新型Android SpyAgent恶意软件利用OCR窃取加密钱包恢复密钥

Tag：移动恶意软件SpyAgent, 助记符密钥

事件概述：

麦菲实验室研究员Ryu SangRyol在分析中指出，新型移动恶意软件SpyAgent已经出现，针对的是韩国的Android设备用户，并已扩大到包括英国在内的范围。SpyAgent通过扫描可能包含助记符密钥的设备上的图片进行攻击，助记符密钥是一种恢复或种子短语，允许用户重新获得对他们的加密货币钱包的访问。此次攻击利用伪装成合法的银行、政府设施、流媒体和公用事业应用的虚假Android应用，试图欺骗用户安装它们。自今年年初以来，已经检测到多达280个假冒应用。

SpyAgent的攻击从带有诱人的链接的短信开始，这些链接鼓励用户下载托管在欺诈性网站上的APK文件。一旦安装，它们就会请求侵入性的权限来收集设备的数据，包括联系人、短信、照片和其他设备信息，所有这些信息都会被传输到威胁行为者控制的外部服务器。SpyAgent最显著的特性是利用光学字符识别（OCR）窃取助记符密钥，未经授权访问助记符密钥可能会让威胁行为者控制受害者的钱包并挪用其中的所有资金。麦菲实验室表示，该命令和控制（C2）基础设施存在严重的安全漏洞，不仅允许在没有身份验证的情况下导航到网站的根目录，而且还暴露了从受害者那里收集的数据。该服务器还托管着一个管理员面板，可以一站式远程控制被感染的设备。面板中存在一台运行iOS 15.8.2并将系统语言设置为简体中文（“zh”）的Apple iPhone设备，这是一个可能也在针对iOS用户的迹象。

来源：

https:// unsafe.sh/go-260920.html

政府威胁情报

近百万美国威斯康星州居民信息在MOVEit网络攻击中泄露

Tag：MOVEit文件传输服务, 医疗保险和医疗补助服务中心（CMS）

事件概述：

去年针对流行的MOVEit文件传输服务的网络犯罪活动导致近一百万威斯康星州居民的敏感信息被泄露。负责管理医疗保险计划的联邦机构——医疗保险和医疗补助服务中心（CMS）以及威斯康星州医生服务保险公司（WPS）上周表示，他们已开始通知个人信息在黑客利用MOVEit软件的漏洞后泄露的人们。据公告，有946,801人正在接收通知，解释他们的名字、社会保障号码、生日、地址、医疗保险账号、健康保险信息等都已泄露。CMS表示将在未来几周内向受害者发送新的医疗保险卡。在收到新卡后，受影响的人被要求销毁他们的旧卡，并通知他们的提供者他们有一个新的医疗保险号码。

在原始攻击于2023年5月公布时，负责处理医疗保险索赔和其他服务的威斯康星州承包商WPS应用了MOVEit漏洞的补丁，并未发现他们的系统被黑客访问的证据。但是，“根据新的信息”，在2024年5月，WPS与一家未命名的网络安全公司对其MOVEit文件传输系统进行了另一次调查。他们确认，在WPS应用补丁之前，黑客从他们的系统中复制了文件。在7月，WPS通知CMS，包含个人信息的文件在2023年5月27日至31日之间被访问。这些被盗的数据是在WPS管理医疗保险索赔和审计医疗提供者时收集的，承包商使用MOVEit将文件发送给CMS。此外，CMS正在其网站上发布通知，以便找到他们无法找到最新联系信息的人。CMS未回应关于这是否意味着受影响的人数超过通知上列出的人数的评论请求。联邦机构表示，它仍在调查这起事件，并正在与执法部门一起努力。他们敦促受害者注册一年的免费信用监控服务，并通常监视他们的账户以防止欺诈活动。

来源：

https:// redskyalliance.org/xindustry/wisconsin-medicare-users-had-id-leaked-in-moveit-breach?context=tag-medicare

能源威胁情报

朝鲜威胁行动者Onyx Sleet和Storm 0530针对能源部门

Tag：朝鲜威胁行动者, 网络攻击策略

事件概述：

在微软威胁情报播客的这一期中，主持人Sherrod DeGrippo与微软威胁情报研究员和Greg Schloemer一起讨论了朝鲜威胁行动者，重点关注了两个突出的组织：Onyx Sleet和Storm 0530。Onyx Sleet是一个长期存在的间谍组织，以针对能源部门为主，尤其是在美国和印度。然而，他们已经多元化到勒索软件，使用的策略如恶意软件下载器，零日漏洞，以及一个名为D-Track的远程访问木马。此外，该播客还讨论了伪造证书的使用以及该组织在软件供应链领域的参与情况。

来源：

https://thecyberwire.com/podcasts/microsoft-threat-intelligence/27/notes

工业威胁情报

台湾无人机制造商遭受“WordDrone”攻击

Tag：WordDrone攻击, CVE-2024-40521

事件概述：

Acronis威胁研究部门的研究人员发现，台湾无人机制造商最近遭受了一种名为“WordDrone”的攻击。 攻击者利用一个古老版本的Microsoft Word，通过动态链接库（DLL）侧载技术安装名为ClientEndPoint的持久性后门。 研究人员在今年4月至7月间的多个环境中发现了类似的两阶段攻击情况。 第一阶段的攻击主要针对Windows桌面机器，而第二阶段则看到攻击者试图转移到Windows服务器。 另外，这次攻击与先前针对台湾无人机制造商的“TIDrone”活动有相似之处。

“WordDrone”攻击利用了Winword旧版本（v14.0.4762.1000）的侧载漏洞，使攻击者能够使用它来加载一个与Microsoft原始提供的名称匹配的DLL。研究人员发现，攻击的第一阶段主要针对Windows桌面机器，而第二阶段则看到攻击者试图转移到Windows服务器。这种攻击与先前针对台湾无人机制造商的“TIDrone”活动有相似之处，后者由中国说中文的威胁组织进行。两者都使用企业资源规划（ERP）软件或远程桌面工具来部署专有恶意软件。此外，研究人员在受害环境中发现了多个Digiwin的组件，其中一些组件包含已知的漏洞，如CVE-2024-40521，这是一个远程代码执行（RCE）漏洞，CVSS评分为8.8。攻击者可能利用这些漏洞，或者通过供应链攻击来利用相关ERP软件。

来源：

https://www.darkreading.com/ics-ot-security/ancient-msft-word-bug-taiwanese-drone-maker-attacks

流行威胁情报

网络安全专家揭示Lummac Stealer恶意软件，伪装成OnlyFans“检查器”工具，针对黑客

Tag：Lummac Stealer, Bilalkhanicom

事件概述：

Veriti的网络研究团队的网络安全专家发现了一个名为Lummac Stealer的操作，该操作巧妙地将OnlyFans黑客的角色转变为被猎者。 该操作围绕一个在臭名昭著的黑客论坛上以“Bilalkhanicom”为名的用户，他提供了一个“检查器”工具，声称可以让用户检查OnlyFans账户以获取有价值的信息。 然而，这个“检查器”实际上是恶意软件，特别是一种名为Lummac stealer的恶意软件。 结果，下载该工具的人而不是获得Only Fan账户信息或非法内容，反而被Lummac Stealer感染。 该恶意软件可以窃取从密码和财务信息到浏览历史和加密货币钱包的信息。

来源：

https:// redskyalliance.org/commercial/lummac-stealer-on-onlyfans?context=tag-stealer

高级威胁情报

与Kimsuky关联的黑客对俄罗斯和韩国采用相似攻击策略

Tag：Kimsuky组织, 网络钓鱼电子邮件

事件概述：

疑似的朝鲜黑客使用网络钓鱼电子邮件获得对目标系统的初始访问权限，常常使用税收、奖学金和金融等主题作为恶意电子邮件的诱饵。Konni的自定义远程访问木马可以让攻击者完全控制被感染的系统。在对俄罗斯和韩国的攻击中，该组织使用相似的技术将被感染的设备连接到黑客控制的命令服务器（C2）。在两种情况下，都通过可执行文件在受害者的设备上安装恶意模块，并通过内部命令执行连接到C2服务器的过程。研究人员指出，注意该组织在不同国家的攻击之间的相似性，可以帮助安全专家更好地保护他们的实体，并更准确地归因于这些攻击。

来源：

https://unsafe.sh/go-260991.html

漏洞情报

微软发布79个补丁修复11个产品家族的安全漏洞

Tag：CVE（公共漏洞和暴露）, Sophos

事件概述：

微软于周二发布了79个补丁，涉及11个产品家族。其中七个问题被微软认为严重，影响Azure、SharePoint和Windows。截至新闻发布时，已知有三个问题正在被野外利用，另有一个问题虽然本身未被利用，但与正在被利用的问题有关。微软评估，Windows中的11个CVE（公共漏洞和暴露）在接下来的30天内更有可能被利用。本月的八个问题可以通过Sophos保护进行检测。此外，这次发布的补丁还包括三个由Adobe补丁解决的CVE的咨询信息，影响Reader和ColdFusion。其中一个Reader漏洞（CVE-2024-41869）是一个严重的使用后自由漏洞，已经有可行的利用方式在野外可用。

本次发布的79个补丁中，有7个被认为是严重的，影响Azure、SharePoint和Windows。其中，三个问题已知正在被野外利用，另有一个问题虽然本身未被利用，但与正在被利用的问题有关。微软评估，Windows中的11个CVE在接下来的30天内更有可能被利用。本月的八个问题可以通过Sophos保护进行检测，我们在下面的表格中包含了这些信息。此外，这次发布的补丁还包括三个由Adobe补丁解决的CVE的咨询信息，影响Reader和ColdFusion。其中一个Reader漏洞（CVE-2024-41869）是一个严重的使用后自由漏洞，已经有可行的利用方式在野外可用。我们一如既往地在这篇文章的最后附上了所有微软补丁的附录，按严重性、预测的可利用性和产品家族排序。

来源：

https:// news.sophos.com/en-us/2024/09/12/september-patch-tuesday-addresses-79-cves/

勒索专题