首頁 > 安全研究 > 安全通報 > 安全簡訊

GREF通過木馬化Signal和Telegram分發BadBazaar

發布時間 2023-09-01

1、GREF通過木馬化Signal和Telegram分發BadBazaar


ESET在8月30日披露了GREF通過Google Play和Galaxy商店的木馬化Signal和Telegram分發BadBazaar的活動。此次活動分別自2020年7月和2022年7月以來開始活躍,針對烏克蘭、波蘭、荷蘭、西班牙、葡萄牙、德國和美國等。GREF的兩個應用分別是Signal Plus Messenger和FlyGram,它們是開源IM應用程序Signal和Telegram的木馬化版本。其中,FlyGram可竊取聯系人列表、通話記錄、Google帳戶和WiFi等數據,Signal Plus Messenger除了竊取信息還監視目標的Signal通信。目前,Google Play已刪除惡意應用,但Galaxy商店仍然存在。


https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps/


2、美國NSC配置錯誤泄露約2000家公司的近萬個郵箱和密碼


據媒體8月31日報道,國家安全委員會(NSC)泄露了其成員的近萬個郵箱和密碼。NSC是美國的一個非營利機構,提供工作場所和駕駛安全培訓。研究人員在3月7日發現了NSC網站的一個子域,公開了其Web目錄列表。在可訪問的文件中,研究人員發現了存儲用戶郵件和密碼的數據庫備份,包括約9500個帳戶及其憑據。影響了約2000家大型公司和政府機構,如殼牌、英特爾、波音公司、司法部和FBI等。泄露憑據可能被用于撞庫攻擊來入侵目標公司。這些數據可被公開訪問時間長達5個月,目前該問題已被解決。


https://securityaffairs.com/150138/security/nasa-tesla-doj-verizon-2k-leaks.html


3、研究人員演示如何利用Windows容器隔離框架繞過檢測


據8月31日報道,研究人員Daniel Avinoam演示了如何利用Windows容器隔離框架來繞過終端安全解決方案。研究人員解釋說,Windows OS將每個容器到主機的文件系統分開,避免了系統文件的重復。每個容器都使用動態生成的鏡像,該鏡像使用重新分析點指向原始鏡像。結果是鏡像包含"幽靈文件",這些文件不存儲實際數據,但鏈接到文件系統上的另一個卷。然后,研究人員試圖利用這種重定向機制來混淆文件系統操作,并繞過安全產品。


https://securityaffairs.com/150111/hacking/windows-container-isolation-framework-abuse.html


4、WP數據遷移插件中漏洞CVE-2023-40004可導致數據泄露


媒體8月30日稱,All-in-One WP Migration插件中的訪問控制漏洞(CVE-2023-40004)可導致數據泄露。這是一款WordPress網站遷移工具,擁有500萬個活躍的安裝。Patchstack稱,該插件提供商ServMask的各種高級擴展都包含相同的易被攻擊代碼,這些代碼在init函數中缺乏權限和隨機數驗證。該漏洞可被用來訪問和控制受影響擴展的令牌配置,從而將網站遷移數據轉移到自己的第三方云服務帳戶或恢復惡意備份,成功利用可能導致數據泄露。研究人員在7月18日發現了這個漏洞,該漏洞在7月26日被修復。

https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/


5、Trend Micro發布Earth Estries攻擊活動的分析報告


8月30日,Trend Micro發布了關于Earth Estries攻擊活動的分析報告。該團伙至少自2020年就開始活躍,其TTP與另一個黑客團伙FamousSparrow存在一些重疊。攻擊者通常會在入侵目標的內部服務器后破壞管理員帳戶。然后橫向移動并安裝后門和其它工具,并收集和泄露有價值的數據。該團伙使用惡意軟件包括后門Zingdoor、信息竊取程序TrillClient和后門HemiGate。此外,Earth Estries的C&C基礎設施依賴于Fastly CDN服務,該服務曾被與APT41相關的團伙利用。 


https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html


6、Kaspersky發布2023年Q2 IT威脅態勢的分析報告


8月30日,Kaspersky發布2023年第二季度IT威脅態勢的分析報告。報告簡述了一些有針對性的攻擊包括,通過3CX供應鏈攻擊部署Gopuram后門、Lazarus的DeathNote活動、Tomiris的攻擊活動以及Triangulation活動等。報告還列出了其它惡意軟件的威脅,例如使用Windows 0day的Nokoyawa勒索攻擊、QBot木馬感染激增、Minas走向復雜之路、Satacom推出可竊取加密貨幣的瀏覽器擴展以及DoubleFinger用于竊取加密貨幣等。


https://securelist.com/it-threat-evolution-q2-2023/110355/

上一篇 下一篇