安全简讯（2024.10.31）

1. Strava健身应用被曝泄露多国总统安保人员位置信息

10月29日，Strava是一款全球广受欢迎的健身应用程序，拥有1.2亿用户，能够记录跑步、骑行等运动轨迹。然而，法国媒体《世界报》发现，Strava存在泄露敏感位置信息的风险，包括美国总统及其竞选人的贴身安保人员位置。据报道，至少26名美国特工在Strava上拥有公共账户，且在特朗普遭遇暗杀未遂事件后仍活跃于该平台。此外，法国和俄罗斯的总统安保人员也被发现使用该应用，涉及12名法国GSPR成员和6名俄罗斯FSO成员。这些安全人员在Strava上的行动可能导致安全漏洞，因为他们的运动轨迹可能暴露领导人下榻和会议地点的信息，甚至个人生活细节也可能被恶意利用。尽管美国特勤局和法国总统官方机构对此进行了回应，称使用Strava不会对安保行动构成威胁，但此前Strava发布的全球健身热区图就曾暴露美军在中东地区的机密活动位置，引发争议。此外，健身应用程序数据还可能被攻击者用于追踪潜在受害者，增加跟踪、抢劫等犯罪风险。因此，使用此类应用时需谨慎，避免泄露敏感信息。

https://cybernews.com/news/fitness-app-strava-location-biden-trump-harris/

2. Meta平台遭恶意广告活动侵袭，SYS01信息窃取程序全球肆虐

10月30日，一项新的恶意广告活动正在利用 Meta 平台传播 SYS01 信息窃取程序，该程序专门针对 45 岁以上的男性用户，通过伪装成流行软件、游戏和在线服务的虚假广告进行攻击。该活动自 2024 年 9 月首次被发现以来，已在全球范围内造成广泛影响，包括欧盟、北美、澳大利亚和亚洲等地。SYS01 程序会窃取 Facebook 凭证，特别是管理商业页面的账户，并利用这些账户进一步传播攻击。攻击者通过 MediaFire 链接提供看似合法的软件下载，这些下载内容包含恶意的 Electron 应用程序，一旦执行，就会植入并运行 SYS01 程序。该程序结合了反沙盒检查以逃避检测，并会提取包含核心恶意软件组件的受密码保护的存档。被盗账户不仅用于进一步攻击/诈骗，还被用来制作新恶意广告，绕过安全过滤器，形成一个自我维持的循环。因此，用户在 Facebook 上，尤其是运营商业页面的用户，必须警惕此类威胁。

https://hackread.com/fake-meta-ads-hijacking-facebook-sys01-infostealer/

3. 秘鲁Interbank遭数据泄露，黑客声称窃取300万客户信息

10月30日，秘鲁知名金融机构Interbank近期遭遇数据泄露事件，一名威胁行为者入侵其系统并盗取了客户数据，随后在网上进行泄露。尽管Interbank未透露具体受影响的客户数量，但Dark Web Informer发现，一名使用“kzoldyck”用户名的黑客正在多个论坛出售据称从该银行窃取的数据。据黑客声称，他们能够获取Interbank客户的全名、账户ID、出生日期、地址、电话号码、电子邮件地址和IP地址等敏感信息，以及信用卡信息、银行交易数据等，总量超过3.7TB。此外，黑客还声称拥有客户的明确用户名和密码信息，可以从秘鲁IP块访问银行账户。黑客表示，他们两周前曾尝试与Interbank管理层谈判但未果，因此决定公开泄露数据。Interbank已确认发生数据泄露，并表示已部署额外安全措施保护客户信息和运营，同时保证客户存款安全，并指出大多数业务渠道已恢复在线。

https://www.bleepingcomputer.com/news/security/interbank-confirms-data-breach-following-failed-extortion-data-leak/

4. 朝鲜黑客组织Andariel涉嫌参与Play勒索软件行动并逃避制裁

10月30日，朝鲜国家支持的黑客组织Andariel被追踪与Play勒索软件行动有关联，据Palo Alto Networks及其Unit 42研究人员的报告称，Andariel可能是Play的附属机构或初始访问代理，协助在其入侵的网络上部署恶意软件。Andariel是一个受朝鲜政府支持的APT组织，与朝鲜军事情报机构侦察总局有关联，曾因攻击美国利益而受到美国制裁。此前，Andariel也曾与Maui勒索软件行动有关。在2024年9月的一次Play勒索软件事件响应中，Unit 42发现Andariel在其客户的受感染网络中活动，并在几个月后Play勒索软件才在网络上执行。研究人员认为Andariel的存在和Play在同一网络上的部署有关联，但不确定Andariel是否充当了Play附属机构或向攻击者出售了受感染网络的访问权限。通过与勒索软件团伙合作，Andariel得以逃避国际制裁，这种策略类似于之前受到制裁的俄罗斯黑客组织Evil Corp和伊朗威胁行为者。

https://www.bleepingcomputer.com/news/security/north-korean-govt-hackers-linked-to-play-ransomware-attack/

5. Android版FakeCall恶意软件劫持银行电话，窃取敏感信息

10月30日，Android版FakeCall恶意软件的新版本通过将自己设置为默认呼叫处理程序，能够劫持用户拨打银行电话的呼叫，并将其重定向到攻击者的电话号码。该恶意软件以语音网络钓鱼为重点，旨在窃取人们的敏感信息和银行账户资金。除了语音网络钓鱼，它还能捕获实时音频和视频流。最新版本的FakeCall增加了多项改进和攻击机制，如蓝牙监听器、屏幕状态监视器和辅助功能服务，以获得对用户界面的广泛控制，并允许攻击者执行各种操作，如获取设备位置、删除应用程序、录制音频或视频以及编辑联系人。此外，该恶意软件还在积极开发中，增加了将恶意软件配置为默认呼叫处理程序、实时播放设备屏幕内容等新功能。Zimperium发布了入侵指标列表以帮助用户避开恶意应用，但建议用户从Google Play安装应用以避免风险。

https://www.bleepingcomputer.com/news/security/android-malware-fakecall-now-reroutes-bank-calls-to-attackers/

6. EmeraldWhale扫描Git配置文件，窃取15,000个云帐户凭据

10月30日，名为“EmeraldWhale”的大规模恶意操作利用自动化工具扫描暴露的Git配置文件，从数千个私人存储库中窃取了超过15,000个云帐户凭据。这些凭据被用于下载存储在GitHub、GitLab和BitBucket上的存储库，并进一步扫描以获取更多凭证。被盗数据被泄露至其他受害者的Amazon S3存储桶中，并被用于网络钓鱼、垃圾邮件活动或直接出售给其他网络犯罪分子。EmeraldWhale背后的威胁行为者使用开源工具扫描约5亿个IP地址上的网站，特别是检查Laravel应用程序中的/.git/config文件和环境文件(.env)是否暴露。这些文件中可能包含API密钥、云凭证等敏感信息。Sysdig观察到，黑客使用商品工具集简化这一流程，并在暴露的S3存储桶中发现了大量机密信息。研究人员指出，这次活动依赖于商品工具和自动化，但仍然成功窃取了数千个可能导致灾难性数据泄露的机密。软件开发人员应使用专用的秘密管理工具来降低风险。

https://www.bleepingcomputer.com/news/security/hackers-steal-15-000-cloud-credentials-from-exposed-git-config-files/