新型安卓木马BlankBot盗取银行数据并记录屏幕

  Tag：BlankBot, Intel 471

事件概述：

Intel 471恶意软件情报研究人员于2024年7月24日发现了一种名为“BlankBot”的新型安卓银行木马，该木马具有屏幕记录、键盘记录和远程控制功能，对移动用户构成重大威胁。BlankBot主要针对土耳其用户，但有可能适应全球活动。它通过伪装为实用程序并绕过安全措施来完全控制被感染的设备，利用辅助功能服务记录敏感信息，包括短信、银行凭证和支付卡数据。

BlankBot的安装过程中，恶意应用会隐藏其图标并提示用户授予辅助权限。它通过黑屏欺骗用户，表示正在更新，同时在后台自动获取所有必要的权限。对于运行Android 13或更高版本的设备，BlankBot使用基于会话的包安装器绕过安全功能，从应用的资产目录中检索并安装APK文件。BlankBot的通信开始于一个“GET”请求，其中HTTP头部传递了关于被感染设备的信息，如电池电量、屏幕尺寸、型号、制造商和操作系统版本。后续的通信通过在8080端口上的WebSocket连接进行。BlankBot利用Android的MediaProjection和MediaRecorder API捕获并保存屏幕活动为MP4文件。它还可以捕获并传输以Base64格式编码的屏幕图像。通过利用辅助功能服务，BlankBot截取并窃取包括文本、通知和用户输入在内的机密信息。它使用InputMethodService类通过自定义虚拟键盘记录按键。此外，BlankBot可以创建自定义覆盖物来索取银行凭证、个人信息和支付卡数据。BlankBot通过WebSocket与其命令和控制（C2）服务器通信以排出数据并接收命令。它可以开始和停止屏幕录制，使用隐藏的虚拟网络（HVNC）模块绕过FLAG_SECURE安全措施，并通过远程控制手势进行设备上的欺诈（ODF）。此外，BlankBot可以创建覆盖物，收集联系人，短信和已安装应用程序的列表。为了避免被检测，BlankBot会验证被感染设备是否合法，通过辅助功能服务阻止访问设置或防病毒应用程序，从而保持持久性。最近的样本展示了部分混淆和垃圾代码，以阻碍逆向工程努力，使安全研究人员的分析变得复杂。

来源：

https://therecord.media/russia-hack-uk-government-home-office-microsoft

政府威胁情报

俄罗斯间谍今年早些时候黑入英国政府系统并窃取数据和邮件

  Tag：Midnight Blizzard, 多因素认证

事件概述：

据Recorded Future News获得的官方描述，今年早些时候，为俄罗斯外国情报局工作的网络间谍从英国政府窃取了内部邮件和个人数据。这次对内政部系统的入侵以前并未被报道。俄罗斯黑客最初是针对微软，微软为内政部提供企业系统，然后黑客利用这种访问权限也妨碍了微软的几个客户。微软在1月份首次披露，被英国归因为俄罗斯SVR情报机构的黑客组织Midnight Blizzard访问了该公司高级领导的电子邮件账户，后来确认黑客还访问了客户的电子邮件以及微软自己的“源代码库和内部系统”。

这次攻击揭示了一些重要的技术细节。首先，黑客首先攻击了微软，这是内政部的企业系统供应商，然后利用这种访问权限也攻击了微软的几个客户。这表明，黑客的目标不仅仅是政府机构，还包括为政府机构提供服务的私营企业。这种攻击方式更具破坏性，因为它可以通过一个目标影响到多个机构。其次，黑客访问了微软的“源代码库和内部系统”。这可能使他们能够更深入地理解微软的系统，从而更有效地进行攻击。最后，这次攻击再次强调了多因素认证、威胁情报共享和自动化安全措施的重要性。如果这些措施得到了适当的实施，可能会防止或至少减轻此类攻击的影响。

来源：

https://unsafe.sh/go-255057.html

能源威胁情报

伊朗黑客组织针对关键基础设施的网络攻击及应对方法

  Tag：网络安全研究团队Team82, 黑客组织CyberAv3ngers

事件概述：

网络安全研究团队Team82近期发布了一份对一系列针对由Unitronics生产的集成可编程逻辑控制器（PLCs）和人机界面（HMIs）的网络攻击的深度调查。这些攻击发生在去年11月，特别针对美国和以色列的水处理设施等关键基础设施。据信，这些攻击是由与伊朗有关的臭名昭著的黑客组织CyberAv3ngers策划的。Team82的详细分析显示，攻击者利用了Unitronics的Vision和Samba系列产品的重大漏洞。在攻击发生时，这些设备的PCOM通信协议缺乏密码保护，这是一个严重的疏忽，使黑客能够远程访问和操纵这些设备。

Team82对这些严重威胁的回应不仅揭示了这些漏洞，还开发了创新的工具来帮助防御未来的攻击。这些工具现已公开使用，旨在赋予安全专业人员和基础设施运营商检测和应对类似威胁的能力。PCOM2TCP工具可以将PCOM协议消息从串行格式转换为TCP，有助于网络流量分析，帮助识别可能指示正在进行的攻击的可疑活动。PCOMClient工具使用户能够连接到Unitronics PLCs，提取用于取证分析的数据，并检查设备的功能。此工具对于事件响应尤为有价值，可以让专家获取关于设备连接、用户活动和其他可能有助于调查和缓解攻击的关键信息。Team82的研究还发现了两个新的漏洞，分别被标识为CVE-2024-38434和CVE-2024-38435。专家强烈建议所有Unitronics用户将其设备更新到软件版本9.9.1以最小化被利用的风险。

来源：

https://securityonline.info/team82-unveils-research-on-unitronics-plc-hmi-attacks-targeting-critical-infrastructure/

流行威胁情报

新型安卓木马“BlankBot”瞄准土耳其用户的财务数据

  Tag：BlankBot, 安卓银行木马

事件概述：

网络安全研究人员发现了一种名为BlankBot的新型安卓银行木马，目标是窃取土耳其用户的财务信息。BlankBot具有一系列恶意功能，包括客户注入、键盘记录、屏幕录制，并通过WebSocket连接与控制服务器进行通信。BlankBot于2024年7月24日被发现，目前正在积极开发中，该恶意软件滥用安卓的辅助功能服务权限，以获得对被感染设备的完全控制。BlankBot还能拦截短信、卸载任意应用程序，以及收集联系人列表和已安装应用程序的数据。

BlankBot木马使用基于会话的包安装器来规避安卓13引入的限制设置功能，该功能阻止从侧面加载的应用程序直接请求危险权限。这种木马要求受害者允许从第三方来源安装应用程序，然后它获取存储在应用程序资产目录中的安卓包工具包(APK)文件，这个文件没有加密，并继续进行包安装过程。该恶意软件具有广泛的功能，可以执行屏幕录制、键盘记录，并根据从远程服务器接收到的特定命令注入覆盖层，以收集银行账户凭证、支付数据，甚至解锁设备使用的模式。此外，BlankBot还利用辅助服务API阻止用户访问设备设置或启动防病毒应用程序。

来源：

https://thehackernews.com/2024/08/new-android-trojan-blankbot-targets.html

高级威胁情报

朝鲜黑客通过供应链和水坑攻击目标建筑和机械行业

  Tag：VPN软件更新, 恶意软件

事件概述：

根据韩国国家网络安全中心（NCSC）的报告，与朝鲜有关的黑客通过劫持VPN软件更新来部署恶意软件。韩国的国家安全和情报机构，包括国家情报局、检察院、警察局、军事情报司令部和网络作战司令部，已经发出联合网络安全警告，警告称与朝鲜有关的黑客利用VPN软件更新来在目标网络上安装恶意软件。据韩国当局称，平壤政府的目标是从韩国窃取知识产权和商业秘密。与朝鲜有关的黑客团队正在针对韩国的建筑和机械行业。

该警告提供了攻击者使用的战术、技术和程序（TTPs）的详细信息，以及这些攻击的妥协指标（IoCs）。报告中提到，今年1月，Kimsuky APT组织被发现通过韩国建筑行业协会的网站分发恶意软件。这种恶意软件隐藏在网站登录时使用的安全认证软件中。这种攻击旨在感染访问该网站的地方政府、公共机构和建筑公司的人员的PC。这种攻击结合了“供应链攻击”，涉及篡改合法的分发渠道，以及针对建筑和设计专业人士经常访问的网站的“水坑攻击”。另一个案例发生在2024年4月，当时Andariel黑客组织利用国内VPN和服务器安全软件的漏洞，向建筑和机械公司分发远程控制恶意软件DoraRAT。攻击者操纵了VPN客户端-服务器通信协议，将恶意更新文件伪装成合法的文件。受感染的VPN客户端错误地接受了这些文件，导致DoraRAT的执行。

来源：

https://unsafe.sh/go-254469.html

漏洞情报

微软发现OpenVPN多个漏洞，威胁全球数百万设备

  Tag：OpenVPN, 远程代码执行（RCE）

事件概述：

微软在OpenVPN中发现了多个漏洞，这是一种广泛使用的VPN实现方式，被集成到全球数百万台路由器、个人电脑、固件、移动设备和其他智能设备中。这些漏洞链在一起后，可能被用于远程代码执行（RCE）和权限升级攻击。微软警告，所有2.6.10版本之前的协议都将终端和企业置于重大攻击风险之中。攻击者可以利用这些漏洞获得对目标终端的“完全控制”，可能导致数据泄露、系统妥协和未经授权访问敏感信息。2024年3月21日，OpenVPN发布了针对这个问题的安全更新。微软敦促OpenVPN用户尽快应用这些更新。

这些漏洞是在OpenVPN的客户端架构中发现的，总共公开了四个不同的漏洞。它们允许攻击者引发堆栈溢出，这可以被用来执行具有更多权限的任意代码，与具有特权的OpenVPN交互服务，加载任意插件，以及溢出内存缓冲区，导致bug检查和可能在内核空间中执行任意代码。所有发现的漏洞都可以在攻击者获取用户的OpenVPN凭证后被利用，这可以通过使用凭证盗窃技术来实现，例如在暗网上购买被盗凭证，使用信息窃取恶意软件，或者嗅探网络流量。不同的漏洞组合可能导致不同的利用结果，包括RCE和本地权限执行。组织应识别其系统上是否安装了任何易受攻击的OpenVPN版本，并立即应用相关补丁。

来源：

https://cybernews.com/security/microsoft-discovered-openvpn-vulnerabilities-patch-available/

勒索专题

低调的“黑暗天使”勒索团伙创下7500万美元赎金纪录

  Tag：黑暗天使, 勒索软件

事件概述：

近日，一家名为“黑暗天使”的勒索软件团伙因从一家财富50强公司成功勒索到7500万美元的数据赎金而成为头条新闻。该团伙自2021年以来一直保持低调，选择单一目标进行大规模数据盗窃，而非破坏受害者的运营。安全公司Zscaler ThreatLabz本月将其评为2024年最大的勒索软件威胁，发现该团伙进行了一些迄今为止最大的勒索软件攻击。与大多数勒索软件团伙不同，黑暗天使没有使用典型的勒索软件联盟模式，而是选择了更为隐秘的方式，直至2023年4月才设立了一个名为“Dunghill Leak”的泄露站点。该团伙被认为是一个基于俄罗斯的网络犯罪集团，其特点是从多个行业的大公司窃取大量数据，数据量介于10-100TB之间。

黑暗天使的操作模式与其他勒索软件团伙显著不同，他们不采用常见的勒索软件联盟模式，而是独立行动，避免引起过多关注。该团伙在选择是否部署勒索软件时非常谨慎，只有在认为可以加密的文件不会造成重大中断时，才会采取行动。此外，他们的数据窃取量远超其他团伙，这也是他们能够索取高额赎金的原因。在技术防御方面，多因素认证、威胁情报共享和自动化安全措施的重要性不容忽视，这些措施有助于防范此类高级持续性威胁。企业和组织应加强内部安全培训，提高对此类隐蔽攻击的认识和防御能力。

来源：

https://krebsonsecurity.com/2024/08/low-drama-dark-angels-reap-record-ransoms/

数据泄露专题

美国选举系统数据泄露事件

  Tag：未加密的数据库, 数据保护

事件概述：

网络安全研究员Jeremiah Fowler发现了13个未加密的数据库，包含460万份文件，涉及敏感的选民记录和选举相关文件。这些数据库包含从伊利诺伊州某单一县的物理地址的选民记录、投票模板和选民注册信息。更令人担忧的是，标记为“选民记录”的一些文件中包含了全名、物理地址、电子邮件地址、出生日期、社会安全号码（完整及部分）及驾驶执照号码等敏感个人信息。Fowler在向Platinum Technology Resource发送责任披露通知后，该数据库仍然公开可访问。随后，他联系了Magenium，该公司随后限制了数据库的访问。这一事件突显了选举系统的数据保护的重要性，以及保护民主过程的完整性的必要性。

在这次数据泄露事件中，Fowler建议管理敏感文件的组织应使用独特且难以猜测的格式和名称，并结合访问控制和加密措施，例如使用访问令牌生成独特的、限时的访问权限，以确保只有授权用户可以访问或查看文件，从而限制未授权访问的可能性。此外，事件还强调了对选举系统采取强有力的数据保护措施的重要性，以维护公众对选举过程的信任，并防止敏感选民信息的泄露对民主过程产生深远的后果。

来源：

https://cybersecuritynews.com/voter-database-election-documents-2/

- END -