安全资讯报告
23个应用程序被识别为PhoneSpy恶意软件
该恶意软件可以窃取关键数据,包括已安装应用程序的完整列表、拨打的电话总数和智能手机中可用的消息总数。在Android恶意软件攻击的最新发现中,发现名为PhoneSpy的间谍软件感染了美国和韩国市场的设备。已发现该恶意软件感染了23个Android应用程序
PhoneSpy恶意软件能够窃取重要数据,包括消息、图像、电话,甚至可以远程访问您设备的位置。此外,通过各种受感染的应用程序权限,恶意软件甚至可以访问已安装应用程序的完整列表,使用手机上的摄像头和麦克风录制音频和视频。该恶意软件甚至可以提取设备信息,例如IMEI号码、设备名称及其品牌。
报告恶意软件的Zimperium移动安全机构表示,“该应用程序能够卸载任何用户安装的应用程序,包括移动安全应用程序。恶意行为者可以实时获得设备的精确位置,而受害者并不知道。该间谍软件还使威胁参与者能够使用网络钓鱼页面来获取Facebook、Instagram、Google和KakaoTalk的凭据。”
如果您使用的是Android设备,则需要记住,从不受信任的第三方应用商店下载和安装应用是不可取的。我们建议坚持使用Google Play商店下载您的所有应用程序。此外,用户切勿点击通过SMS消息或电子邮件发送的任何可疑的下载任何应用程序的链接。此外,用户不应点击链接或下载通过可疑电子邮件和消息发送的附件。
新闻来源:
https://www.91mobiles.com/hub/23-apps-identified-with-phonespy-malware/
立即从您的Android手机中删除这13个“小丑”应用程序
一组Android应用程序实际上是危险的Joker恶意软件的容器,它们可以从您的消息中窃取一次性登录代码或在未经您同意的情况下为您订阅昂贵的服务。
受木马恶意软件感染的应用程序已从Google Play商店下架,但部分Android用户可能仍安装了这些应用程序并构成危险。
安全专家指出,如果您的数据或电池使用量突然激增,则可能是恶意软件正在您的设备上运行后台任务。检查以确保您的朋友都没有收到您的神秘消息,尤其是带有奇怪链接的消息。恶意软件可以使用您的手机向您的联系人列表中的人发送消息,并进一步感染您的网络。
以下应用程序充当恶意软件的后门,使Android用户面临风险:
- Battery Charging Animations Battery Wallpaper
- Battery Charging Animations Bubble Effects
- Classic Emoji Keyboard
- Dazzling Keyboard
- Easy PDF Scanner
- EmojiOne Keyboard
- Flashlight Flash Alert On Call
- Halloween Coloring
- Now QRcode Scan
- Smart TV remote
- Super Hero-Effect
- Volume Booster Hearing Aid
- Volume Booster Louder Sound Equalizer
新闻来源:
https://www.the-sun.com/tech/4114969/joker-malware-apps-android-phone-cybersecurity-hack-trojan/
卡巴斯基预测2022年的8种高级威胁
1.APT新参与者的涌入
最近针对NSO等攻击性安全公司的法律案件使监视软件的使用成为人们关注的焦点。NSO是一家提供攻击性安全等服务的以色列公司,它被指控向政府提供间谍软件,而这些间谍软件最终会攻击记者和活动家。
2.移动设备定位
Android允许更轻松地安装第三方应用程序,这导致更多面向网络犯罪的恶意软件环境,而iOS主要是由先进的民族国家赞助的网络间谍活动的目标。2021年披露的Pegasus案为iOS零点击、零日攻击带来了新的维度。
3.更多供应链攻击
今年,REvil/Sodinokibi勒索软件组织瞄准了托管服务提供商。这种攻击是毁灭性的,因为它允许一个攻击者,一旦他或她成功地破坏了提供商,就可以轻松地同时攻击更多的公司。供应链攻击将成为2022年及以后的增长趋势。
4.在家工作创造进攻机会
攻击者将寻找利用未完全修补或保护的家用计算机的新机会,以在企业网络中获得初步立足点。
5.地缘政治:META地区的APT攻击增加
中东和土耳其周边的地缘政治紧张局势加剧,以及非洲已成为城市化速度最快的地区并吸引了大量投资,这些很可能会增加META地区,尤其是非洲的重大APT攻击数量。
6.存在风险的云安全和外包服务
云安全为全球公司提供了许多优势,但对此类基础设施的访问通常取决于单个密码或API密钥。此外,在线文档处理或文件存储等外包服务包含的数据对于APT威胁参与者来说可能非常有趣。
这将“吸引攻击者的注意力,并将成为复杂攻击的主要目标。
7.回到引导包
攻击者通常会避开低级引导包,因为它有更高的导致系统故障的风险。此外,创建它们需要更多的精力和技能。对bootkit的攻击性研究还很活跃,预计会有更先进的植入物。
8.澄清可接受的网络攻击做法
2021年,网络战使得法律起诉书更多地被用作对抗行动的武器库的一部分。一些国家将在2022年发布他们的网络攻击分类,详细说明哪些类型的攻击媒介和行为是禁止的。
新闻来源:
https://www.techrepublic.com/article/8-advanced-threats-kaspersky-predicts-for-2022/
勒索软件现在是一个巨大的黑洞,正在吸收所有其他形式的网络犯罪
安全公司Sophos在一份报告中表示:“勒索软件黑洞的引力正在吸引其他网络威胁,形成一个庞大的、相互关联的勒索软件传输系统——这对IT安全具有重大影响。”
许多专家认为勒索软件是企业面临的最紧迫的安全风险——而且它对所涉及的团伙来说极其有利可图,赎金支出显着增加。
勒索软件正变得更加模块化,不同的团体专门研究攻击的特定元素。它还指出了“勒索软件即服务”的相关兴起,犯罪团伙在缺乏自己创建这些工具的技术能力时,可以购买工具来运行他们自己的勒索软件攻击。
这些所谓的勒索软件“附属机构”甚至不必找到自己的潜在受害者:勒索软件生态系统已经发展,因此他们可以转向其他专门获得企业网络访问权限的团体,并将后门出售给他们.
除了与这些“初始访问代理”开展业务外,潜在的勒索软件攻击者还可以求助于僵尸网络运营商和恶意软件交付平台来寻找和瞄准潜在受害者。Sophos说,由于潜在的利润,这些团体越来越专注于为勒索软件团伙提供服务,而不是专注于利润较低的在线犯罪形式。
已建立的网络威胁将继续适应分发和传递勒索软件。其中包括加载程序、投放程序和其他商品恶意软件;越来越先进的人工操作的初始访问代理;垃圾邮件和广告软件。勒索软件即服务的想法已经存在了一段时间,并且通常是技术水平较低或资金不足的攻击者采用的一种方式。
研究表明,勒索软件团伙现在已经足够富有,可以开始购买自己的零日漏洞,以前只有国家支持的黑客才能使用这种漏洞。
新闻来源:
https://www.zdnet.com/article/ransomware-is-now-a-giant-black-hole-that-is-sucking-in-all-other-forms-of-cybercrime/
SharkBot木马以银行和加密货币凭证为目标
新发现的名为SharkBot的银行木马现在通过侧加载活动和/或社会工程活动瞄准英国、意大利和美国的银行和加密货币服务客户,该活动试图“通过自动转账系统技术从受感染设备发起资金转账”据Cleafy威胁情报研究团队称,它绕过了多因素身份验证机制,例如强客户身份验证。
研究人员表示,该恶意软件针对英国和意大利的22家不同银行的客户以及美国的5家加密货币服务机构的客户,但尚不清楚有多少个人受害者或谁是该活动的幕后黑手。SharkBot使用常见名称和图标伪装成合法应用程序,例如媒体播放器、直播电视或数据恢复应用程序。
传统上,银行木马专门用于收集存储在设备中的凭据和其他敏感的财务和个人信息,以便威胁行为者在未来的在线欺诈或网络钓鱼活动中利用这些信息。但研究人员表示,SharkBot远不止于此。
新闻来源:
https://www.bankinfosecurity.com/sharkbot-trojan-targets-bank-cryptocurrency-credentials-a-17941
专家揭露Conti勒索软件集团,该集团从受害者那里赚取了2500万美元
Conti于2019年10月出现在网络犯罪领域,据信是俄罗斯威胁组织Wizard Spider的作品,该组织也是臭名昭著的TrickBot银行恶意软件的运营商。从那时起,至少有567家不同的公司在受害者羞辱网站上暴露了他们的关键业务数据,自2021年7月以来,勒索软件卡特尔收到了超过500比特币(2550万美元)的付款。
对勒索软件样本和用于接收付款的比特币钱包地址的分析揭示了Conti和Ryuk之间的联系,这两个家族都大量依赖TrickBot、Emotet和BazarLoader将文件加密有效载荷实际传送到受害者的网络通过电子邮件网络钓鱼和其他社会工程计划。
新闻来源:
https://thehackernews.com/2021/11/experts-expose-secrets-of-conti.html
安全漏洞威胁
勒索软件攻击者找到了绕过端点保护的巧妙方法
勒索软件攻击者使用了合法文件压缩实用程序WinRAR加密受害者文件。
“这是勒索软件参与者的一次重组,他们最初尝试直接加密文件,但被端点保护阻止了。在第一次尝试失败后,他们改变了策略,并重新部署,”加拉格尔指出。在对文件进行加密后,该团伙要求100万美元来恢复文件,而且勒索软件运营商经常威胁说,如果他们拒绝支付赎金,就会暴露受害者的数据。
研究人员认为,攻击者首先在4月和5月之间的某个时间利用VMware的vCenter Server Web客户端中的漏洞闯入受害者的网络,然后他们等到10月才部署勒索软件。虽然Memento团队正在考虑他们的下一步行动,但至少有两个不同的入侵者利用相同的vCenter漏洞将挖矿软件放入受感染的服务器。
攻击者还在多台机器上部署了一个基于Python的开源键盘记录器,因为他们在远程桌面协议(RDP)的帮助下在网络内横向移动。“在最初被入侵时,vCenter漏洞已经公开了近两个月,直到服务器被勒索软件攻击者加密的那一天,它仍然可以被利用,”Sophos指出,它努力强调立即应用安全补丁。
新闻来源:
https://www.techradar.com/news/ransomware-actors-have-found-a-cunning-way-to-bypass-your-endpoint-protection
FBI警告:攻击者积极利用FatPipe零日漏洞
联邦调查局(FBI)就FatPipe产品中的一个零日漏洞发出警报,该漏洞至少自2021年5月以来一直在积极利用。
尚未针对安全错误发布CVE标识符,但专门从事SD-WAN解决方案的FatPipe确实确认其WARP、MPVPN和IPVPN设备受到该问题的影响。
该漏洞存在是因为没有对某些HTTP请求进行输入和验证检查,从而允许攻击者将修改后的HTTP请求发送到易受攻击的设备。
FatPipe表示,该漏洞存在于FatPipe软件的Web管理界面中,可被利用将文件上传到文件系统上的任何位置。
在本周的警报中,联邦调查局警告说,攻击者一直在利用安全漏洞部署一个webshell,为他们提供对受感染设备的root访问权限,从而实现进一步的恶意活动。
联邦调查局警告说:“然后,利用此漏洞成为APT参与者进入其他基础设施的起点。”
攻击者一直在利用SSH访问通过受感染设备路由恶意流量。联邦调查局表示,该访问权限被用于针对额外的美国基础设施。
新闻来源:
https://www.securityweek.com/fbi-warns-actively-exploited-fatpipe-zero-day-vulnerability
FBI就主动利用的FatPipe VPN零日漏洞发出快速警报
美国联邦调查局(FBI)透露,至少自2021年5月以来,一名身份不明的威胁行为者一直在利用FatPipe MPVPN网络设备中以前未知的弱点来获得初始立足点并保持对易受攻击网络的持续访问,使其成为最新一家加入Cisco、Fortinet、Citrix和PulseSecure等公司的行列,这些公司的系统已被广泛利用。
该机构在本周发布的一份警报中表示:“该漏洞允许APT参与者访问不受限制的文件上传功能,以通过root访问权限投放用于利用活动的webshell,从而导致权限提升和潜在的后续活动。”“然后利用这个漏洞成为APT参与者进入其他基础设施的起点。”
零日漏洞使远程攻击者能够将文件上传到受影响设备上文件系统的任何位置。该安全漏洞会影响运行最新版本10.1.2r60p93和10.2.2r44p1之前的软件的FatPipe WARP、MPVPN和IPVPN路由器集群和VPN负载平衡设备的Web管理界面。联邦调查局在其快速警报中指出,威胁行为者利用网络外壳横向移动并通过设置恶意SSH服务攻击其他美国基础设施,随后采取了一系列旨在隐藏入侵并保护其漏洞利用的步骤直到再次需要它。
新闻来源:
https://thehackernews.com/2021/11/fbi-issues-flash-alert-on-actively.html