新型Android SpyAgent恶意软件利用OCR窃取加密钱包恢复密钥

  Tag：移动恶意软件SpyAgent, 助记符密钥

事件概述：

麦菲实验室研究员Ryu SangRyol在分析中指出，新型移动恶意软件SpyAgent已经出现，针对的是韩国的Android设备用户，并已扩大到包括英国在内的范围。SpyAgent通过扫描可能包含助记符密钥的设备上的图片进行攻击，助记符密钥是一种恢复或种子短语，允许用户重新获得对他们的加密货币钱包的访问。此次攻击利用伪装成合法的银行、政府设施、流媒体和公用事业应用的虚假Android应用，试图欺骗用户安装它们。自今年年初以来，已经检测到多达280个假冒应用。

SpyAgent的攻击从带有诱人的链接的短信开始，这些链接鼓励用户下载托管在欺诈性网站上的APK文件。一旦安装，它们就会请求侵入性的权限来收集设备的数据，包括联系人、短信、照片和其他设备信息，所有这些信息都会被传输到威胁行为者控制的外部服务器。SpyAgent最显著的特性是利用光学字符识别（OCR）窃取助记符密钥，未经授权访问助记符密钥可能会让威胁行为者控制受害者的钱包并挪用其中的所有资金。麦菲实验室表示，该命令和控制（C2）基础设施存在严重的安全漏洞，不仅允许在没有身份验证的情况下导航到网站的根目录，而且还暴露了从受害者那里收集的数据。该服务器还托管着一个管理员面板，可以一站式远程控制被感染的设备。面板中存在一台运行iOS 15.8.2并将系统语言设置为简体中文（“zh”）的Apple iPhone设备，这是一个可能也在针对iOS用户的迹象。

来源：

https://unsafe.sh/go-260920.html

政府威胁情报

近百万美国威斯康星州居民信息在MOVEit网络攻击中泄露

  Tag：MOVEit文件传输服务, 医疗保险和医疗补助服务中心（CMS）

事件概述：

去年针对流行的MOVEit文件传输服务的网络犯罪活动导致近一百万威斯康星州居民的敏感信息被泄露。负责管理医疗保险计划的联邦机构——医疗保险和医疗补助服务中心（CMS）以及威斯康星州医生服务保险公司（WPS）上周表示，他们已开始通知个人信息在黑客利用MOVEit软件的漏洞后泄露的人们。据公告，有946,801人正在接收通知，解释他们的名字、社会保障号码、生日、地址、医疗保险账号、健康保险信息等都已泄露。CMS表示将在未来几周内向受害者发送新的医疗保险卡。在收到新卡后，受影响的人被要求销毁他们的旧卡，并通知他们的提供者他们有一个新的医疗保险号码。

在原始攻击于2023年5月公布时，负责处理医疗保险索赔和其他服务的威斯康星州承包商WPS应用了MOVEit漏洞的补丁，并未发现他们的系统被黑客访问的证据。但是，“根据新的信息”，在2024年5月，WPS与一家未命名的网络安全公司对其MOVEit文件传输系统进行了另一次调查。他们确认，在WPS应用补丁之前，黑客从他们的系统中复制了文件。在7月，WPS通知CMS，包含个人信息的文件在2023年5月27日至31日之间被访问。这些被盗的数据是在WPS管理医疗保险索赔和审计医疗提供者时收集的，承包商使用MOVEit将文件发送给CMS。此外，CMS正在其网站上发布通知，以便找到他们无法找到最新联系信息的人。CMS未回应关于这是否意味着受影响的人数超过通知上列出的人数的评论请求。联邦机构表示，它仍在调查这起事件，并正在与执法部门一起努力。他们敦促受害者注册一年的免费信用监控服务，并通常监视他们的账户以防止欺诈活动。

来源：

https://redskyalliance.org/xindustry/wisconsin-medicare-users-had-id-leaked-in-moveit-breach?context=tag-medicare

能源威胁情报

朝鲜威胁行动者Onyx Sleet和Storm 0530针对能源部门

  Tag：朝鲜威胁行动者, 网络攻击策略

事件概述：

在微软威胁情报播客的这一期中，主持人Sherrod DeGrippo与微软威胁情报研究员和Greg Schloemer一起讨论了朝鲜威胁行动者，重点关注了两个突出的组织：Onyx Sleet和Storm 0530。Onyx Sleet是一个长期存在的间谍组织，以针对能源部门为主，尤其是在美国和印度。然而，他们已经多元化到勒索软件，使用的策略如恶意软件下载器，零日漏洞，以及一个名为D-Track的远程访问木马。此外，该播客还讨论了伪造证书的使用以及该组织在软件供应链领域的参与情况。

来源：

https://thecyberwire.com/podcasts/microsoft-threat-intelligence/27/notes

工业威胁情报

台湾无人机制造商遭受“WordDrone”攻击

  Tag：WordDrone攻击, CVE-2024-40521

事件概述：

Acronis威胁研究部门的研究人员发现，台湾无人机制造商最近遭受了一种名为“WordDrone”的攻击。攻击者利用一个古老版本的Microsoft Word，通过动态链接库（DLL）侧载技术安装名为ClientEndPoint的持久性后门。研究人员在今年4月至7月间的多个环境中发现了类似的两阶段攻击情况。第一阶段的攻击主要针对Windows桌面机器，而第二阶段则看到攻击者试图转移到Windows服务器。另外，这次攻击与先前针对台湾无人机制造商的“TIDrone”活动有相似之处。

“WordDrone”攻击利用了Winword旧版本（v14.0.4762.1000）的侧载漏洞，使攻击者能够使用它来加载一个与Microsoft原始提供的名称匹配的DLL。研究人员发现，攻击的第一阶段主要针对Windows桌面机器，而第二阶段则看到攻击者试图转移到Windows服务器。这种攻击与先前针对台湾无人机制造商的“TIDrone”活动有相似之处，后者由中国说中文的威胁组织进行。两者都使用企业资源规划（ERP）软件或远程桌面工具来部署专有恶意软件。此外，研究人员在受害环境中发现了多个Digiwin的组件，其中一些组件包含已知的漏洞，如CVE-2024-40521，这是一个远程代码执行（RCE）漏洞，CVSS评分为8.8。攻击者可能利用这些漏洞，或者通过供应链攻击来利用相关ERP软件。

来源：

https://www.darkreading.com/ics-ot-security/ancient-msft-word-bug-taiwanese-drone-maker-attacks

流行威胁情报

网络安全专家揭示Lummac Stealer恶意软件，伪装成OnlyFans“检查器”工具，针对黑客

  Tag：Lummac Stealer, Bilalkhanicom

事件概述：

Veriti的网络研究团队的网络安全专家发现了一个名为Lummac Stealer的操作，该操作巧妙地将OnlyFans黑客的角色转变为被猎者。该操作围绕一个在臭名昭著的黑客论坛上以“Bilalkhanicom”为名的用户，他提供了一个“检查器”工具，声称可以让用户检查OnlyFans账户以获取有价值的信息。然而，这个“检查器”实际上是恶意软件，特别是一种名为Lummac stealer的恶意软件。结果，下载该工具的人而不是获得Only Fan账户信息或非法内容，反而被Lummac Stealer感染。该恶意软件可以窃取从密码和财务信息到浏览历史和加密货币钱包的信息。

来源：

https://redskyalliance.org/commercial/lummac-stealer-on-onlyfans?context=tag-stealer

高级威胁情报

与Kimsuky关联的黑客对俄罗斯和韩国采用相似攻击策略

  Tag：Kimsuky组织, 网络钓鱼电子邮件

事件概述：

疑似的朝鲜黑客使用网络钓鱼电子邮件获得对目标系统的初始访问权限，常常使用税收、奖学金和金融等主题作为恶意电子邮件的诱饵。Konni的自定义远程访问木马可以让攻击者完全控制被感染的系统。在对俄罗斯和韩国的攻击中，该组织使用相似的技术将被感染的设备连接到黑客控制的命令服务器（C2）。在两种情况下，都通过可执行文件在受害者的设备上安装恶意模块，并通过内部命令执行连接到C2服务器的过程。研究人员指出，注意该组织在不同国家的攻击之间的相似性，可以帮助安全专家更好地保护他们的实体，并更准确地归因于这些攻击。

来源：

https://unsafe.sh/go-260991.html

漏洞情报

微软发布79个补丁修复11个产品家族的安全漏洞

  Tag：CVE（公共漏洞和暴露）, Sophos

事件概述：

微软于周二发布了79个补丁，涉及11个产品家族。其中七个问题被微软认为严重，影响Azure、SharePoint和Windows。截至新闻发布时，已知有三个问题正在被野外利用，另有一个问题虽然本身未被利用，但与正在被利用的问题有关。微软评估，Windows中的11个CVE（公共漏洞和暴露）在接下来的30天内更有可能被利用。本月的八个问题可以通过Sophos保护进行检测。此外，这次发布的补丁还包括三个由Adobe补丁解决的CVE的咨询信息，影响Reader和ColdFusion。其中一个Reader漏洞（CVE-2024-41869）是一个严重的使用后自由漏洞，已经有可行的利用方式在野外可用。

本次发布的79个补丁中，有7个被认为是严重的，影响Azure、SharePoint和Windows。其中，三个问题已知正在被野外利用，另有一个问题虽然本身未被利用，但与正在被利用的问题有关。微软评估，Windows中的11个CVE在接下来的30天内更有可能被利用。本月的八个问题可以通过Sophos保护进行检测，我们在下面的表格中包含了这些信息。此外，这次发布的补丁还包括三个由Adobe补丁解决的CVE的咨询信息，影响Reader和ColdFusion。其中一个Reader漏洞（CVE-2024-41869）是一个严重的使用后自由漏洞，已经有可行的利用方式在野外可用。我们一如既往地在这篇文章的最后附上了所有微软补丁的附录，按严重性、预测的可利用性和产品家族排序。  

来源：

https://news.sophos.com/en-us/2024/09/12/september-patch-tuesday-addresses-79-cves/

勒索专题

雾霾勒索软件变向金融行业发起攻击

  Tag：雾霾勒索软件, Adlumin

事件概述：

雾霾勒索软件，原本主要针对教育和娱乐行业，现已转向金融行业这一更具盈利性的目标。2024年8月初，威胁行为者利用被盗取的VPN凭证，对一家中型金融机构发起了勒索软件攻击。这款也被称为“迷失在雾霾中”的勒索软件，目标是运行Windows和Linux操作系统的敏感数据。然而，Adlumin的尖端技术，利用诱饵文件作为传感器，成功阻止了这次攻击。雾霾勒索软件在2021年首次被发现，它通过利用被盗取的VPN凭证中的漏洞，侵入网络防线。一旦进入网络，雾霾会使用诸如哈希传递攻击等复杂方法，将权限提升到管理员级别。此外，雾霾还会采取一系列步骤破坏网络安全，包括关闭安全功能，加密重要文件，删除备份数据，使受害者别无选择，只能考虑支付赎金。

雾霾勒索软件在网络内部通过使用复杂的方法，如哈希传递攻击，来增加其影响力，并提升到管理员级别的权限。该软件还会采取关闭安全功能、加密重要文件，尤其是虚拟机磁盘（VMDKs），并删除备份数据等步骤，破坏网络安全。攻击者使用一系列向不同目标发送的ping来启动网络发现过程，使用‘Advanced_Port_Scanner_2.5.3869(1).exe’工具进行网络侦查，从被盗取的服务账户以提升的权限扫描网络主机。Adlumin团队确定攻击来自俄罗斯的IP地址，并追踪到一个未受保护的设备。通过利用域信任关系信息，攻击者能够使用两个被盗取的服务账户在网络内部进行横向移动。此外，Adlumin的勒索软件预防功能自动阻止攻击者，隔离被侵入的设备，并阻止数据盗窃。建议采取的防御措施包括多因素认证（MFA）、定期更新VPN软件、监控VPN访问、隔离受影响的端点、使用全面的安全平台、备份关键信息、实施最小权限原则以及制定应急响应计划。

来源：

https://cybersecuritynews.com/predator-spyware-infrastructure-returns/

钓鱼专题

拉丁美洲网络钓鱼诈骗活动加剧，银行木马病毒复活

  Tag：网络钓鱼诈骗, 木马病毒

事件概述：

根据趋势科技的最新报告，拉丁美洲的网络钓鱼诈骗活动正在迅速演变，使得以前的银行木马病毒如Mekotio、BBTok和Grandoreiro再次流行。这些网络犯罪活动利用新的和创新的钓鱼手段，诱使受害者下载旨在窃取敏感银行凭证的恶意软件。这些木马病毒主要针对的是制造业、零售业和金融服务业的员工。制造公司占攻击的26%，零售业占18%，科技业占16%，金融服务业占8%。

网络犯罪分子主要使用两种钓鱼手段：商业交易诈骗和司法相关的钓鱼诈骗。商业交易诈骗是通过伪装为官方商业通信的电子邮件，诱使用户点击恶意链接或下载有害附件，如PDF或ZIP文件。一旦下载，木马就会感染用户的设备，使攻击者能够窃取敏感的银行数据或执行未经授权的交易。司法相关的钓鱼诈骗则利用受害者对法律后果的恐惧，发给他们假的交通违章邮件，催促他们点击链接解决问题。点击链接会导致一个伪造的网站，恶意软件就在这里悄悄下载到受害者的系统上。通过利用金融和法律事务的紧迫性，网络犯罪分子可以绕过用户的常规安全预防措施，对受害者造成毁灭性的后果。

来源：

https://securityonline.info/cybercriminals-target-latam-banks-mekotio-bbtok-lead-the-charge/

数据泄露专题

美国俄亥俄州哥伦布市遭勒索软件攻击，6.5TB数据被泄露

  Tag：Rhysida勒索软件服务（RaaS）集团, 美国国土安全部和联邦调查局

事件概述：

Rhysida攻击中断了城市服务，其连锁反应仍在持续。哥伦布市的IT部门检测到了入侵，并“识别出了威胁，并采取行动大幅限制了可能的风险，包括切断互联网连接。”哥伦布市官员还联系了美国国土安全部和联邦调查局。尽管城市的技术部门已经做了大量的修复工作，但它仍在努力使哥伦布市441个城市应用程序中的23%重新上线。同时，它还在重置所有员工和系统的密码。此外，Rhysida集团的数据泄露显示，城市至少保留了员工和公民20年的数据，IT部门将审查应该保留这些信息多久。在7月底，Rhysida reportedly将6.5TB的数据挂牌出售，要价30比特币，约170万美元。未能如愿后，威胁组织泄露了3.1TB的数据。攻击者声称，被盗的数据包括内部登录信息和密码，城市的紧急服务应用程序，以及城市的摄像头视频流。

来源：

https://securityboulevard.com/2024/09/no-ransom-demand-by-rhysida-before-columbus-data-leak-city-it-chief/?utm_source=sbwebsite&utm_medium=marquee&utm_campaign=marquee

- END -