伊朗國家級駭客組織MuddyWater瞄準以色列發動網路攻擊!

Photo Credit: Deep Instinct

伊朗國家級駭客組織MuddyWater被發現參與一個針對兩個以色列實體的魚叉式釣魚攻擊活動,最終成功部署了遠端管理工具,N-able的Advanced Monitoring Agent。

網路安全公司Deep Instinct揭露了有關這些攻擊的詳細資訊,在過去MuddyWater也曾使用類似的攻擊鏈來部署其他遠端

存取工具,如ScreenConnect、RemoteUtilities、Syncro和SimpleHelp。

Deep Instinct表示作為伊朗網路威脅能力迅速提高的進一步證據,他們還發現MuddyWater利用了一個名為MuddyC2Go的新命令和控制(C2)框架,這是MuddyC3和PhonyC2的後繼者。

該組織至少自2017年以來一直活躍至今,據信是伊朗情報和安全部(MOIS)所支持的,與MOIS相關的集團還包括OilRig、Lyceum、Agrius和Scarred Manticore等。

之前的攻擊序列包括發送帶有惡意連結的魚叉式釣魚郵件,這些連結是在存放在各種文件共享平台上的HTML、PDF和RTF附件,最終會導致將上述其中一種遠程管理工具下載到受害者系統。

這一次的攻擊中,MuddyWater使用了一個名為Storyblok的新文件共享服務來啟動多階段感染行為。安全研究員Simon Kenin指出,它包含隱藏檔案、一個啟動感染的LNK文件,以及一個用於將誘餌文件取消隱藏並執行Advanced Monitoring Agent(一個遠程管理工具)的可執行檔案。

在受害者被感染後,MuddyWater操作者將使用合法的遠程管理工具連接到受感染主機並開始對目標進行偵查行為。呈現給受害者的誘餌文件是來自以色列公民事務委員會的官方備忘錄,可以從其官方網站上公開下載。

MuddyWater的部分入侵指標(Indicator of compromise -IOCs):

SHA 256

a2ae5e994c0b515cadd425cfda4d4ae33b71893c45b702e1f8c1a495dc1b440f

5342101fdca144d084efffac753ab7cdede06a6f78f830309dc4f7ea3a626357

SHA 1

89b2fd7af39f3acdc2e03402976695dbf64fa463

000dc108e0bc846693d48b52679aff3155db79c8

MD5

e8f3ecc0456fcbbb029b1c27dc1faad0

dd247ccd7cc3a13e1c72bb01cf3a816d

更多APT組織攻擊事件:

iPhone上的 LightSpy 間諜軟體,被證實與中國駭客組織APT41有所關聯!

中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館

研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織

中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!

北韓APT駭客利用網路釣魚,攻擊了近900百南韓名外交政策專家

LockBit再度出手!波音公司陷入資料外洩危機

LockBit 勒索軟體組織,或許是世界上運作最嚴密的網路犯罪組織之一。這個組織不僅成功滲透各種組織,而且其嚴格的方法確保它獲得所需的目標。根據美國網路安全和基礎設施安全局 (CISA) 的資料,LockBit 勒索軟體是2022年部署最廣泛的勒索軟體變體,而且預計在2023年持續威脅擴散。它主要瞄準的是關鍵基礎設施,包括金融服務、食品和農業、教育、能源、政府和緊急服務、醫療保健、製造和運輸等行業。

LockBit 勒索軟體的攻擊方式也因其勒索軟體即服務模式而聞名,其戰術、技術和程序(TTP, Tactics, Techniques, and Procedures)可謂五花八門。這種TTPs的多樣化對於致力於維護網路安全和防範勒索軟體威脅的組織構成了重大挑戰。

在澳洲,LockBit 勒索軟體佔據了2022年4月至2023年3月的勒索軟體事件總數的18%。這個數字包括所有LockBit勒索軟體的變體,而不僅僅是LockBit 3.0。2022年,LockBit還占據了加拿大22%的勒索軟體事件,而紐西蘭的CERT則接到了15份LockBit勒索軟體報告,佔2022年勒索軟體報告的23%。

根據FBI的統計,美國已發生約1,700起LockBit事件。自2020年1月5日首次在美國觀察到LockBit活動以來,美國已支付約9,100萬美元的贖金。

LockBit 勒索軟體首次被發現於2019年9月。然而,在過去幾年中,這個勒索軟體不斷升級,變得更加具有威脅性。

以下是重點介紹LockBit勒索軟體的不同變種:

  1. LockBit – 這是最初版本,使用原始的.abcd副檔名,以極快的速度加密文件,只需五分鐘。
  2. LockBit 2.0 – 由原始LockBit變體演進而來,提高了解密字串和代碼的速度,以避免偵測。一旦取得管理權限,加密過程即開始。
  3. LockBit 3.0 – 在2022年6月下旬推出,延續了提高加密速度以避免安全偵測的趨勢。這個惡意軟體使用反分析技術、密碼執行和命令列增強。LockBit 3.0還引入了首個有記錄的勒索軟體漏洞賞金計劃,鼓勵用戶和安全研究人員報告漏洞,以換取經濟獎勵。
  4. LockBit Green – 最新的變體,針對Windows環境的標準勒索軟體變體。
  5. Mac版LockBit – 在2023年5月,發現LockBit已開始開發LockBit勒索軟體的macOS版本,不過它無法輕易在設備上運行。

最新的LockBit目標是波音公司, LockBit聲稱擁有這家飛機製造商的大量敏感資料。根據資安研究團隊vx-underground的消息,它已與 LockBit 成員進行了交談,LockBit聲稱使用了零日漏洞來存取資料,然而沒有提供有關攻擊鏈或據稱由 LockBit洩露的資料性質的更多細節,也沒有具體說明它從波音公司竊取了多少數據,也沒有提供有關其尋求支付的贖金的詳細資訊,但公開了波音公司的倒數計時器,最後期限設於11月2日。

Photo Credit: VX-UNDERGROUND

波音發言人表示,公司正在評估這一聲稱,即目前沒有核實或否認這說法。除了民用飛機,波音還在全球設計、製造和銷售旋翼飛機、火箭、衛星、電信設備和飛彈,並提供租賃和產品支援服務。目前尚不清楚哪些地區受到了LockBit勒索軟體組織的威脅。2022年11月初,波音的全資子公司、航班規劃工具商Jeppesen遭到網路攻擊事故,導致該公司提供的部分產品及服務面臨技術問題,造成北美、中東等多家航空公司的部分航班規劃被迫中斷、航班延誤。

波音公司目前正在評估 LockBit 說法的真實性,考慮到波音所服務的公共和私營部門涉及的高風險,迅速採取行動和開放溝通對於前進至關重要。

注意!VMware 發布 vCenter Server RCE 漏洞的安全更新

VMware是一家總部位於美國加利福尼亞州帕洛阿爾托的軟體公司,成立於1998年。該公司專注於虛擬化技術和雲端運算解決方案的開發和銷售,在虛擬化和雲端運算領域具有廣泛影響力的公司,為企業提供了許多技術和解決方案,以提高其IT基礎設施的效率、靈活性和安全性。

該公司近日發布了安全性更新,以解決該公司 vCenter Server 中的一 個嚴重漏洞,該漏洞可能會導致受影響的系統上可進行遠端程式碼執行。此問題編號為CVE-2023-34048 (CVSS 評分:9.8),被描述為 DCE/RPC 協定中的越界寫入漏洞。

VMware在25日發布的公告中表示,透過網路存取 vCenter Server 的惡意行為者可能會觸發越界寫入,從而導致遠端程式碼執行。

VMware進一步表示,目前沒有避險作法(workaround)可以緩解該漏洞缺陷,並且已在該軟體的以下版本中提供了安全性更新:

  • VMware vCenter Server 8.0(8.0U1d 或 8.0U2)
  • VMware vCenter Server 7.0 (7.0U3o)
  • VMware Cloud Foundation 5.x 和 4.x

鑑於該漏洞的嚴重性以及缺乏臨時緩解措施,VMware還為 vCenter Server 6.7U3、6.5U3 和 VCF 3.x 提供了修補程式。VMware表示,目前不確定這個漏洞是否被廣泛利用作為攻擊手段,但仍呼籲使用者須盡快進行安全性更新,以避免任何潛在的威脅。

此次更新也進一步解決了 CVE-2023-34056(CVSS 評分:4.3),這是一個影響 vCenter Server 的部分資訊外洩漏洞,可能使具有非管理權限的惡意行為者能夠存取未經授權的資料。

CISA 在其知遭濫用之漏洞清單中新增了第二個 CISCO IOS XE 漏洞

美國網路安全暨基礎設施安全局(CISA)將Cisco IOS XE的漏洞CVE-2023-20273新增至其已知被利用的漏洞清單中。

該漏洞是Cisco IOS XE的Web UI中一個未預期的錯誤,攻擊者可以將此漏洞與CVE-2023-20198一起使用,以利用新的本地用戶權限提升到root權限並在檔案系統植入惡意程式。

Cisco上週10/16通知客戶目前存在一個被積極利用來進行攻擊的零日漏洞,該漏洞被標記為CVE-2023-20198,其CVSS分數為10,該漏洞位於Cisco IOS XE作業系統的網頁使用者介面,Cisco是在其技術支援中心(TAC)所支援的多個案例中發現了這個漏洞,攻擊者可以利用這個漏洞來獲得管理員權限並接管那些未受到妥善保護的路由器。

在調查利用CVE-2023-20198漏洞的相關攻擊時,Cisco注意到已針對此問題進行過修補的系統再次遭到攻擊,這種情況顯示威脅攻擊者正在利用第二個零日漏洞。

該公司發布的公告中指出,經過他們的調查,確定攻擊者利用了兩個未知的漏洞進行了攻擊行為。攻擊者首先利用CVE-2023-20198來獲得初始訪問權限,並使用系統最高的第15級權限來創建新的本地用戶和密碼,並且有正常的訪問權限。

然後,攻擊者利用另一漏洞,透過Web UI將新的本地用戶權限提升到root權限並將惡意程式寫入檔案系統。目前Cisco已將此事件定為CVE-2023-20273,其CVSS分數為7.2。

美國CISA也已發布了處理CVE-2023-20198和CVE-2023-20273漏洞的相關指南。根據其公告於 2021 年 11 月的具約束力操作指引 (binding operational directive) BOD 22-01 規定,在 CISA 公布新的已遭用於攻擊漏洞時,所有美國聯邦政府民事機關,都必須針對相關漏洞進行處理。據此,CISA要求聯邦機構在2023年10月27日之前修復此漏洞。

目前思科已正式發佈軟體更新,以解決 Cisco IOS XE 軟體版本 17.9 中兩個經常被利用的安全漏洞,並正在修復版本 17.6、17.3 和 16.12。可以在此處存取其他發布資訊。

卡西歐揭露影響全球 149 個國家客戶的資料外洩事件

2023年,卡西歐資料泄露事件震撼全球!當這個以消費性電子聞名的公司,發現其廣受歡迎的ClassPad教育平台內部資料庫出現異常時,才赫然發現自己捲入了一場全球資安風暴。最初只是一個例行的系統故障,但迅速演變成了一場災難性的數據外洩事件,凸顯出即便是聲譽卓著的企業也存在資安漏洞。

卡西歐於2023年10月11日首次發現這次資料泄露事件。當公司的ClassPad教育平台內部數據庫出現問題時,他們才意識到這一問題。這個事件牽涉了大量敏感客戶資訊,包括客戶姓名、電子郵件地址、居住國家、服務使用細節,以及付款方式、授權碼和訂單細節等交易資訊。幸運的是,卡西歐未在受影響的資料庫中存放信用卡資訊,這減輕了一些潛在損害。

這次的資料泄露事件影響甚廣,截至10月19日,攻擊者已訪問了卡西歐日本客戶的91,921條記錄,包括個人客戶和1,108個教育機構客戶。此外,來自149個國家和地區的35,049條客戶記錄也遭到了竊取。

卡西歐將這次的泄露事件歸因於資安營運管理的認知不足,因為他們在開發環境中關閉了部分網路安全設置,從而允許外部方獲得未經授權的訪問權。

卡西歐發現這一泄露事件後,迅速采取行動。公司在10月16日向日本的個人資料保護委員會報告了這一事件,並開始與執法機構合作調查。此外,卡西歐還聘請了外部網路安全和鑑識專家進行內部調查,以確定泄露事件的根本原因,並制定防止未來事件發生的資安政策。

卡西歐並非首次遭遇網路安全問題。今年8月初,一名名為“thrax”的威脅攻擊者聲稱在一個網路犯罪論壇上泄露了超過120萬用戶記錄。這些記錄據稱是從一個舊的casio.com資料庫竊取的,其中包括記錄截至2011年7月的資訊、AWS金鑰、和吃料庫憑證。

卡西歐的這次數據泄露事件提醒我們,數位世界中的威脅在不斷演變。隨著科技的進步,網路罪犯的能力也不斷增強。無論企業的規模和聲譽如何,都必須保持警覺,保護客戶的個人資訊,並不斷強化安全系統與提升員工資安意識,以應對潛在的外洩風險。

這次泄露事件過後,卡西歐面臨著重建信任和強化對客戶數據保護的挑戰。這一事件強調了全球組織都必須加強其網路安全措施,以保護客戶的個人資訊,從而為所有人創建一個更安全的數位環境。

D-Link 承認遭到釣魚攻擊導致資料外洩事件的發生!

D-Link是一家專注於生產路由器、交換機和網路解決方案,提供用戶高品質的網通設備的台灣網路設備製造商。該公司近日已確認一起機敏數據洩露事件,其表示目前洩露的資料都是低敏感以及半公開的資訊。

該公司表示,這些數據並不是從雲端空間所洩露的,目前盤查的結果顯示,很可能是來自在2015年就已達到生命週期並停止更新的的D-View 6系統。這些數據主要是進行產品註冊時所留下的,截至目前為止,沒有任何證據表明這些舊版數據中包含任何使用者的個人資訊或是財務資訊。

此事件的爆發是一個未經確認的組織聲稱竊取了許多台灣政府官員的個人數據以及D-Link的D-View網路管理軟體的程式碼,並且在2023年10月1日在BreachForums上分享相關資訊,時間長達兩週之久。

D-Link聘請網路安全公司趨勢科技協助調查此洩漏事件,並公開駁斥目前流傳的、關於此事件許多誇大以及不正確的資訊,例如該組織聲稱竊取了數百萬使用者數據的說法即為不實資訊,目前調查的結果顯示,此次洩露導致的數據洩漏僅約700條,顯然與該組織的說法有所出入。

D-Link近一步說明,他們有理由相信登錄時間的戳記遭到有心人士的竄改,才會使這些過時的數據最認為是最新的資訊。

據調查,此次洩露是由於一名員工不慎成為釣魚攻擊的受害者而發生的,並表示正在採取措施來增強其公司運營的安全性。

儘管此次攻擊事件的詳細過程並未被該公司所揭露,但D-Link向其使用者喊話,強調現階段的活躍客戶並未受到此次事件的影響。

更多關於釣魚攻擊的新聞:

針對美國能源機構的網路釣魚攻擊利用了惡意二維條碼(QR code)

北韓APT駭客利用網路釣魚,攻擊了近900百南韓名外交政策專家

製作TrickBot殭屍網路的駭客組織與釣魚郵件駭客Shatak聯手合作,在受害電腦上植入Conti勒索軟體

超過 17,000 個 WordPress 網站受到 Balada Injector 的惡意攻擊!

Photo Credit:WordPress

在2023年9月,名為 Balada Injector 的惡意軟體對超過 17,000 個 WordPress 網站進行了攻擊,幾乎是8月份發現的攻擊數量的兩倍。

這其中有 9,000 個網站受到了最近披露的 tagDiv Composer 插件的安全漏洞(CVE-2023-3169,CVSS評分:6.1)的入侵。未經身份驗證的使用者可能會利用此漏洞執行儲存的跨站腳本(XSS)攻擊。

Sucuri 安全研究員 Denis Sinegubko 表示:“這並不是 Balada Injector 攻擊團體第一次針對 tagDiv 主題的漏洞進行攻擊。”

這類攻擊可以追溯到 2017 年夏季,當時針對 Newspaper 和 Newsmag WordPress 主題中披露的安全漏洞被瘋狂濫用。而 Balada Injector 是由 Doctor Web 在 2022 年 12 月首次發現的大規模入侵操作,其中攻擊者利用各種 WordPress 外掛漏洞在受影響的系統上部署 Linux 後門。

植入的主要目的是引導受感染網站的使用者前往偽冒的技術支援或是彩票中獎頁面。自 2017 年以來,已有超過 100 萬個網站受到該活動的影響。Balada Injector 涉及的攻擊以每幾週發生一次的頻率出現,通常是在週末的時候進行攻擊,而每週二檢測到的感染數量會急劇增加。最新一系列漏洞需要利用 CVE-2023-3169 注入惡意腳本,最終通過上傳後門、添加惡意外掛程式和建立惡意管理員來建立對網站的持續訪問。

從歷史上看,這些腳本的目標是 WordPress 網站管理員的登入權限,因為它們允許攻擊者通過管理介面提升的權限執行惡意操作,包括創建可用於後續攻擊的新管理員帳號。這些腳本能夠嵌入後門在網站的 404 錯誤頁面中,這些後門可以執行任意的 PHP 程式碼,或者使用嵌入到頁面中的程式碼來自動安裝惡意 wp-zexit 外掛。

Sucuri 將其描述為最複雜的腳本執行攻擊類型之一,因為它模仿了從 ZIP 檔案安裝外掛並啟動它的整個過程。該外掛的核心功能與後門相同,都是執行攻擊者遠端發送的PHP程式碼。

此外,在 9 月下旬觀察到新的攻擊模式,需要使用隨機程式碼注入來從遠端伺服器下載並啟動第二階段惡意軟體以安裝 wp-zexit 外掛。同時還使用模糊腳本將訪客的 cookie 傳輸到參與者控制的 URL ,並取得回傳的未定義 JavaScript 程式碼。

Sinegubko 解釋說:“攻擊者這次很明顯地沒有使用到 tagDiv Composer 漏洞,而是利用了在成功攻擊網站管理員後植入的後門與新創的惡意管理員。”

竣盟科技建議您,若使用 WordPress 設立網站,應注意以下五點安全措施:

保持WordPress及其插件和主題更新:

定期更新WordPress核心、插件和主題,以確保已修復已知的安全漏洞。

使用強密碼:

使用包含字母、數字和特殊字元的強密碼,定期更改密碼,為每個管理員和使用者分配唯一的憑證。

限制登入嘗試:

安裝登入嘗試次數限制的外掛程式,以防止暴力破解密碼,使用雙因素認證(2FA)增加額外層次的安全性。

備份網站:

定期備份整個網站,包括資料庫和檔案,確保備份存儲在安全的地方,並測試其可還原性。

安裝安全外掛程式:

安裝安全外掛程式,如Wordfence、Sucuri Security或iThemes Security,以監控和加固網站安全性。

未知攻擊者利用X發送間諜軟體Predator攻擊全球政要,蔡總統也遭鎖定!

據國際特赦組織稱,操作Predator(掠奪者)間諜軟體背後的攻擊者可能與越南政府有關

國際特赦組織(Amnesty International)的調查揭示了一個危險情勢,一名 X(曾用名Twitter)使用者,帳號名為@Joseph_Gordon16,試圖透過該平台的回覆功能來散播惡意連結。他的目標是感染美國政治家和台灣總統,利用間諜軟體進行資訊竊取。此帳號的回覆內容總是包含著似是真實新聞文章的連結,然而這些連結實際上導向一個惡名昭彰的間諜軟體 Predator 所設立的網域。Predator 專門針對智慧手機,輕易侵入受害者的裝置並竊取資訊。

Predator的背後攻擊者在X(該平台以前稱為 Twitter)以新聞報道為幌子,讓政客和其他目標存取網站。Photo Credit:國際特赦組織

從二月起,該帳號開始向報導越南相關新聞的記者發送間諜軟體的連結。後來開始轉向知名學者、歐洲和美國政府官員、參議員,甚至台灣總統蔡英文的 Twitter 帳號發送了間諜軟體的連結。值得一提的是,至少有兩條推文針對蔡總統、參議員克里斯墨菲(Chris Murphy)和加里彼得斯(Gary Peters)的帳號進行了回覆,每條回覆都包含之前提到的假冒新聞文章的惡意連結。

發送給美國官員與蔡總統的偽冒新聞連結 Photo Credit: 國際特赦組織

不僅僅是 Twitter,Facebook 上也有一個帳號名為「Anh Tran」,以相似的方式傳播這款間諜軟體的惡意連結。國際特赦組織報告指出,目前已發現至少有27個個人和23個機構的帳號成為攻擊目標,但是否成功感染這些帳號目前尚不清楚。

長期追蹤間諜軟體攻擊的監察組織,公民實驗室(Citizen Lab)確認了國際特赦組織的調查結果。他們強調公開發佈這些連結不僅會增加被發現和曝光的風險,也增加連結被不預期的目標點擊的可能性。這顯示散佈者可能缺乏駭客專業,或者對反追蹤的風險毫不警覺。

這樣的判斷是因為 Predator 間諜軟體的設計是專為精確目標的智慧手機而設,並旨在防止安全研究人員發現它的存在。舉例來說,該軟體在嘗試感染前至少會經過八次檢查,以確保目標是一個安全的感染環境。

國際特赦組織還懷疑 @Joseph_Gordon16 這個帳號或許與越南當局有關聯,因為一開始它的目標對象是越南政府感興趣的人物。德國的《明鏡周刊》的報導也指出,越南政府最近購買了使用 Predator 間諜軟體的兩年合約。

目前,@Joseph_Gordon16 這個帳號已經被封鎖,但製造 Predator 間諜軟體的監控公司 Cytrox 仍然相當活躍。在今年九月,蘋果公司才修復了與埃及政治家 iPhone 上 Predator 感染相關的三個 iOS 漏洞。

Predator的部分入侵指標(Indicator of compromise -IOCs):

ietnamnews[.]com

lnktonews[.]co

witteridea[.]co

caavn[.]org

xuatnhapcanhvn[.]info

https://southchinapost[.]net/fLwoASy X

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

http://caavn[.]org/news/china/military/article/south-china-seapla-forcces-tail-us-warship

https://southchinapost[.]net/WzMqB

更多關於間諜軟體利用的新聞:

iPhone上的 LightSpy 間諜軟體,被證實與中國駭客組織APT41有所關聯!

中國國家級駭客組織APT 15利用BadBazaar和MOONSHINE 間諜軟體,協助中國政府加大監控新疆維吾爾族

泰國民主活動人士被間諜軟體監控,幕後黑手指向以色列Pegasus「飛馬」間諜程式!

中國APT駭客組織ToddyCat建立了新型間諜軟體,以 MS Exchange伺服器為目標,對歐洲和亞洲知名實體發動針對性攻擊,台灣也受害!

iPhone上的 LightSpy 間諜軟體,被證實與中國駭客組織APT41有所關聯!

專注於銀行反詐騙的安全公司 ThreatFabric 近來提出證據表示,於2020年發現的 iPhone 間諜軟體 LightSpy 變得比以往更加難纏與複雜,並且可能與由中國所資助、惡名昭彰的駭客組織APT41有關。

在調查的過程中,ThreatFabric 的研究人員發現了 LightSpy間諜軟體的新功能。這個間諜軟體首次在2020年1月針對香港的 iOS 用戶發動攻擊,透過在討論區貼出偽造的惡意新聞連結,誘使按下連結的 iOS 用戶於裝置上安裝 LightSpy。

這種攻擊手法被稱為水坑攻擊( Watering-hole ),攻擊者會先複製知名網站的程式碼,並建立一個內含惡意程式碼的假冒網站,之後在網路熱門討論區貼出聳動標題與連結來吸引網路使用者按下連結。使用者只要造訪這些惡意新聞網站,不必點選網站上任何內容就會自動被植入惡意程式 LightSpy。

ThreatFabric 指出新的 LightSpy 增加了更多的新功能,這些新功能包括14個插件,負責私人數據外洩,以及一個支持24個指令的核心植入程式,其中包括收集設備指紋、建立與威脅行為者的惡意中繼站的完整連接,以及從伺服器檢索命令的能力。

這14個 LightSpy 插件中的3個引起研究人員的特別關注,分別是:

  1. 位置模組插件,負責透過在特定時間間隔內的快照來追蹤使用者當前位置。
  2. 錄音插件,即使在來電期間也可以進行麥克風錄音。此外,該外掛程式可以使用名為 libwechatvoipCoMm[.]so 的原生程式庫錄製微信 VoIP 音訊對話。
  3. 帳單外掛程式:此外掛程式負責竊取微信支付的支付歷史記錄,包括最後的帳單ID、帳單類型、交易ID、日期和支付處理標籤。

ThreatFabric 研究人員發現,這些新的更新證實了 LightSpy 與 2023 年 7 月發現的 Android 間諜軟體 DragonEgg 有關,自此循線而上發現中國網路間諜組織 APT41牽涉其中,這也是首次觀察到 LightSpy 和 APT41 之間存在關聯。

該組織主要的攻擊目標多位於亞太地區,而 LightSpy 的設施多位於包含中國大陸、香港、台灣、新加坡和俄羅斯在內的亞太地區,共計數十台伺服器。

Photo Credit: ThreatFabric

LightSpy 已經發展為一款功能齊全的模組化監控工具包,重點關注受害者的私人資訊洩露,例如精細位置資料,並且能夠精確到建築物樓層、VOIP 通話期間的錄音、以及從微信支付的支付數據。

誰是APT41?

APT41被認為是一個中國政府支持的駭客組織,但也進行一些自主網路犯罪活動。這個組織首次受到關注是在2012年左右。其攻擊目標廣泛,包括政府機構、軍事機構、大型企業、科技公司、能源公司和媒體機構等。他們的目標主要集中在亞洲地區,但也有國際性的攻擊活動。

APT41使用各種高度專業的攻擊手法,包括釣魚攻擊、惡意軟體入侵、社交工程、零日漏洞利用等。他們經常使用客製化的惡意軟體和工具以避免被資安設施檢測和防禦。一般認為APT41的主要活動是情報收集。他們盯上各種類型的機密資訊,包括政治、軍事、經濟和技術方面的數據。這些資訊可能用於政治或經濟競爭,也可能被轉售給其他國家或非國家行為者。

APT41是一個極具技術能力和高度專業化的駭客組織,其活動對全球資訊安全構成了一個重大挑戰。他們的活動不僅影響政府和企業,還可能對個人造成威脅。因此,防禦和追蹤APT41的活動一直是全球安全專家的重要關注點之一。

更多相關APT 41的資安新聞:

高通發布更新修補旗下產品漏洞資訊,其中包含三個危急等級的漏洞!

Photo Credit:高通

全球知名的晶片製造商高通日前針對旗下產品發布數則安全更新,用以解決產品各組件中的17個漏洞,同時發出警告表示,還有三個另外的零日漏洞目前正有心人士利用作為攻擊手段。

在這17個漏洞中,3個被評為危急,13個被評為高風險,一個被評為中風險。

該公司在一份聲明中表示:“根據Google威脅分析小組和Google Project Zero的資訊指出,CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063可能正受到有限、但針對性的利用。”

CVE-2022-22071(CVSS評分:8.4)是汽車操作系統平台中的漏洞,主要是影響Adreno GPU和Compute DSP驅動程式的問題,目前高通公司已在2022年5月更新時針對此項目進行了修補。此外,高通在2023年10月的更新解決了三個危急的漏洞,目前尚未發現此三個漏洞有任何被利用的跡象產生:

  1. CVE-2023-24855(CVSS評分:9.8) – 在 AS 安全交換之前處理安全相關設定時的Modem的記憶體損壞。
  2. CVE-2023-28540(CVSS評分:9.1) – 由於在TLS交握時進行不正確的驗證,導致Data Modem中的加密產生錯誤。
  3. CVE-2023-33028(CVSS評分:9.8) – 在進行pmk高速緩存的記憶體複製時,WLAN韌體中的記憶體損壞。

建議相關的設備製造商都應盡快執行全面的安全更新。

目前仍遭到利用的三個漏洞,預計將在2023年12月公開更多細節資訊,但消息公布的同時,Arm也發布了針對Mali GPU核心驅動程序的安全漏洞(CVE-2023-4211)的修補更新,該漏洞也受到了有限並針對的攻擊。可猜測或許前述三個漏洞也與此漏洞有相關聯。

高通安全性更新說明:

https://docs.qualcomm.com/product/publicresources/securitybulletin/october-2023-bulletin.html

更多關於高通與半導體相關的資安新聞:

Lapsus$又出擊,科技巨擘三星Samsung疑遭殃,傳出被盜190GB原始碼,高通也被波及

LockBit3.0二度入侵台灣上市半導體!製作LockBit的產生器流出!

傳出上市半導體企業遭勒索軟體攻擊,這次的罪魁禍首是它-Cuba Ransomware!首見勒索軟體古巴入侵台灣!

日商半導體材料公司兼台積電供應商Fujimi和其台灣子公司福吉米遭第三方未經授權存取,生產線停擺,官網無法進入