以及前几天发现的新基础设施，该攻击活动据称在 2024 年 7 月 8 日左右开始扩大。印度庞大的人口（超过 14.17 亿）和经济使其成为网络犯罪分子和欺诈者的主要目标。到 2023 年，印度预计将有 10 亿智能手机用户，这将使他们成为恶意攻击的有利可图的目标。因此，消费者可能会更频繁地成为外国网络威胁行为者的目标。为了进行大规模恶意活动，威胁行为者将专注于旨在窃取数字身份的短信网络钓鱼活动。本月，该组织大幅扩大了在印度的攻击范围，提前为此次活动做准备。攻击者在 6 月左右注册了冒充印度邮政的域名，但并未积极使用，很可能是在为大规模活动做准备，该活动在 7 月就已显现。此次活动的目标是窃取大量个人身份信息 (PII) 和支付数据。Resecurity 曾描述过 Smishing Triad 活动的先前事件，早期针对的是其他地区，包括美国、英国、欧盟、阿联酋、沙特阿拉伯，以及最近的巴基斯坦。今年 6 月，印度政府信息广播部下属的官方机构喀拉拉邦新闻信息局 (PIB) 向用户发出警告，称短信钓鱼活动日益增多，并敦促公民对任何声称来自印度邮政等邮政服务的可疑信息保持警惕，因为这些信息可能是诈骗分子冒充的。

https://securityaffairs.com/165632/cyber-crime/smishing-triad-is-targeting-india.html

3. Coyote 银行木马病毒瞄准拉丁美洲，重点攻击巴西金融机构

7月11日，近年来，全球贸易的增加和拉丁美洲 (LATAM) 市场的增长使该地区成为网络犯罪分子越来越感兴趣的目标。世界经济论坛在其 2024 年 1 月的《全球网络安全展望》报告中指出，拉丁美洲拥有大量“网络弹性不足的组织”，其中政府和金融机构位居目标榜首。Coyote 是一种 .NET 银行木马，据观察，它针对的是巴西金融机构，主要是银行。它的执行链与其他银行木马有明显区别。Coyote 于 2024 年 2 月首次被研究人员发现，它之所以得名是因为它滥用Squirrel，这是一种有效的非恶意软件，用于管理 Windows 应用程序的安装和更新。在 Coyote 攻击期间，合法的开源OBS文件和 Chromium 嵌入式框架 (CEF) 动态链接库 (DLL) 会被注入受感染的 DLL。受感染的 DLL 使用Nim 编程语言加载 Coyote 银行木马并收集用户财务信息，并在系统中保持持久性。.NET 银行木马的出现针对拉丁美洲地区（主要针对巴西），凸显了网络安全威胁形势的快速演变。这种复杂的恶意软件采用非常规方法，通过恶意域名进行网络钓鱼来渗透目标系统，目的是入侵大型金融机构。

https://blogs.blackberry.com/en/2024/07/coyote-banking-trojan-targets-latam-with-a-focus-on-brazilian-financial-institutions?&web_view=true

4. 研究人员发现通过电子书传播 ViperSoftX 有所改进

7月11日，研究人员发现，2020 年首次发现的 ViperSoftX 信息窃取恶意软件有所改进。该恶意软件已开始采用更复杂的规避策略，通过合并公共语言运行时 (CLR) 进行改进，以便在通过盗版电子书副本分发的 AutoIt 脚本中运行 PowerShell 命令。这种巧妙的技巧可以让恶意软件融入合法的系统活动，使安全解决方案更难发现。ViperSoftX 通过 torrent 网站传播，伪装成电子书。当用户访问下载的 RAR 存档时，ViperSoftX 的感染链就开始了，其中包含一个隐藏文件夹、一个看似无害 PDF 或电子书的欺骗性快捷方式文件以及伪装成简单 JPG 图像文件的 PowerShell 脚本、AutoIt.exe 和 AutoIt 脚本。该恶意软件使用 CLR 在 AutoIt 中运行PowerShell的行为尤其狡猾。AutoIt 通常用于自动执行 Windows 任务，通常受到安全软件的信任。通过利用这种信任，ViperSoftX 可以躲过监控。该恶意软件还采用了额外的技巧，即高度混淆、欺骗和加密，以隐藏其真实性质。ViperSoftX 使用高度 Base64 混淆和 AES 加密来隐藏从图像诱饵文件中提取的 PowerShell 脚本中的命令。这种程度的混淆对研究人员和分析工具都提出了挑战，使解密恶意软件的功能和意图变得更加困难。

https://thecyberexpress.com/researchers-improvements-in-vipersoftx-malware/?&web_view=true

5. 不安全的 Authy MFA API 被利用进行恶意电话号码验证

7月11日，据报道，犯罪黑客利用不安全的 Authy（一款 MFA 应用）API 来错误地验证电话号码。此行为使数百万用户的电话号码容易受到网络威胁。不安全的 Authy API 在最近的攻击中被利用 Twilio 是热门 MFA 应用 Authy 的母公司，该公司最近披露了一起影响其应用的安全事件。正如其安全更新中所述，Twilio 检测到有人恶意滥用该应用来错误验证数百万个电话号码。具体来说，尚未知晓的黑客滥用了不安全的 Authy API 端点来获取与 Authy 相关的用户数据，包括他们的电话号码。Twilio 解释说，黑客可能会利用这些数据针对用户进行恶意活动，例如短信钓鱼和 SIM 卡交换攻击。虽然黑客访问了用户的数据，但 Twilio 确认对 Authy 应用程序的结构没有影响。Authy 帐户也没有受到任何入侵。相反，此次入侵仅仅是因为允许未经身份验证的请求的不安全端点而发生的。尽管如此，在检测到此问题后，Twilio 保护了暴露的 API并解决了该问题。因此，它要求所有用户使用最新版本更新他们的 Authy 应用程序。该公司已发布更新，Authy Android v25.1.0 和 iOS App v26.1.0 分别在 Google Play Store 和 Apple App Store 上提供。

https://latesthackingnews.com/2024/07/11/unsecured-authy-mfa-api-exploited-for-malicious-phone-number-verification/

6. CDK Global 在遭受网络攻击后支付了 2500 万美元赎金

7月13日，据报道，CDK Global 的服务器因勒索软件攻击而下线，该公司以比特币支付了 2500 万美元的赎金。上周，CDK 恢复了美国各地汽车经销商的服务，此前，该服务因一次“网络事件”而中断了两周，这次事件很像勒索软件感染。CDK 软件平台的关闭导致多达 15,000 家汽车经销商陷入混乱，其中包括 Asbury、AutoNation、Group 1、Lithia 和 Sonic 连锁店，导致一些州的销售和注册申请停止。CDK 尚未披露其如何恢复业务，但 CNN援引消息人士的话称，该软件公司必须向勒索软件的运营商支付 2500 万美元的赎金。与此同时，加密取证公司 TRM Labs 表示，它发现 387 比特币交易进入了一个账户，据说该账户由部署名为BlackSuit 的勒索软件的犯罪分子控制，该团伙于 4 月攻击了 Octapharma Plasma。据称，这些比特币并非直接来自 CDK，而是来自一家专门处理网络勒索要求的公司。据我们所知，赎金实际上是在攻击发生两天后支付的。这意味着 CDK 可能如其所声称的那样，立即支付赎金以说服勒索者不要泄露感染期间窃取的任何数据并撤退，随后花了几天时间重建和恢复服务。CDK 可能能够从备份中恢复和/或可能需要一些有关勒索软件加密的计算机的信息，从而增加恢复时间。仍有许多未知数。

https://www.theregister.com/2024/07/12/cdk_ransom_payout/