Google称Predator利用多个漏洞感染Android设备

发布时间 2022-05-24

1、Google称Predator利用多个漏洞感染Android设备


5月19日,Google称其发现分发间谍软件Predator的三起活动。攻击活动发生于2021年8月至10月,攻击者使用针对Chrome和Android操作系统的漏洞试图在最新的Android设备上安装恶意软件。这些攻击活动分别为Chrome重定向到SBrowser(CVE-2021-38000)、Chrome沙盒逃逸(CVE-2021-37973和CVE-2021-37976)以及完整的Android 0-day利用链(CVE-2021-38003和CVE-2021-1048)。它们都首先安装了Android木马ALIEN,用于加载Predator。


https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/


2、Zscaler发现冒充Win 11下载门户的网站传播Vidar


Zscaler在5月19日发布报告,披露了新一轮的钓鱼活动。研究人员在今年4月份发现了几个新注册的域,伪造成Microsoft Windows 11操作系统下载门户。这些网站会分发恶意ISO文件,导致目标感染窃取信息的恶意软件Vidar。Vidar变体会从Telegram和Mastodon上托管的攻击者的社交媒体频道获取C2配置,而ISO文件则包含一个大小异常的可执行文件(超过300MB),试图绕过安全检测,还使用了Avast的过期证书签名。


https://www.zscaler.com/blogs/security-research/vidar-distributed-through-backdoored-windows-11-downloads-and-abusing


3、Snake Keylogger通过在PDF中嵌入恶意Word文档来传播


据媒体5月22日报道,HP Wolf Security的新研究阐述了PDF是如何被用作恶意宏文档的传输工具。此次活动中使用的邮件包含一个名为“汇款发票”的PDF附件。打开PDF后,Adobe Reader会提示用户打开其中包含的DOCX文件,因为攻击者将嵌入的文档命名为“已验证”,所以打开时会提示文件“文件‘已验证’”。目标打开DOCX并启用宏之后,会远程下载RTF文件“f_document_shp.doc”,其中的shellcode会下载并运行Snake Keylogger。


https://www.bleepingcomputer.com/news/security/pdf-smuggles-microsoft-word-doc-to-drop-snake-keylogger-malware/


4、通用汽车透露其遭到撞库攻击导致部分客户的信息泄露


据媒体5月23日报道,美国通用汽车称其在上个月遭到了撞库攻击,泄露了在线平台部分用户的信息。该汽车制造商透露,他们在2022年4月11日至29日检测到了恶意登录的活动,发现攻击者已将部分用户的奖励积分兑换为礼品卡。该公司表示,此次违规事件并不是源于通用汽车的系统遭到入侵,而是针对其平台上客户的一波撞库攻击导致的,他们将为所有受影响的用户恢复积分,并建议用户在登陆帐户之前重置密码。


https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/


5、Check Point发现Twisted Panda针对俄罗斯的攻击活动


5月19日,Check Point报告发现Twisted Panda在近期针对俄罗斯的攻击活动。此次攻击活动是一个长期间谍活动的延续,至少从2021年6月开始活跃,最近一次活动在2022年4月被发现,目标包括俄罗斯国防集团Rostec Corporation的两家研究机构和白俄罗斯的一个组织。攻击始于伪装成来自俄罗斯卫生部的钓鱼邮件,利用了新的工具:一个复杂的多层加载程序和一个后门SPINNER。这些工具至少从2021年3月就开始开发,使用了绕过和反分析技术。


https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes/


6、Group-IB发布2021-2022年勒索软件态势的分析报告


据5月19日报道,Group-IB发布了2021-2022年勒索软件态势的分析报告。根据报告的数据,2021年的平均赎金要求为247000美元,比上一年增加了45%,大多数攻击者都试图通过双重勒索的手段强制目标付赎金。更复杂的攻击使目标更难恢复,攻击造成的平均停机时间从18天增加到22天。远程桌面协议(RDP)仍然是攻击的主要载体,占比为47%,其次是网络钓鱼(26%)。去年利用面向公众的应用进行的攻击占比为21%,2020年为17%。


https://www.group-ib.com/resources/threat-research/ransomware-2022.html