GREF通过木马化Signal和Telegram分发BadBazaar

发布时间 2023-09-01

1、GREF通过木马化Signal和Telegram分发BadBazaar


ESET在8月30日披露了GREF通过Google Play和Galaxy商店的木马化Signal和Telegram分发BadBazaar的活动。此次活动分别自2020年7月和2022年7月以来开始活跃,针对乌克兰、波兰、荷兰、西班牙、葡萄牙、德国和美国等。GREF的两个应用分别是Signal Plus Messenger和FlyGram,它们是开源IM应用程序Signal和Telegram的木马化版本。其中,FlyGram可窃取联系人列表、通话记录、Google帐户和WiFi等数据,Signal Plus Messenger除了窃取信息还监视目标的Signal通信。目前,Google Play已删除恶意应用,但Galaxy商店仍然存在。


https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps/


2、美国NSC配置错误泄露约2000家公司的近万个邮箱和密码


据媒体8月31日报道,国家安全委员会(NSC)泄露了其成员的近万个邮箱和密码。NSC是美国的一个非营利机构,提供工作场所和驾驶安全培训。研究人员在3月7日发现了NSC网站的一个子域,公开了其Web目录列表。在可访问的文件中,研究人员发现了存储用户邮件和密码的数据库备份,包括约9500个帐户及其凭据。影响了约2000家大型公司和政府机构,如壳牌、英特尔、波音公司、司法部和FBI等。泄露凭据可能被用于撞库攻击来入侵目标公司。这些数据可被公开访问时间长达5个月,目前该问题已被解决。


https://securityaffairs.com/150138/security/nasa-tesla-doj-verizon-2k-leaks.html


3、研究人员演示如何利用Windows容器隔离框架绕过检测


据8月31日报道,研究人员Daniel Avinoam演示了如何利用Windows容器隔离框架来绕过终端安全解决方案。研究人员解释说,Windows OS将每个容器到主机的文件系统分开,避免了系统文件的重复。每个容器都使用动态生成的镜像,该镜像使用重新分析点指向原始镜像。结果是镜像包含"幽灵文件",这些文件不存储实际数据,但链接到文件系统上的另一个卷。然后,研究人员试图利用这种重定向机制来混淆文件系统操作,并绕过安全产品。


https://securityaffairs.com/150111/hacking/windows-container-isolation-framework-abuse.html


4、WP数据迁移插件中漏洞CVE-2023-40004可导致数据泄露


媒体8月30日称,All-in-One WP Migration插件中的访问控制漏洞(CVE-2023-40004)可导致数据泄露。这是一款WordPress网站迁移工具,拥有500万个活跃的安装。Patchstack称,该插件提供商ServMask的各种高级扩展都包含相同的易被攻击代码,这些代码在init函数中缺乏权限和随机数验证。该漏洞可被用来访问和控制受影响扩展的令牌配置,从而将网站迁移数据转移到自己的第三方云服务帐户或恢复恶意备份,成功利用可能导致数据泄露。研究人员在7月18日发现了这个漏洞,该漏洞在7月26日被修复。

https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/


5、Trend Micro发布Earth Estries攻击活动的分析报告


8月30日,Trend Micro发布了关于Earth Estries攻击活动的分析报告。该团伙至少自2020年就开始活跃,其TTP与另一个黑客团伙FamousSparrow存在一些重叠。攻击者通常会在入侵目标的内部服务器后破坏管理员帐户。然后横向移动并安装后门和其它工具,并收集和泄露有价值的数据。该团伙使用恶意软件包括后门Zingdoor、信息窃取程序TrillClient和后门HemiGate。此外,Earth Estries的C&C基础设施依赖于Fastly CDN服务,该服务曾被与APT41相关的团伙利用。 


https://www.trendmicro.com/en_us/research/23/h/earth-estries-targets-government-tech-for-cyberespionage.html


6、Kaspersky发布2023年Q2 IT威胁态势的分析报告


8月30日,Kaspersky发布2023年第二季度IT威胁态势的分析报告。报告简述了一些有针对性的攻击包括,通过3CX供应链攻击部署Gopuram后门、Lazarus的DeathNote活动、Tomiris的攻击活动以及Triangulation活动等。报告还列出了其它恶意软件的威胁,例如使用Windows 0day的Nokoyawa勒索攻击、QBot木马感染激增、Minas走向复杂之路、Satacom推出可窃取加密货币的浏览器扩展以及DoubleFinger用于窃取加密货币等。


https://securelist.com/it-threat-evolution-q2-2023/110355/