德国手机厂商Gigaset遭到供应链攻击,更新服务器被劫持;安全团队披露针对Fortinet VPN的新勒索软件Cring
发布时间 2021-04-091.德国手机厂商Gigaset遭到供应链攻击,更新服务器被劫持
德国手机制造商Gigaset遭到供应链攻击,至少一个更新服务器被劫持用来分发恶意软件。Gigaset AG的前身为西门子家庭和办公室通讯设备公司,制造DECT电话,在2018年的收入为2.8亿欧元。此次攻击针对的是Gigaset旗下Android系统智能手机,发生在3月27日左右,用户发现名为easenf的未知应用在被删除后便会自动重新安装。据悉,easynf是通过设备的系统更新应用安装的,此外还发现了其他恶意应用,包括gem、smart和xiaoan等。
原文链接:
https://www.theregister.com/2021/04/07/gigaset_supply_chain_malware_android_phones/
2.Lazarus团伙利用新恶意软件Vyveva攻击南非的货运公司
朝鲜黑客组织Lazarus使用了新型恶意软件Vyveva,对南非一家货运物流公司发起定向攻击。ESET发现,Lazarus最初是在2020年6月的攻击中使用Vyveva,但在2018年12月之前的攻击中就一直在部署它。Vyveva具有后门功能,可执行任意恶意代码并支持时间戳命令。研究人员发现Vyveva仅感染了两台属于同一家货运公司的服务器,并且是首次在野外被利用,因此推测其可能会被用于其他有针对性的间谍活动。
原文链接:
https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/
3.安全团队披露针对Fortinet VPN的新勒索软件Cring
瑞士电信的CSIRT团队披露了针对Fortinet VPN的新勒索软件Cring(也称为Crypt3r、Vjiszy1lo、Ghost和Phantom)。该恶意软件利用了FortiOS的SSL VPN门户网站的路径遍历漏洞(CVE-2018-13379),针对欧洲各国的工业公司。攻击者在获得初始访问权限后会下载定制的Mimikatz和CobaltStrike,并通过使用合法的Windows CertUtil证书管理器绕过安全软件,来下载并安装勒索软件。
原文链接:
https://securityaffairs.co/wordpress/116480/cyber-crime/cring-ransomware-fortinet-vpn-flaw.html
4.VISA发现利用Web Shell窃取信用卡信息的新趋势
全球支付处理商VISA称,其支付欺诈中断(PFD)在2020年发现了一种新趋势,即越来越多的eSkimming攻击使用了web shell来创建C2。VISA调查发现,自去年以来,安装在被入侵的服务器上的Web Shell数量几乎增加了一倍,从2020年8月到2021年1月,平均每月可检测到14万个此类工具。此外,VISA PFD称在2020年至少有45次eSkimming攻击使用了web shell,攻击者在入侵在线商店的服务器后安装后门并建立C2服务器,以窃取信用卡信息。
原文链接:
https://www.bleepingcomputer.com/news/security/visa-hackers-increasingly-using-web-shells-to-steal-credit-cards/
5.Group-IB发现利用Telegram和Google Forms的钓鱼活动
Group-IB的研究人员在分析网络钓鱼工具包时发现,越来越多的工具开始使用Google Forms和Telegram等合法服务来收集用户数据。此类方式被视为获取数据的替代方法,占比约为6%,并且这一比例在短期内可能会增加。此外,Group-IB在去年发现了针对260多个品牌的网络钓鱼工具包,主要针对Microsoft、PayPal、Google和Yahoo等品牌。攻击者的主要目标是在线服务(30.7%)、其次是电子邮件服务(22.8%)和金融机构(20%)。
原文链接:
https://securityaffairs.co/wordpress/116459/cyber-crime/telegram-bots-google-forms-phishing.html
6.恶意软件FlixOnline伪装成Netflix应用针对WhatsApp
Check Point Research(CPR)发现名为FlixOnline的Android恶意软件伪装成Netflix的应用针对WhatsApp。目前,Google已将该恶意软件从Play商店中删除。一旦安装FlixOnline后,该应用就会请求覆盖、电池优化忽略和通知权限,旨在生成用于盗取凭据的覆盖窗口、阻止设备因优化能耗而关闭其进程、访问应用通知并管理和回复消息。之后开始监听WhatsApp通知并自动回复传入的消息,来将受害者重定向到伪造的Netflix网站,窃取其凭据和信用卡信息。
原文链接:
https://www.zdnet.com/article/new-android-malware-poses-as-netflix-to-hijack-whatsapp-sessions/
京公网安备11010802024551号