安天移动近期威胁情报盘点（9月6日-9月23日）

01 新型 Vo1d 恶意软件曝光，超130万台安卓电视设备已中招

近日有攻击者使用一种新的 Vo1d 后门恶意软件感染了200多个国家的 130 余万台安卓电视流媒体盒，使得攻击者能够完全控制这些设备。该操作系统为包括 TCL、海信和 Vizio 电视在内的众多制造商提供智能电视功能。它还是英伟达 Shield 等独立电视流媒体设备的操作系统。

在此次恶意软件活动中，被视为目标的安卓电视固件包括：

• 安卓 7.1.2；R4 版本/NHG47K

• 安卓 12.1；电视盒版本/NHG47K

• 安卓 10.1；KJ-SMART4KVIP Build/NHG47K

02 Binance警告称，黑客正在用Clipper恶意软件感染加密货币爱好者

恶意软件通过非官方应用程序和插件传播，会拦截剪贴板中存储的数据，主要针对加密货币钱包地址。当用户复制并粘贴钱包地址以转移加密货币时，恶意软件会用攻击者指定的地址替换原始地址。如果用户在没有注意到变化的情况下完成转移，加密货币会被发送到攻击者的钱包，从而造成经济损失。

详细信息：https://www.bitdefender.com/blog/hotforsecurity/hackers-crypto-clipper-malware-binance/

03 Ajina.银行家：OTP代码和银行数据受到新病毒的攻击

一个新的恶意活动针对乌兹别克斯坦、亚美尼亚、阿塞拜疆、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯甚至冰岛等国的金融应用程序数据，传播一个叫做ajina的恶意软件。攻击者将恶意软件呈现为流行的应用程序，如银行服务和政府门户网站。通过社会工程学传播，利用电报创建账户，发送指向恶意文件的链接。这些文件被伪装成诱人的报价，股票，甚至税务部门的应用程序。因此，用户屈服于“有利可图的奖励”或“独家访问”的承诺，在不知道恶意软件真实本质的情况下安装恶意软件。该木马于2024年5月发现，从2023年11月开始运行，目前有大约1400个独特的版本。

详细信息：https://www.securitylab.ru/news/552155.php

04 军事应用程序当诱饵攻击士兵以窃取身份验证和GPS数据

乌克兰军方人员遭遇假冒军事应用的网络攻击，黑客通过分发伪装成“GRISELDA”和“Eyes”系统的恶意链接，窃取士兵的身份认证信息和GPS数据。CERT-UA 联合乌克兰军方发现并阻止了这两次攻击。假冒的“GRISELDA”应用实际上是“HYDRA”后门程序，能远程访问设备并窃取敏感数据；而“Eyes”系统的修改版则嵌入恶意代码，能够窃取登录信息和实时GPS数据。这些信息可能被用于追踪士兵位置，危及战场安全。

详细信息：https://mp.weixin.qq.com/s/_AGIpUNKATJ7chom2dw9nQ

05 黎巴嫩寻呼机（BP机）爆炸事件研判分析

黎巴嫩首都贝鲁特以及黎巴嫩东南部和东北部多地发生大量寻呼机（BP机）爆炸事件。初步分析认为这是一起基于供应链（含配送物流）侧，将爆炸物和通讯设备相结合，利用远程信号激活控制电路，实现批量触发爆炸的严重事件。

详细信息：https://mp.weixin.qq.com/s/Nig1aBKt40IaM9HdPbV1RA

01 DarkHotel APT 组织 Observer 木马攻击分析

2023年8月至2024年7月，我们观察到Darkhotel的持续攻击活动，并使用了两套不同的攻击武器及技战术。攻击行业也早已脱离了Darkhotel名字代表的酒店行业。2019年之后有关 Darkhotel 组织的行动在开源情报中的占比连年降低，同时国内厂商曝光了数个具有东北亚背景且技战术不同的攻击集合，我们认同这些攻击集合都是 Darkhotel 的子集，Darkhotel只是一个代表了该背景的攻击集合名字。

详细信息：https://paper.seebug.org/3225/

02 UNC1860 和燕麦庙：伊朗在中东网络中的暗中操纵

UNC1860 是一个持续性且机会主义的伊朗国家支持的威胁行为者，可能与伊朗情报和安全部 (MOIS) 有关联。UNC1860 的间谍技术和目标定位与Shrouded Snooper、Scarred Manticore和Storm - 0861相似，这些伊朗威胁行为者公开报道称其针对的是中东的电信和政府部门。Mandiant 发现了两个自定义的 GUI 操作恶意软件控制器，我们对其进行了评估，这两个控制器被追踪为 TEMPLEPLAY 和 VIROGREEN，它们被用来为 UNC1860 之外的团队提供对受害者网络的远程访问。这些工具，加上公开报告和证据表明该组织与 APT34 等 MOIS 附属组织合作，进一步证实了 UNC1860 充当初始访问代理的评估。

详细信息：https://cloud.google.com/blog/topics/threat-intelligence/unc1860-iran-middle-eastern-networks/

03 CosmicBeetle 与 RansomHub 合作部署定制 ScRansom 勒索软件

被称为 CosmicBeetle 的威胁行为者在针对欧洲、亚洲、非洲和南美洲的中小型企业 （SMB） 的攻击中首次推出了一种名为 ScRansom 的新自定义勒索软件菌株，同时也可能是 RansomHub 的附属公司。已观察到攻击链利用暴力攻击和已知的安全漏洞（CVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475 和 CVE-2023-27532）渗透目标环境。入侵还涉及使用 Reaper、Darkside 和 RealBlindingEDR 等各种工具来终止与安全相关的进程，以在部署基于 Delphi 的 ScRansom 勒索软件之前避开检测，该勒索软件支持部分加密以加快进程和“擦除”模式，通过用常量值覆盖文件来使文件无法恢复。与 RansomHub 的联系源于这样一个事实，即斯洛伐克网络安全公司在一周内发现 ScRansom 和 RansomHub 有效载荷部署在同一台机器上。

详细信息：https://www.anquanke.com/post/id/300016

04 伊朗针对伊拉克政府基础设施发动攻击

一组名为 Veaty 和 Spearal的新恶意软件 ，它们被用于针对包括政府网络在内的不同伊拉克实体的攻击。恶意软件样本使用了多种技术，包括被动 IIS 后门、DNS 隧道和通过受感染的电子邮件帐户进行的 C2 通信。被动 IIS 后门似乎是 ESET报告 的 IIS Group 2 所采用的后门的较新变种（  赛门铁克也将其归因于 GreenBug 又名 APT34）。

详细信息：https://research.checkpoint.com/2024/iranian-malware-attacks-iraqi-government/

01 CVE-2024-7965在Chrome：数百万Android和macOS设备面临数据丢失的风险

Google浏览器中使用的JavaScript v8引擎中的严重漏洞威胁安卓-智能手机和一些型号的笔记本电脑macOS。谷歌表示，CVE-2024-7965与CVE-2024-7964有关，CVE-2024-7964是Chrome隐私沙盒平台的一个漏洞。这些漏洞结合在一起，使攻击者不仅可以控制受害者的浏览器，还可以访问敏感数据，如密码，访问历史记录和存储的cookie。成功的操作还允许您在设备上安装间谍软件，以跟踪用户在浏览器中的活动。分析显示，CVE-2024-7965漏洞扩展到ARM处理器架构的设备，如2020年11月之后发布的苹果笔记本电脑和任何版本的Android智能手机。

详细信息：https://www.securitylab.ru/news/552145.php

02 联发科 Wi-Fi 芯片组中的严重漏洞：零点击漏洞 (CVE-2024-20017) 威胁路由器和智能手机

CVE-2024-20017 是一个严重的零点击漏洞，影响联发科 Wi-Fi 芯片组 MT7622/MT7915 和 RTxxxx SoftAP 驱动程序包，这些驱动程序包用于 Ubiquiti、小米和 Netgear 等多家制造商的产品中。受影响的版本包括联发科 SDK 版本 7.4.0.1 及更早版本，以及 OpenWrt 19.07 和 21.02。这意味着各种各样的易受攻击的设备，包括路由器和智能手机。由于越界写入问题，该漏洞允许远程执行代码而无需用户交互。联发科已发布补丁来缓解该漏洞，用户应立即更新其设备。

详细信息：https://blog.sonicwall.com/en-us/2024/09/critical-exploit-in-mediatek-wi-fi-chipsets-zero-click-vulnerability-cve-2024-20017-threatens-routers-and-smartphones/

01 WhiteHouse.gov 数据泄露：威胁行为者泄露敏感信息！

暗网论坛上的一名为“l33tfg”的威胁行为者发布了一条关于 WhiteHouse.gov 涉嫌数据泄露的声明。攻击者提供了被盗数据的样本，声称这些数据直接来自 WhiteHouse.gov 域名。帖子指出，完整泄漏的数据包括电子邮件地址、电话号码、哈希值和 IP 地址等敏感信息。帖子还提供了所谓的“完整泄漏”的链接。但需要注意的是，根据泄露记录的典型格式和结构，共享的数据似乎是真实的。

详细信息：https://www.redhotcyber.com/en/post/whitehouse-gov-data-breach-threat-actors-leak-sensitive-information/

02 SpaceX 数据库涉嫌泄露事件在 BreachForums 上发布

暗网论坛上一位昵称l33tfg的用户声称发布了据称来自埃隆·马斯克旗下航空航天公司SpaceX的数据泄露事件。据该帖子称，此次泄露涉嫌包含敏感数据，包括电子邮件、密码哈希、电话号码、主机和IP 地址。虽然该消息尚未得到 SpaceX 或其他经过核实的消息来源的正式证实，但该事件可能对该组织及其公司数据的安全构成严重威胁。

详细信息：https://www.redhotcyber.com/en/post/alleged-spacex-database-breach-published-on-breachforums/

03 印尼政府被泄密 600 万个税务身份证、总统家属信息等

黑客"Bjorka"在暗网论坛上泄露了660万印尼纳税人的身份信息,其中包括普通公民和政府高层的个人资料。这些被盗数据以1万美元的价格出售,对印尼公民的隐私构成了重大威胁。据称,此次信息泄露发生在2024年9月,影响人数可能高达660万。泄露的数据被压缩成一个500MB的文件,解压后大小达2GB,包含数百万条CSV格式的记录。泄露的信息包括个人身份证号码(NIK)、税号(NPWP)、住址、出生日期,甚至当地税务局的联系方式。

详细信息：https://mp.weixin.qq.com/s/gyIoBGJR-3EFE4rYMOqFvw

04 以色列利用真主党的传呼机窃取情报

以色列执行了一项长达数年的复杂间谍行动，目的是利用真主党的通讯设备来对付他们。此次行动涉及对数千台传呼机和对讲机的协同爆炸，这些设备被改装并分发给真主党。第一波爆炸：目标是真主党使用的传呼机。传呼机在接收到特定信息后延迟爆炸，造成手部和面部伤害。第二波爆炸：针对真主党使用的对讲机，细节较少，但设备可能以类似方式被篡改和分发。在设备发给真主党和本周发生爆炸之间，这些设备被用于加密通信这一事实意味着以色列也很可能读取了他们的所有通信，并获得了大量情报意外收获。

详细信息：https://www.twz.com/news-features/how-israel-turned-hezbollahs-pagers-into-exploding-trojan-horses