安全資訊報告

APTC-23駭客使用新的Android間諜軟體變種攻擊中東使用者

以打擊中東目標而聞名的威脅行為者再次改進了其Android間諜軟體，增強了功能，使其更隱蔽、更持久，同時偽裝成看似無害的應用程式更新，以保持在雷達之下。

新變種“在其惡意應用程式中加入了新功能，使它們對使用者的操作更有彈性，使用者可能會嘗試手動刪除它們，以及安全和網路託管公司試圖阻止訪問或關閉他們的命令和控制伺服器域，”Sophos威脅研究員Pankaj Kohli在週二釋出的一份報告中說。

APTC-23也被稱為VAMP、FrozenCell、GnatSpy和Desert Scorpion，移動間諜軟體至少自2017年以來一直是APT-C-23威脅組織的首選工具，其連續迭代具有將監視功能擴充套件到檔案，影像、聯絡人和通話記錄，閱讀來自訊息應用程式的通知，記錄通話（包括WhatsApp），以及取消來自內建Android安全應用程式的通知。

過去，該惡意軟體以AndroidUpdate、Threema和Telegram為幌子，透過虛假的Android應用程式商店進行分發。最新的活動沒有什麼不同，因為它們採用應用程式的形式，聲稱在目標手機上安裝更新，名稱包括應用更新、系統應用更新和Android更新智慧。據信，攻擊者透過簡訊向目標傳送下載連結來傳送間諜軟體應用程式。安裝後，該應用程式開始請求侵入性許可權以執行一系列惡意活動，這些活動旨在繞過任何手動刪除惡意軟體的嘗試。

新聞來源： 

https://thehackernews.com/2021/11/apt-c-23-hackers-using-new-android.html

隱蔽的新JavaScript惡意軟體使用RAT感染Windows PC

一種名為RATDispenser的新型隱蔽JavaScript載入程式正被用於在網路釣魚攻擊中感染具有各種遠端訪問木馬(RAT)的裝置。

新型載入程式很快與至少八個惡意軟體系列建立了分發合作伙伴關係，所有這些都旨在竊取資訊並讓攻擊者控制目標裝置。

在HP威脅研究團隊分析的94%案例中，RATDispenser不與攻擊者控制的伺服器通訊，僅用作第一階段的惡意軟體投放器。與使用Microsoft Office文件丟棄有效負載的趨勢相反，此載入程式使用JavaScript附件，惠普發現其檢測率較低。

感染始於包含以“.TXT.js”雙副檔名命名的惡意JavaScript附件的網路釣魚電子郵件。由於Windows預設隱藏副檔名，如果收件人將檔案儲存到他們的計算機，它將顯示為無害的文字檔案。

過去三個月，惠普的研究人員能夠從RATDispenser中檢索到八種不同的惡意軟體負載。

已識別的惡意軟體家族包括STRRAT、WSHRAT、AdWind、Formbook、Remcos、Panda Stealer、GuLoader和Ratty。在分析的155個樣本中的10個，載入程式建立了C2通訊以獲取第二階段惡意軟體。在81%的惡意軟體丟棄案例中，RATDispenser分發STRRAT和WSHRAT（又名“Houdini），這兩個強大的憑據竊取程式和鍵盤記錄程式。

新聞來源： 

https://www.bleepingcomputer.com/news/security/stealthy-new-javascript-malware-infects-windows-pcs-with-rats/

過去一年，勒索軟體和網路釣魚攻擊使愛爾蘭企業損失近100億歐元

一項新研究發現，包括網路釣魚和勒索軟體攻擊在內的網路犯罪使愛爾蘭經濟損失了96億歐元。

Grant Thornton的網路安全部門釋出的網路犯罪經濟成本報告稱，該數字來自對企業、個人和政府的網路攻擊所產生的直接和間接成本。

他們表示，這一數字自2014年以來呈指數增長，當時此類犯罪的成本估計為6.3億歐元。

近年來，網路釣魚和勒索軟體攻擊以及信用卡和簽帳金融卡欺詐以及以運營技術為重點的攻擊都隨著勒索軟體攻擊而增加，其中網路犯罪分子要求為洩露的材料付費，這是迄今為止注意到的最重要的網路犯罪形式在2020年。

僅勒索軟體攻擊和補救此類攻擊的成本在2020年就超過了20億歐元。2020年勒索軟體攻擊的成本為20億歐元，估計與這些事件相關的直接成本（例如支付的贖金）以及基礎設施和IT等間接成本因公開討論和媒體報導而造成的賬單和聲譽損失。

該報告還指出，計算機病毒增加了100%，網路釣魚攻擊增加了20%，其中聲稱來自信譽良好的來源的欺詐性通訊被髮送給企業和消費者。與此同時，信用卡和簽帳金融卡欺詐也有所增加，造成1200萬歐元的損失。

新聞來源： 

https://www.irishexaminer.com/business/economy/arid-40750674.html

暗網論壇正在教授如何構建殭屍網路的課程

殭屍網路是網路攻擊的主要驅動因素之一，用於分發惡意軟體、勒索軟體和其他惡意負載——暗網論壇現在提供有關如何從中獲利的課程，隨著時間的推移，這一舉措可能會增加威脅。

受網路犯罪控制的殭屍網路中受感染的計算機和裝置可用於向更多裝置傳送網路釣魚電子郵件或惡意軟體。殭屍網路運營商通常會將他們在不知不覺中被控制的機器（可能有數千臺）出租給其他網路犯罪分子。

安全研究人員在一個著名的地下論壇上分析了殭屍網路學校的廣告和活動，發現這些課程很受歡迎——這對於可能成為網路犯罪分子學習這些技能的目標的組織來說可能是一個潛在的問題。

Recorded Future的網路犯罪情報分析師丹尼·潘頓(Danny Panton)告訴ZDNet：“這基本上就像你在上大學一樣。”“你會有一個導演，他們會虛擬地教你——我不相信攝像機會在這個人身上——但他們可以訪問一個平臺，並被教導你需要做什麼才能利用殭屍網路反對潛在的受害者。”

教授課程的人包括自己執行大型殭屍網路的個人。這些課程並不便宜——它們的成本超過1,400美元——但承諾甚至可以為網路犯罪新手提供有關如何構建、維護和貨幣化殭屍網路的知識。研究人員警告說，這些課程的存在可能會導致殭屍網路的威脅增加——儘管在無法跟蹤個人使用者活動的情況下很難量化。

新聞來源： 

https://www.zdnet.com/article/college-for-cyber-criminals-dark-web-crooks-are-teaching-courses-on-how-to-build-botnets/

烏克蘭逮捕了蘋果網路釣魚攻擊背後的“鳳凰”駭客

烏克蘭安全域性(SSU)逮捕了專門從事移動裝置遠端駭客攻擊的國際“鳳凰”駭客組織的五名成員。

SSU的公告稱，所有五名嫌疑人都住在基輔或哈爾科夫，並且都是高等技術教育學院的畢業生。

“Phoenix”的目標是遠端訪問移動裝置使用者的賬戶，然後透過劫持他們的電子支付或銀行賬戶或將他們的私人資訊出售給第三方來從中獲利。

為了竊取移動裝置使用者的移動帳戶，攻擊者使用了仿冒蘋果和三星登入門戶的網路釣魚站點。這項活動持續了至少兩年，期間鳳凰駭客入侵了數百人的賬戶。駭客還向他人提供遠端手機駭客服務，收費在100至200美元之間。該組織還解鎖了Apple製造的被盜或丟失的裝置，透過將它們鎖定到裝置上建立的第一個帳戶與原始購買者相關聯。

新聞來源： 

https://www.bleepingcomputer.com/news/security/ukraine-arrests-phoenix-hackers-behind-apple-phishing-attacks/

安全漏洞威脅

CISIC產品漏洞可能導致有針對性的攻擊

研究人員發現了CISIC自適應安全裝置（ASA）和CISIC（FTD）防火牆的一個漏洞，該漏洞可能導致拒絕服務。Positive Technologies將漏洞的嚴重級別評估為高，建議使用者儘快安裝更新。

思科表示，這些漏洞是由於解析HTTPS請求時輸入驗證不當造成的。攻擊者可以透過向受影響的裝置傳送惡意HTTPS請求來利用這些漏洞。成功的利用可能允許攻擊者導致裝置重新載入，從而導致拒絕服務(DoS)。

如果攻擊成功，遠端員工或合作伙伴將無法訪問組織內部網路，外部訪問將受到限制。同時，防火牆故障會降低對公司的保護。所有這些都會對公司流程產生負面影響，破壞部門之間的互動，並使公司容易受到有針對性的攻擊。

攻擊者不需要提升許可權或特殊訪問許可權即可利用該漏洞。形成一個簡單的請求就足夠了，其中一個部件的尺寸將與裝置預期的不同。進一步解析請求會導致緩衝區溢位，系統會突然關閉然後重新啟動。

新聞來源： 

https://www.channelfutures.com/security/cisco-vulnerability-could-cause-firewall-failure-allow-targeted-attacks

MediaTek晶片竊聽漏洞影響全球37%的智慧手機和物聯網

MediaTek晶片(SoC)中已披露多個安全漏洞，這些漏洞可能使威脅行為者能夠提升許可權並在音訊處理器的韌體中執行任意程式碼，從而有效地允許攻擊者進行“大規模竊聽活動”“在使用者不知情的情況下。

這些缺陷的發現是以色列網路安全公司Check Point Research對這家臺灣公司的音訊數字訊號處理器(DSP)單元進行逆向工程的結果，最終發現透過將它們與智慧手機制造商庫中存在的其他缺陷聯絡在一起，問題在晶片中發現的漏洞可能會導致Android應用程式的本地許可權升級。

Check Point安全研究員Slava Makkaveev在一份報告中說：“攻擊者可能會使用格式錯誤的處理器間訊息來執行和隱藏DSP韌體中的惡意程式碼。”“由於DSP韌體可以訪問音訊資料流，對DSP的攻擊可能會被用來竊聽使用者。”

新聞來源： 

https://thehackernews.com/2021/11/eavesdropping-bugs-in-mediatek-chips.html

駭客利用微軟MSHTML漏洞竊取谷歌、Instagram登入憑據

安全研究人員命名“PowerShortShell”的惡意程式是基於PowerShell的新型盜號木馬，其目的是盜取Google和Instagram登入憑據。

資訊竊取器還用於Telegram監視和從受感染裝置收集系統資訊，這些資訊與被盜憑據一起傳送到攻擊者控制的伺服器。這些攻擊始於7月，攻擊手法為魚叉式釣魚郵件。攻擊者將帶有惡意Winword附件的Windows使用者作為攻擊目標，這些附件利用了CVE-2021-40444的Microsoft MSHTML遠端程式碼執行(RCE)漏洞。

PowerShortShell竊取程式負載會下載到受感染系統上執行。啟動後，PowerShell指令碼開始收集資料和螢幕快照，並將其上傳到攻擊者控制的C2伺服器。

新聞來源： 

https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/