每周安全事件 221209-1215

高级威胁事件

1. MuddyWater 使用专为托管服务提供商设计的远程管理工具 Syncro

2. Charming Kitten 的 Drokbk 恶意软件

3. Lazarus 通过电报和 Excel 文件瞄准加密市场

4. Agrius 使用恶意软件 Fantasy 进行供应链攻击

5. Silence 正在使用Truebot恶意软件感染越来越多的设备

6. Evilnum 使用新的 Janicab 变体瞄准旅行社和金融实体

7. APT42 瞄准激进主义、新闻业和政治领域的关键人物

8. Kimsuky 采用新的网络钓鱼策略通过咨询朝鲜事务专家获取情报

9. Charming Kitten 组织将重点扩大到美国政客和关键基础设施

非传统领域国家安全事件

1. 【科技安全】荷兰据信即将宣布新措施配合美国对中国实施芯片出口管制

2. 【海外利益安全】德政府正拟投资秘密清单，与中国“一带一路”竞争

国家安全事件

1. 黑客入侵了美国联邦调查局网络安全论坛

2. 恶意软件 CryWiper 在大肆清除俄罗斯众多法院和市长办公室的数据

数据泄露事件

1. 优步在供应商受到攻击后遭受新的数据泄露

2. Lockbit 勒索软件团伙声称从美国加州财政部窃取了76GB数据

3. 澳大利亚电信公司 Telstra 泄露13万客户数据

4. 超过 225,000 个电子邮件帐户在暗网市场上待售

5. 支付巨头 Cornerstone Payment Systems 敏感记录泄露

其他网络安全事件

1. 许多受信任的 EDR 工具可以变成破坏性的数据擦除器

2. 俄罗斯黑客组织 TAG-53 对美国军事武器与硬件供应商发动钓鱼攻击

3. Claroty公司研究出可绕过多家供应商Web应用防火墙 (WAF) 的技术

4. 谨防 Lokibot 以年终报价查询为幌子索取企业资料

移动端安全事件

1. 安卓 APP 泄露海量用户浏览历史记录数据

2. Xnspy 应用程序监视了六万部安卓和苹果用户设备

3. Zombinder 服务可木马化合法的安卓应用程序

组织：疑似 MuddyWater（又名Seedworm/MERCURY/Static Kitten，伊朗情报与安全部MOIS）

攻击目标： 亚美尼亚、阿塞拜疆、埃及、伊拉克、以色列、约旦、阿曼、卡塔尔、塔吉克斯坦和阿拉伯联合酋长国

攻击手法：【鱼叉式钓鱼攻击】

Deep Instinct 研究人员在 10 月初观察到最近的 MuddyWater 活动，此次活动与以往浪潮的不同之处在于使用了一种名为“Syncro”的新型远程管理工具进行黑客活动。研究人员观察到该组织使用一种以 HTML 附件形式出现的新诱饵，同时还增加了其他提供商来托管包含远程管理工具安装程序的档案。攻击者开始使用 Dropbox 来托管带有 Syncro 安装程序的存档，但是大多数 Syncro 安装程序仍托管在 OneHub 中。

攻击链

在调查 MuddyWater 使用的一些安装程序时，研究人员发现对于每封独特的邮件都使用了一个新的 MSI。在大多数情况下，MuddyWater 使用带有单个 MSI 安装程序的单个子域，似乎大多数子域没有任何有用的含义，但是有一些是有明确含义的：mohammadosman6060 和 osmandembele4040 是足球运动员；netanyahu8585 和 benet5050 是以色列现任和前任总理；Cham Wings是一家叙利亚航空公司的名字。

远程管理工具的标准功能与签名的 MSI 安装程序相结合，为攻击者创造了完美的武器，以获得初始访问权限并开始对目标执行侦察。随后，它们使攻击者能够部署额外的后门、泄露文件或将访问权限移交给其他攻击者。

归因分析： 

1、发现与之前攻击中使用过的样本 “promotion.msi”。

2、攻击使用的 MSI 安装程序 使用了与之前相同的名字 “Ertiqa.msi”，但是包含 Syncro 安装程序。

3、目标地理位置和行业也与 MuddyWater 之前的目标一致。

综上所述，研究人员将攻击归因于 MuddyWater 组织。

原文链接：

https://www.deepinstinct.com/blog/new-muddywater-threat-old-kitten-new-tricks

发布平台： Deep Instinct

组织：疑似 Charming Kitten（又名APT35/Phosphorous/TunnelVision，伊朗） 

原文概述： 

研究人员发现Charming Kitten 使用 Drokbk 恶意软件进行攻击。该恶意软件使用 GitHub 作为 Dead Drop 解析器从受感染的计算机中窃取数据或接收命令。

Drokbk 是用 .NET 编写的，由一个投放器和一个有效负载组成。该恶意软件的内置功能有限，主要执行来自命令和控制（C2）服务器的其他命令或代码。Drokbk 与其他访问机制一起部署在入侵后，作为受害者环境中的一种附加持久性形式，是 Charming Kitten 首选的远程访问形式使用快速反向代理（FRPC）工具。它在 2022 年 2 月对美国地方政府网络的入侵中曾出现过。 

原文链接：

https://www.secureworks.com/blog/drokbk-malware-uses-github-as-dead-drop-resolver

https://thehackernews.com/2022/12/researchers-uncover-new-drokbk-malware.html

发布平台： Secureworks、The Hacker News

组织：疑似 Lazarus（又名 APT-C-26/APT38，朝鲜）

攻击目标： 加密货币投资初创公司

攻击手法： 【钓鱼攻击】

攻击者在 Telegram 上伪装成一家加密货币投资公司，并使用一个部署了恶意“精心设计”的恶意软件的 Excel 文件来攻击系统并远程访问加密货币投资初创公司。受害人被要求加入一个新群组，然后被要求提供对比较 Binance、OKX 和 Huobi VIP 费用结构的 Excel 文档的反馈。在获得目标的信任后，DEV-0139 随后发送了一个名为OKX Binance & Huobi VIP fee comparison.xls的武器化 Excel 文件，其中包含几张关于加密货币交易所公司费用结构的表格。文档中的数据很可能是准确的，以提高其可信度。根据微软的说法，武器化的 Excel文件会启动以下一系列活动：

1、武器化的 Excel 文件中的恶意宏滥用 VBA 的用户窗体来混淆代码并检索一些数据。

2、恶意宏会放置嵌入表单中的另一个 Excel 工作表，并以不可见模式执行它。上述 Excel 工作表以 base64 编码并放入 C:ProgramDataMicrosoft Media 中，名称为 VSDB688.tmp。

3、文件 VSDB688.tmp 下载一个包含三个可执行文件的 PNG 文件：一个名为 logagent.exe 的合法 Windows 文件、一个恶意版本的 DLL wsock32.dll 和一个 XOR 编码后门。

4、文件 logagent.exe 用于旁加载恶意 wsock32.dll，它充当合法 wsock32.dll 的 DLL 代理。恶意 DLL 文件用于加载和解密 XOR 编码的后门，使威胁行为者可以远程访问受感染的系统。

攻击链

原文链接：

https://www.microsoft.com/en-us/security/blog/2022/12/06/dev-0139-launches-targeted-attacks-against-the-cryptocurrency-industry/

发布平台： microsoft

组织：疑似 Agrius（伊朗）

攻击目标： 以色列的人力资源公司、IT 咨询公司和一家钻石批发商；在钻石行业工作的南非实体；一家总部设在香港的珠宝商

攻击手法： 【供应链攻击】

ESET 研究人员在分析滥用以色列软件开发商的供应链攻击时，发现了一种新的擦除器 Fantasy wiper 及其执行工具 Sandals。Fantasy wiper 的大部分代码库疑似来自 Agrius 之前的擦除器 Apostle，但并不像 Apostle 最初那样试图伪装成勒索软件，而是使用新工具 Sandals 远程连接到系统并执行 Fantasy，接着可以正确地擦除数据。

Agrius 利用面向互联网的应用程序中的已知漏洞来安装 webshell，然后在横向移动之前进行内部侦察，然后部署其恶意负载。除了上述恶意软件之外，Agrius 还部署了多种工具，例如 MiniDump、SecretsDump 和 Host2IP 来瞄准受害者系统。这些工具收集 Sandals 成功传播和执行 Fantasy 数据擦除器所需的用户名、密码和主机名。破坏数据后，擦除器将自身从系统中删除并重新启动系统（研究人员建议可以使用数据恢复工具进行恢复）。攻击者使用 PsExec 工具融入受害者系统的管理活动中，以便于执行批处理文件。

Fantasy wiper 执行流程

归因分析：

1、代码重用。Apostle 的大部分代码库，最初是一个伪装成勒索软件的擦除器，然后更新为实际的勒索软件，被直接复制到 Fantasy 中，而 Fantasy 中的许多其他功能只是从已知的 Agrius 工具 Apostle 稍作修改。然而，Fantasy 的整体功能是擦除器的功能，不会试图伪装成勒索软件。

2、研究人员在 Fantasy 中发现了 Apostle 执行流程的残余。

综上所述，研究人员认为捕捉到的恶意软件样本归因于 Agrius。

原文链接：

https://www.welivesecurity.com/2022/12/07/fantasy-new-agrius-wiper-supply-chain-attack/

发布平台： ESET

组织：疑似 Silence（俄罗斯）

攻击目标： 全球

原文概述： 自 2022 年 8 月以来，研究人员发现 Truebot 恶意软件的感染有所增加。最近，攻击者已从使用恶意电子邮件作为主要发送方式转向使用其他技术：8 月，攻击者利用Netwrix auditor最新的远程代码执行漏洞 CVE-2022-31199 进行攻击；10 月，攻击者大量利用 Raspberry Robin（一种最近通过 USB 驱动器传播的恶意软件）作为传播媒介感染设备。研究人员认为在 11 月，攻击者开始使用另一种方式来分发恶意软件。妥协后的活动包括数据盗窃和 Clop 勒索软件的执行。在调查其中一次攻击时，研究人员发现捕捉到的样本似乎是一个功能齐全的自定义数据泄露工具，在攻击期间广泛用于窃取信息，研究人员称之为“Teleport”。

新的 Truebot 版本

到目前为止，研究人员已经确定了两个不同的 Truebot 僵尸网络。一个分布在世界各地，但特别关注墨西哥、巴基斯坦和巴西。第二个，最近的僵尸网络似乎集中在美国，并且观察到许多美国教育部门组织受到攻击。

ATT & CK

原文链接：

https://blog.talosintelligence.com/breaking-the-silence-recent-truebot-activity/

发布平台： Cisco Talos

组织：疑似 Evilnum（又名DeathStalker，白俄罗斯）

攻击目标： 中东和欧洲的法律、金融和旅行社

攻击手法： 【鱼叉式钓鱼攻击】

研究人员发现了一个新的 Janicab 变体，该变体在整个 2020 年期间用于针对中东的法律实体，可能在 2021 年活跃，并可能扩大可追溯到 2015 年初的广泛活动以及针对中东和欧洲的法律、金融和旅行社。目前攻击者继续使用 YouTube、Google+ 和 WordPress 网络服务作为 DDR。值得注意的是，之前该攻击者从未以旅行社作为攻击目标。

攻击者使用基于 LNK 的 dropper 在 ZIP 文件进行钓鱼攻击，在一个样本 Janicab 案例中，诱饵是一个工业公司简介（液压），与之前 PowerPepper 入侵中使用的诱饵主题相匹配。一旦受害者被诱骗打开恶意 LNK 文件，一系列链接的恶意软件文件就会被丢弃。LNK 文件有一个嵌入式“命令行参数”字段，旨在提取和执行编码的 VBScript 加载程序 (1.VBE)。后者将删除并执行另一个嵌入和编码的 VBScript (2.VBE)，它将提取包含其他资源和 Python 库/工具的 CAB 存档 (cab.cab)，并通过提取最后阶段结束感染——一个基于 VBScript 的称为 Janicab 的植入物。最后阶段将通过在启动目录中部署一个新的 LNK 文件来启动持久性，并将开始与 DDR Web 服务通信以收集实际的 C2 IP 地址。

Janicab 和 Powersing 在执行流程以及 VBE 和 VBS 的使用方面彼此非常相似，但它们的 LNK 的结构有些不同。此外，较新的 Janicab 变体相较于旧版还嵌入了一个 CAB 存档，其中包含几个 Python 文件和其他在入侵生命周期后期使用的工件。

Powersing 与新旧 Janicab 变体之间的比较

归因分析：基于威胁参与者使用的新 Janicab 变体、独特的 TTP、受害者学和基础设施的使用，以及Janicab 和 Powersing 的比较入侵分析突出了网络杀伤链几个阶段的相似性，研究人员将此次攻击归因于 Evilnum 组织。

1、与之前 Deathstalker 入侵中使用的 LNK dropper 相同的 SID 和元数据。

2、Janicab 和 Powersing 在启动文件夹中使用 LNK 的类似持久性机制。

3、Janicab 具有类似的感染执行流程，并使用 VBS、VBE 和 Python 等解释语言工具集。

4、Janicab macOS 和 Windows 版本的 Python 文件命名类似于 EVILNUM 恶意软件（例如，runner.py、serial.txt 等）。

综上所述，研究人员将攻击归因于 Evilnum 组织。

原文链接：

https://securelist.com/deathstalker-targets-legal-entities-with-new-janicab-variant/108131/

发布平台： 卡巴斯基

组织：疑似 APT42（伊朗伊斯兰革命卫队 IRGC）  

攻击目标： 在中东工作的人权活动家、记者、研究人员、学者、外交官和政治家

攻击手法： 【鱼叉式钓鱼攻击】

感染链开始于目标在 WhatsApp 上接收可疑消息，该消息以邀请他们参加会议为借口，并引诱受害者点击一个恶意 URL，该 URL 页面伪装为 Microsoft、Google 和 Yahoo 的登录页面，并捕获受害目标输入的凭据。当攻击者获得对目标的电子邮件、云存储驱动器、日历和联系人的访问权限后，会使用从核心和附加服务导出数据的服务执行 Google Takeout 帐户，以存档文件的形式泄露与其 Google 帐户相关的全部数据。

原文链接：

https://www.hrw.org/news/2022/12/05/iran-state- backed-hacking-activists-journalists-politicians

https://socradar.io/dark-web-profile-apt42-iranian-cyber-espionage-group/

发布平台： 人权观察组织、SOCRadar

组织：疑似  Kimsuky（又名SharpTongue/ Thallium/SectorA05/APT-C-55，朝鲜）

攻击目标： 朝鲜事务专家

攻击手法： 【钓鱼攻击】

Kimsuky 正在冒充智囊团的研究人员，委托朝鲜事务专家对朝鲜感兴趣的领域进行报告。该活动于 1 月首次启动，自从情报收集过程发生变化后，已被证明非常成功。在某些情况下，攻击者甚至使用伪造的电子邮件冒充研究机构，与目标接触数月以获取所有相关信息。

这种技术值得人们注意的是：

1、与发起鱼叉式网络钓鱼活动、构建恶意软件以及遍历受感染的电子邮件帐户以获得正确的情报相比，使用这种技术从某些来源收集信息更有效、更快捷。

2、Kimsuky 直接从专家那里获得信息，无需第三方进行解释。 

3、微软表示，威胁行为者还与专家进行了接触，即使在他们做出回应后也从未发送过任何恶意链接或文件。 

4、这种技术帮助他们逃避安全解决方案的检测，这些安全解决方案会扫描并标记恶意软件警告。

归因分析： Kimsuky 自 2012 年以来一直在运营，通过发送网络钓鱼电子邮件诱骗受害者泄露密码或点击包含恶意软件的附件或链接，其新策略似乎与朝鲜政权收集全球情报的做法一致。

原文链接：

https://www.reuters.com/world/asia-pacific/north-korean-cyber-spies-deploy-new-tactic-tricking-foreign-experts-into-writing-2022-12-12/

发布平台： reuters

组织：疑似 Charming Kitten（又名APT35/Phosphorous/TunnelVision，伊朗）

攻击目标： 医学研究人员、航空航天工程师、房地产经纪人和旅行社等

原文概述： 研究人员称，在过去两年中，被称为TA453的组织悄悄地在其产品组合中增加了“离群”攻击，似乎与伊朗国家行为者更密切地合作以执行他们的投标。在这些活动中，TA453 使用受感染的帐户、恶意软件和对抗性诱饵来追踪具有从医学研究人员到房地产经纪人到旅行社等各种背景的目标。

归因分析：  基于 PWC 确定的Charming Kitten 报告和 IRGC 单位之间的单位编号重叠、 美国司法部 对 Monica Witt 和 IRGC 附属行为者的起诉，以及与 TA453 目标相比的分析报告 IRGC-IO 优先事项等，研究人员以适度的信心判断，更具侵略性的 TA453 活动可能代表与伊朗国家另一个分支机构的合作，包括 IRGC Quds Force。

原文链接：

https://www.proofpoint.com/us/blog/threat-insight/ta453-refuses-be-bound-expectations

发布平台： proofpoint

彭博新闻社引述消息人士们的话称荷兰官员正计划对向中国出口芯片制造设备实施新的管制，从而配合美国限制中国获取高端技术的计划。目前这一计划尚未确定，但据知情人士透露，或许将在2023年初正式达成。前段时间，荷兰方面两度发声称在对华政策上，不会和美国亦步亦趋，将捍卫自身的利益；同时，荷兰外贸大臣还强调，尤其是在芯片设备对华出口领域，荷兰将做出自己的决定，与中国保持合作关系。然而，才过了短短不到一个月，荷兰就变卦了。对此，中韩联合表示将共同抵制美国这种逆全球化陈旧思维和单边霸凌，共同维护和践行真正的多边主义。

原文链接：

https://www.bloomberg.com/news/articles/2022-12-07/us-led-curbs-on-china-tech-to-tighten-as-dutch-plan-new-controls

https://mp.weixin.qq.com/s/w7p5H7692jAT1oE66q1qMA

发布平台： bloomberg、观察者网

德国《商报》12日报道，欧盟希望通过“全球门户”计划对抗中国的共建“一带一路”倡议，称“这是对抗中国全球影响力的政府计划”。《商报》从德国政府获得的文件显示，德国政府正在制定具体的投资秘密清单，其中一个重点是巴尔干地区。德国政府认为，欧洲应努力改善老挝、越南和泰国之间的交通联系。“该项目可能是‘一带一路’南北路线的欧洲替代方案，”德国政府的文件写道。除了基础设施项目和绿色能源项目，德国政府还计划投资数字化工程。其列出的清单建议，“全球门户”可以入股一条连接智利和澳大利亚的海底电缆，该电缆预计于2025年投入运营。

原文链接：

https://mp.weixin.qq.com/s/ydmzgdbnUEUtQ2X8TTVdlA

发布平台： 环球时报

一名黑客使用伪造的电子邮件地址冒充一家美国金融机构的首席执行官，以获得局批准的访问 FBI 公私网络安全论坛 InfraGard 的权限，现在正在出售其 80,000 多名成员的详细信息。

原文链接：

https://www.govinfosecurity.com/hacker-reportedly-breaches-us-fbi-cybersecurity-forum-a-20712

发布平台： govinfosecurity、BreachForums

据安全公司卡巴斯基和俄罗斯《消息报》新闻社报道，俄罗斯的众多市长办公室和法院近期遭到了一种前所未见的恶意软件的攻击。这种恶意软件伪装成勒索软件，但实际上是一种数据擦除恶意软件，可以永久销毁受感染系统上的数据。卡巴斯基的研究人员将这种数据擦除软件命名为 CryWiper，表明后缀名 .cry 被附加到被破坏的文件后面。

原文链接：

https://www.kaspersky.com/blog/crywiper-pseudo-ransomware/46480/

https://arstechnica.com/information-technology/2022/12/never-before-seen-malware-is-nuking-data-in-russias-courts-and-mayors-offices/%E2%80%8B%E2%80%8Bhttps://iz-ru.translate.goog/1433190/ivan-chernousov/stiratelnyi-pocherk-gosstruktury-atakoval-novyi-virus-shifrovalshchik?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=en-US

发布平台： kaspersky、Izvestia

一个名为“UberLeaks”的威胁参与者开始在一个以发布数据泄露事件而闻名的黑客论坛上泄露据称从 Uber 和 Uber Eats 窃取的数据。泄露的数据包括许多声称是与 Uber 和 Uber Eats 使用的移动设备管理平台（MDM） 以及第三方供应商服务相关联的源代码的档案，即包括源代码、IT 资产管理报告、数据销毁报告、Windows 域登录名和电子邮件地址以及其他企业信息。经安全研究人员分析，泄露的数据包含足够详细的信息，可以对 Uber 员工进行有针对性的网络钓鱼攻击，以获取更敏感的信息，例如登录凭据。

Uber 数据在黑客论坛上泄露

发布平台： BreachForums

LockBit 勒索软件团伙声称从加州财政部窃取了76GB数据，并威胁表示，如果受害者不在 12 月 24 日之前支付赎金，就会泄露被盗数据。该组织将美国机构添加到其 Tor 泄密网站上公布的受害者名单中。LockBit 勒索软件团伙声称窃取了数据库、机密数据、财务文件、证明、法庭和法庭性诉讼、IT 文件等。12 月 12 日，加州财政部通过声明证实了安全事件。

发布平台： 暗网、Cal-CSIC

澳大利亚电信供应商 Telstra 因错误的泄露了超过 13万名客户的姓名、号码和地址，发布道歉声明。该公司内部人员表示正在从“目录服务和白页的在线版本”中删除已确定的受影响客户。该事件可能还影响了 30,000 名过去和现在的 Telstra 员工，其中近 12,800 人仍在这家电信巨头工作。此外，攻击者还伪装成 IT 支持人员，以进一步获取受影响的客户信息。

发布平台： Telstra 

网络情报公司 KELA 发现超过 225,000 个电子邮件帐户在暗网市场上待售。据报道，主要的网络邮件商店 Xleet 和 Lufix 共享对超过 100,000 个公司电子邮件帐户的非法访问。大多数报价在 2 美元到 30 美元之间。这些数据是使用凭据填充攻击和网络钓鱼技术窃取的，或者可能被其他网络犯罪分子共享。

发布平台： KELA 

Website Planet 偶然发现了一个开放的、不受保护的数据库，该数据库属于加利福尼亚的一家信用卡处理公司Cornerstone Payment Systems 。该数据库包含超过 900 万条交易记录，包括商家和收款人的 PII 和信用卡相关数据。

发布平台： website planet

许多受信任的端点检测和响应 (EDR) 技术可能存在漏洞，攻击者可以通过该漏洞操纵产品以擦除已安装系统上的几乎所有数据。研究人员 Or Yair 测试了来自不同供应商的 11 种 EDR 工具，发现有 6 种工具存在漏洞——来自总共四家供应商——。易受攻击的产品包括 Microsoft Windows Defender、Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus 和 SentinelOne。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/cyberattackers-popular-edr-tools-destructive-data-wipers

发布平台： darkreading

研究人员发现一批针对性的网络钓鱼网站与俄罗斯国家背景的黑客组织 TAG-53 有关，这些钓鱼网站形成的规模性网络基础设施用于伪装成合法实体，对政府、情报和军事行业的目标展开凭据收集活动。例如多数钓鱼网站的域名伪装成目标的官网域名，而且钓鱼网页伪造成 Global Ordnance 公司的 Microsoft 账号登录页面，Global Ordnance 是一家合法的美国军事武器和硬件供应商。

原文链接：

https://www.recordedfuture.com/exposing-tag-53-credential-harvesting-infrastructure-for-russia-aligned-espionage-operations

发布平台： recordedfuture

Claroty 的研究人员设计了一种攻击技术，用于绕过多家行业领先供应商的 Web 应用程序防火墙 (WAF)。研究人员发现，使用 JSON 语法可以制作新的 SQLi 有效载荷，这些有效载荷因为此前并不为人所知，可用于逃避检测规则并绕过许多安全工具，甚至一些领先的 WAF 供应商在对 SQL 注入的检查过程中不支持 JSON  语法，这些供应厂商包括 Cloudflare、F5、Imperva 和 Palo Alto Networks等。

原文链接：

https://claroty.com/team82/research/js-on-security-off-abusing-json-based-sql-to-bypass-waf

发布平台： claroty

ESRC 的研究人员发现了大批以索取报价为目的的钓鱼邮件。攻击者利用企业经常在年末索取报价，为明年的业务做准备，确保预算安全，来分发伪装成报价查询的恶意邮件。据推测，恶意电子邮件是使用已经通过其他途径泄露的普通用户的电子邮件帐户分发的，目的是获得收件人的信任。在捕捉到的某个样本中，发现电子邮件包含一个 word 文件，其中包含利用 CVE-2017-11882 漏洞的漏洞以及报价请求的内容。如果用户使用的是没有打补丁的 word 版本读取文件，就会感染恶意代码，shellcode 从攻击者设置的 C&C（208.67.105.179）下载一个额外的 payload，在 %appdata% 路径下名为“victoryloh583.exe”，并执行下载的 victoryloh583.exe 文件。最后，被执行的victoryloh583.exe文件利用Lokibot窃取存储在网络浏览器、邮件客户端、FTP 程序等中的账户密码以及用户PC信息，并将其发送到攻击者的C&C服务器。 

原文链接：

https://blog.alyac.co.kr/5012

发布平台： ESRC 

Web Explorer – Fast Internet 是一款基于 Android 的浏览器应用程序，由于其未受保护的 Firebase 实例，无意中暴露了包含敏感数据的数据库，存在泄露风险的数据包括用户 ID、用户国家和重定向数据（如目标地址）等等。Firebase 是一个移动应用程序开发平台，提供许多功能，包括分析、托管和实时云存储。该应用程序在 Google Play 商店的下载量超过 500 万次，用户评分高达 4.4/5。

原文链接：

https://cybernews.com/security/android-app-leaked-user-browsing-history/

发布平台： cybernews

Xnspy 是一款手机监控应用程序，窃取了数万部苹果和安卓设备的数据，其中大多数设备的所有者并不知道他们的数据已被泄露。这款应用以允许父母监控孩子的活动为幌子出售，但明确营销是在未经许可的情况下监视配偶或家庭伴侣的设备。购买该应用程序后，需要物理访问目标设备并偷偷植入软件，绕过设备上的安全保护，并且被设计为隐藏在主屏幕之外，这使得它们难以被发现。

原文链接：

https://techcrunch.com/2022/12/12/xnspy-stalkerware-iphone-android/?&web_view=true

发布平台： techcrunch

研究人员在在分析安卓银行木马 Ermac 的活动时，发现了一个使用多个木马并同时针对安卓和 Windows 用户的活动，以便尽可能多地感染目标。除了 Ermac 安卓银行木马外，该活动还涉及 Erbium、Aurora 窃取器和 Laplas“clipper”形式的桌面恶意软件。这场运动造成了数千名受害者。

原文链接：

https://www.threatfabric.com/blogs/zombinder-ermac-and-desktop-stealers.html

发布平台： threatfabric