Bahamut团伙利用假冒的VPN应用窃取Android用户信息
发布时间 2022-11-251、Bahamut团伙利用假冒的VPN应用窃取Android用户信息
11月23日,ESET披露了由APT组织Bahamut发起针对Android用户的攻击活动。该活动自2022年1月以来一直活跃,Bahamut重新打包了适用于Android的SoftVPN和OpenVPN应用,添加了具有间谍功能的恶意代码。因此,该应用仍会提供VPN功能,同时还可以从移动设备中窃取信息。为了掩饰攻击活动并提高可信度,Bahamut使用了SecureVPN(一个合法的VPN服务)的名字,并创建了一个假网站[thesecurevpn]来分发恶意应用。
https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/
2、超过50个伪造的MSI Afterburner官网分发挖矿软件
据11月23日报道,Cyble的研究人员发现了几个针对MSI Afterburner软件的钓鱼活动,旨在分发挖矿恶意软件。在过去三个月中,有超过50个冒充MSI Afterburner官网的钓鱼网站,会分发XMR(Monero)矿工与窃取信息的恶意软件。具体来说,当目标执行伪造的MSI Afterburner安装文件(MSIAfterburnerSetup.msi)时,除了会安装合法的Afterburner程序,还会悄悄地安装并运行恶意软件RedLine和XMR挖矿程序。不幸的是,该活动几乎所有的组件都没有被杀毒软件检测到。
https://blog.cyble.com/2022/11/23/fake-msi-afterburner-sites-delivering-coin-miner/
3、IBM发现勒索软件RansomExx的新变体已用Rust重写
IBM在11月22日称其发现了RansomExx勒索软件的一个新变体,该变体已用Rust语言重写。用Rust开发的恶意软件通常会有较低的AV检测率,这可能是它使用该语言的主要原因。新变体的功能与其C++的版本类似,将要加密的目标目录列表作为命令行参数传递,然后使用AES-256加密文件,并使用RSA来保护加密密钥,所有大于或等于40字节的文件都被加密。目前,在60多家AV提供商中只有14家检测到了新样本。
https://securityintelligence.com/posts/ransomexx-upgrades-rust/
4、Smith Family约8万捐赠者的详细信息可能已泄露
据媒体11月22日报道,澳大利亚慈善机构Smith Family透露其遭到黑客攻击,约8万捐赠者的详细信息可能已被访问。泄露信息涉及姓名、地址、电话号码、邮件地址和捐赠记录,以及部分支付卡的而信息。该机构的声明表示,黑客企图盗取资金但是没有成功,他们已通知受影响的捐赠者,目前没有任何人的信息被滥用。
https://www.abc.net.au/news/2022-11-22/smith-family-charity-cyber-crime-hackers-donor-details/101683860
5、伪装成新闻调查的恶意word文档窃取目标的信息
据ASEC 11月25日报道,近期一个与朝鲜相关的恶意Word文件一直在使用FTP泄露用户凭据。该Word文档的文件名为“CNA[Q].doc”,伪装成CNA新加坡电视节目采访。该文件受密码保护,与密码一起作为邮件附件分发。文件中包含恶意VBA宏,通过Document_Open()函数使恶意宏自动执行。它可以使用FTP泄露用户的信息、创建LNK文件、更改MS Office安全设置和记录键盘。
https://asec.ahnlab.com/en/42529/
6、Group-IB发布窃取信息的恶意软件分发活动的分析报告
11月23日,Group-IB发布报告称已确定34个俄罗斯黑客团伙在以窃取即服务模式(SaaS)分发窃取信息的恶意软件。攻击者主要使用Racoon和Redline窃取程序,来收集Steam和Roblox游戏帐户的密码,亚马逊和PayPal的凭据,以及用户的支付记录和加密钱包信息。2022年的前7个月,攻击者共感染超过89万台设备,窃取超过5000万个密码,主要针对美国、巴西、印度、德国和印度尼西亚,恶意活动涉及111个国家/地区。
https://www.group-ib.com/media-center/press-releases/professional-stealers/
11月23日,ESET披露了由APT组织Bahamut发起针对Android用户的攻击活动。该活动自2022年1月以来一直活跃,Bahamut重新打包了适用于Android的SoftVPN和OpenVPN应用,添加了具有间谍功能的恶意代码。因此,该应用仍会提供VPN功能,同时还可以从移动设备中窃取信息。为了掩饰攻击活动并提高可信度,Bahamut使用了SecureVPN(一个合法的VPN服务)的名字,并创建了一个假网站[thesecurevpn]来分发恶意应用。
https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/
2、超过50个伪造的MSI Afterburner官网分发挖矿软件
据11月23日报道,Cyble的研究人员发现了几个针对MSI Afterburner软件的钓鱼活动,旨在分发挖矿恶意软件。在过去三个月中,有超过50个冒充MSI Afterburner官网的钓鱼网站,会分发XMR(Monero)矿工与窃取信息的恶意软件。具体来说,当目标执行伪造的MSI Afterburner安装文件(MSIAfterburnerSetup.msi)时,除了会安装合法的Afterburner程序,还会悄悄地安装并运行恶意软件RedLine和XMR挖矿程序。不幸的是,该活动几乎所有的组件都没有被杀毒软件检测到。
https://blog.cyble.com/2022/11/23/fake-msi-afterburner-sites-delivering-coin-miner/
3、IBM发现勒索软件RansomExx的新变体已用Rust重写
IBM在11月22日称其发现了RansomExx勒索软件的一个新变体,该变体已用Rust语言重写。用Rust开发的恶意软件通常会有较低的AV检测率,这可能是它使用该语言的主要原因。新变体的功能与其C++的版本类似,将要加密的目标目录列表作为命令行参数传递,然后使用AES-256加密文件,并使用RSA来保护加密密钥,所有大于或等于40字节的文件都被加密。目前,在60多家AV提供商中只有14家检测到了新样本。
https://securityintelligence.com/posts/ransomexx-upgrades-rust/
4、Smith Family约8万捐赠者的详细信息可能已泄露
据媒体11月22日报道,澳大利亚慈善机构Smith Family透露其遭到黑客攻击,约8万捐赠者的详细信息可能已被访问。泄露信息涉及姓名、地址、电话号码、邮件地址和捐赠记录,以及部分支付卡的而信息。该机构的声明表示,黑客企图盗取资金但是没有成功,他们已通知受影响的捐赠者,目前没有任何人的信息被滥用。
https://www.abc.net.au/news/2022-11-22/smith-family-charity-cyber-crime-hackers-donor-details/101683860
5、伪装成新闻调查的恶意word文档窃取目标的信息
据ASEC 11月25日报道,近期一个与朝鲜相关的恶意Word文件一直在使用FTP泄露用户凭据。该Word文档的文件名为“CNA[Q].doc”,伪装成CNA新加坡电视节目采访。该文件受密码保护,与密码一起作为邮件附件分发。文件中包含恶意VBA宏,通过Document_Open()函数使恶意宏自动执行。它可以使用FTP泄露用户的信息、创建LNK文件、更改MS Office安全设置和记录键盘。
https://asec.ahnlab.com/en/42529/
6、Group-IB发布窃取信息的恶意软件分发活动的分析报告
11月23日,Group-IB发布报告称已确定34个俄罗斯黑客团伙在以窃取即服务模式(SaaS)分发窃取信息的恶意软件。攻击者主要使用Racoon和Redline窃取程序,来收集Steam和Roblox游戏帐户的密码,亚马逊和PayPal的凭据,以及用户的支付记录和加密钱包信息。2022年的前7个月,攻击者共感染超过89万台设备,窃取超过5000万个密码,主要针对美国、巴西、印度、德国和印度尼西亚,恶意活动涉及111个国家/地区。
https://www.group-ib.com/media-center/press-releases/professional-stealers/
京公网安备11010802024551号