恶意软件Dark Herring已感染上亿台Android设备

发布时间 2022-02-10

恶意软件Dark Herring已感染上亿台Android设备


据媒体1月26日报道,Zimperium在Google Play上检测到470款恶意应用。这些应用已在全球超过1.05亿台Android设备上安装了恶意软件Dark Herring,它可以通过目标的话费账单窃取资金。该活动每月向目标的话费账单中增加15美元的费用,于2020年3月首次被发现,并一直持续到去年11月,据估计窃取的金额总数已达数亿。目前,Google已在Play商店中删除了上述的恶意应用。


https://threatpost.com/dark-herring-billing-malware-android/178032/


德国BfV称APT27团伙利用HyperBro攻击其商业组织 


1月26日,德国联邦宪法保护办公室(BfV)发布通告,称APT27团伙正在攻击其商业组织。APT27又名Emissary Panda,自2010年以来一直活跃。BfV称,自2021年3月以来,APT27一直在利用Microsoft Exchange和Zoho AdSelf Service Plus1软件中的漏洞攻击德国的公司。此外,还利用了HyperBro RAT,旨在窃取目标的数据,并试图针对其客户发起供应链攻击。


https://securityaffairs.co/wordpress/127230/apt/german-intel-warns-apt27-attacks.html


攻击者利用800多个网站分发针对巴西的银行木马Chaes


媒体1月26日报道,攻击者使用800多个已被入侵的WordPress网站分发针对巴西的银行木马Chaes。当目标访问被感染网站时,会被要求安装一个假的Java Runtime应用。该MSI安装程序包含三个恶意JavaScript文件:install.js、sched.js、sucesso.js,它们为下一阶段的加载程序准备Python环境。Avast表示,已检测到了5种不同的恶意Chrome扩展程序。目前,该安全公司已通知巴西CERT,但攻击活动仍在进行中。


https://www.bleepingcomputer.com/news/security/chaes-banking-trojan-hijacks-chrome-with-malicious-extensions/


Bitdefender发现大规模分发FluBot和TeaBot的活动


1月26日报道称,新的FluBot和TeaBot恶意软件分发活动正在针对澳大利亚、德国、波兰、西班牙和罗马尼亚的Android用户。Bitdefender Labs自2021年12月以来,截获了超过10万条恶意短信,旨在传播FluBot。该公司还称,TeaBot已多次出现在Google Play商店中,2021年12月6日到2022年1月17日,他们检测到17个不同版本的TeaBot通过多个恶意应用感染设备。


https://www.bleepingcomputer.com/news/security/new-flubot-and-teabot-campaigns-target-android-devices-worldwide/


Discord因API和数据库出现问题导致大规模服务中断


1月26日,Discord发生了大规模中断的情况,导致用户无法登录服务或使用语音聊天。中断开始于美国东部标准时间下午2:49,最初是由API中断引起的,导致多个服务无法相互通信。然而,在解决API问题后,Discord发现数据库集群出现问题,这导致了更多问题。该公司在修复有问题的数据库集群时开始限制登录速度,以防止服务器过载,直到下午5:12左右,限速被取消。


https://www.bleepingcomputer.com/news/technology/major-discord-outage-caused-by-api-and-database-issues/


微软Azure云平台成功抵御高达3.47 Tbps的DDoS攻击


微软在1月25日发布的报告称,其Azure已抵御了高达3.47 Tbps的DDoS攻击。11月,微软亚洲的一个客户遭到了3.47 Tbps和每秒3.4亿数据包(pps)的DDoS攻击,这被认为这是历史上最大规模的攻击。此次攻击来自大约10000个源,涉及中国、韩国、俄罗斯、泰国、印度、越南、伊朗、印度尼西亚等多个国家。攻击向量是使用SSDP、CLDAP、DNS和NTP在80端口上的UDP反射,总体攻击持续了大约15分钟。


https://azure.microsoft.com/en-us/blog/azure-ddos-protection-2021-q3-and-q4-ddos-attack-trends/


安全工具


jfrog-npm-tools


JFrog发布三款开源工具,可从 npm 包管理器下载和安装恶意 JavaScript 包之前对其进行标记。


https://github.com/jfrog/jfrog-npm-tools


EtherNet/IP & CIP Stack Detector


安全公司 Claroty发布新的开源工具有助于识别用于 ICS 研究和分析的 EtherNet/IP 堆栈。


https://www.securityweek.com/new-open-source-tool-helps-identify-ethernetip-stacks-ics-research-analysis


Wireshark Forensics Toolkit 


跨平台的 Wireshark 插件,可将网络流量数据与威胁情报、资产分类和漏洞数据关联起来,以加快网络取证分析。


https://github.com/rjbhide/wireshark-forensics-plugin


T-Reqs


是一种基于语法的 HTTP Fuzzer。


https://github.com/bahruzjabiyev/T-Reqs-HTTP-Fuzzer


DotGit


检查 .git 是否在访问的网站中暴露的扩展。


https://github.com/davtur19/DotGit


安全分析


白宫希望美国政府使用零信任安全模型


https://www.bleepingcomputer.com/news/security/white-house-wants-us-govt-to-use-a-zero-trust-security-model/



微软警告钓鱼 OAuth 应用程序


https://blog.malwarebytes.com/privacy-2/2022/01/microsoft-warns-of-phishy-oauth-apps/


谷歌放弃 FLoC 并引入主题 API 来替换广告的跟踪 Cookie


https://thehackernews.com/2022/01/google-drops-floc-and-introduces-topics.html


勒索软件攻击者使用的漏洞激增 29%


https://www.infosecurity-magazine.com/news/29-surge-bugs-used-ransomware/


Let's Encrypt 在两天内撤销大量 SSL 证书


https://www.bleepingcomputer.com/news/security/lets-encrypt-is-revoking-lots-of-ssl-certificates-in-two-days/


Malwarebytes发布关于KONNI RAT的技术分析报告


https://blog.malwarebytes.com/threat-intelligence/2022/01/konni-evolves-into-stealthier-rat/