首頁 > 安全研究 > 安全通報 > 安全簡訊

APT36通過多個偽造的YouTube APK分發CapraRAT

發布時間 2023-09-20

1、APT36通過多個偽造的YouTube APK分發CapraRAT


SentinelLabs在9月18日公開了APT36(又稱Transparent Tribe)使用了至少3個偽造成YouTube的Android應用程序包(APK)分發CapraRAT的活動。惡意軟件一旦安裝在目標設備上,就可以收集數據、記錄音頻或視頻以及訪問通信信息,本質就像間諜軟件一樣。惡意APK在Google Play之外分發,因此可能是通過社工攻擊進行分發。這些APK于2023年4月、7月和8月上傳到VirusTotal,其中兩個名為“YouTube”,一個被稱為“Piya Sharma”。


https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/


2、TrendMicro修復已被利用的RCE漏洞CVE-2023-41179


據媒體9月19日報道,Trend Micro修復了Apex One端點保護解決方案中的遠程代碼執行漏洞(CVE-2023-41179)。該漏洞存在于安全軟件附帶的第三方卸載程序模塊中,值得注意的是攻擊者必須先獲得目標系統上的管理控制臺訪問權限才能利用此漏洞。Trend Micro稱已觀察到至少有一次針對此漏洞的攻擊活動,強烈建議用戶盡快更新到最新版本。


https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/


3、Earth Lusca利用SprySOCKS針對多個國家的官方網站


9月18日,研究人員稱其發現了Earth Lusca利用新的Linux后門SprySOCKS的攻擊活動。分析表明,該后門源自開源Windows惡意軟件Trochilus,其許多功能被移植到Linux系統上,C2通信協議類似于Windows后門RedLeaves,交互式shell的實現源自Linux惡意軟件Derusbi。該活動利用Nday漏洞安裝Cobalt Strike beacon,然后分發SprySOCKS加載程序。Earth Lusca在今年上半年主要針對東南亞、中亞、巴爾干等地的外交事務、技術和電信相關的政府實體。


https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html


4、加拿大政府和金融等領域遭NoName057(16)的DDoS攻擊


據9月18日報道,加拿大的多個實體遭到了NoName057(16)的DDoS攻擊。加拿大網絡中心表示,自9月13日以來,其了解并響應了針對加拿大政府內部以及金融和運輸部門的多起DDoS攻擊活動。今年2月份,該中心觀察到針對其它國家的類似DDoS攻擊活動。NoName057(16)通常使用僵尸網絡來攻擊目標的Web服務器,然后夸耀其惡意活動。


https://www.cyber.gc.ca/en/alerts-advisories/distributed-denial-service-campaign-targeting-multiple-canadian-sectors


5、Sysdig披露針對不常見AWS服務的攻擊活動AMBERSQUID


Sysdig于9月18日披露了一種新的云原生加密劫持攻擊活動AMBERSQUID。此活動主要針對不常用的AWS服務,例如AWS Amplify、AWS Fargate和Amazon SageMaker。不常用意味著從安全角度來看這些服務經常被忽視,而AMBERSQUID活動可能會讓目標每天損失超過10000美元。該活動能夠利用云服務,而不會觸發AWS批準更多資源的請求。Sysdig表示它在分析了Docker Hub上的170萬個鏡像后發現了該活動,并將其歸因于印尼相關的攻擊者。


https://sysdig.com/blog/ambersquid/


6、Intel 471發布Bumblebee利用4shared WebDAV的分析


9月15日,Intel 471發布了關于Bumblebee利用4shared WebDAV的分析報告。Bumblebee在暫停兩個月后,于8月底恢復運營。這一輪活動開始于9月7日,依靠偽裝成掃描件、發票和通知的垃圾郵件來誘使收件人下載惡意附件。大多數附件是LNK文件,打開后會在目標計算機啟動一系列命令,首先是使用4shared共享存儲帳戶的硬編碼憑據在網絡驅動器上安裝WebDAV文件夾,最終會下載托管在WebDAV服務器上的Bumblebee。  


https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign

上一篇 下一篇