新型Android恶意软件SoumniBot威胁韩国用户

Tag：SoumniBot, Kaspersky

事件概述：

一种名为SoumniBot的新型Android恶意软件引起了韩国用户的担忧，因为其巧妙的混淆技术使其能够规避检测系统，从而威胁到用户的敏感数据，如银行信息。Kaspersky的研究人员发现，SoumniBot利用了Android app解析Android manifest文件的漏洞，使其能够隐藏其真实性质并无人察觉地进行操作。此恶意软件采用了多种混淆策略，包括操纵压缩方法的值和manifest的大小，以及使用极长的名称，使扫描器难以检测其存在。

一旦安装，SoumniBot会从硬编码的服务器请求配置参数，并在用户的设备上启动一个恶意服务。此外，该恶意软件还能找出并提取韩国银行用于在线银行服务的数字证书，使攻击者能够进行欺诈性交易。SoumniBot的恶意行为包括发送感染设备的敏感信息，如电话号码和Trojan版本，以及发送短信、联系人、账户、照片、视频和受害者的在线银行数字证书。这些证书对于在线银行和交易验证至关重要，因此其被盗非常有害。该恶意软件还可以删除设备上的联系人、添加新联系人、获取铃声音量级别并发送已安装的app列表。此外，SoumniBot还连接到一个消息队列遥测传输（MQTT）服务器，便于与远程攻击者通信和接收恶意命令。由于其能够混淆其恶意行为并针对韩国银行凭证，SoumniBot对韩国Android用户构成了重大威胁。对于这种攻击，尽管目前似乎只在韩国发生，但仍建议用户在安装来自不可信来源的app时要格外小心。

来源：

https://https://unsafe.sh/go-235398.html

政府威胁情报

美国四州911紧急服务遭遇大规模中断，疑似网络攻击

Tag：网络攻击, Volt Typhoon

事件概述：

来源：

https://www.cybersecurity-insiders.com/possible-cyber-attack-on-911-of-4-american-states/?utm_source=rss&utm_medium=rss&utm_campaign=possible-cyber-attack-on-911-of-4-american-states

能源威胁情报

思科针对“ArcaneDoor”零日攻击 ASA发出警报

Tag：CVE-2024-20353, CVE-2024-20359

事件概述：

思科公司最近发出警告，称国家支持的专业黑客团队利用至少两个0day漏洞攻击了思科自适应安全设备（ASA）或思科Firepower威胁防御（FTD）产品。这些攻击被称为ArcaneDoor，涉及CVE-2024-20353和CVE-2024-20359漏洞，允许攻击者在电信和能源部门的网络中植入恶意软件并可能窃取数据。尽管思科尚未确定攻击者如何获得初始访问权限，但已知攻击者使用了定制工具，显示出对间谍活动的明确关注和对目标设备的深入了解。思科已与受害者和情报合作伙伴合作，发现了一个复杂的攻击链，该攻击链用于植入定制恶意软件并在少数客户中执行命令。

ArcaneDoor攻击活动是由国家级黑客组织发起的，他们利用了思科ASA防火墙平台中的两个0day漏洞（CVE-2024-20353和CVE-2024-20359）进行攻击。攻击者通过这些漏洞获得了对目标网络的访问权限，植入了恶意软件，执行了命令，并可能进行了数据窃取。攻击者使用了定制工具，并通过部署两个后门进行恶意操作，包括配置修改、侦察、网络流量捕获/渗透以及潜在的横向移动。思科建议所有网络设备供应商的用户确保其设备已经正确修补，并且配置了强大的多因素身份验证（MFA）以提高安全性。

来源：

https://hackernews.cc/archives/52010

Tag：命令注入漏洞, Fortinet

事件概述：

来源：

https://www.fortinet.com/blog/threat-research/botnets-continue-exploiting-cve-2023-1389-for-wide-scale-spread

流行威胁情报

WordPress网站遭受恶意重定向攻击

Tag：恶意软件, 动态DNS

事件概述：

自去年8月以来，我们一直在跟踪一种恶意软件活动，该活动将恶意JavaScript代码注入到受影响的WordPress网站中，以将网站访问者重定向到VexTrio域。该恶意软件最有趣的地方在于，它如何使用tracker-cloud.com域的动态DNS TXT记录来获取重定向URL。这种恶意软件活动已经在46,815个网站上被检测到，其中在2024年2月达到峰值，当月单独检测到9,222个受影响的网站。该恶意软件活动使用了动态DNS解析器的以下域名作为TDS：cloud-stats.com、host-stats.io、logsmetrics.com、ads-promo.com和tracker-cloud.com。

该恶意软件最近的变化是客户端重定向变为了服务器端重定向。这种恶意软件活动的主要功能是通过生成攻击者控制的域“cloud-stats.com”的动态子域并请求该子域的TXT记录来实现重定向。生成的子域由以下几部分组成：受感染网站的域名（如果无法识别，则为‘unk.com’）、访问者的IP地址（其中的点和冒号被替换为破折号）、范围在100,000-999,999之间的随机数、平台标记（ni – iPhone，nm – 其他移动设备，nd – 桌面（非移动））和攻击者控制的DNS的主域。一旦从cloud-stats.com DNS服务器获取到重定向URL，访问者就会使用wp_redirect函数被重定向到那里。此外，该恶意软件还包含了一些额外的功能，例如隐藏WPCode插件（insert-headers-and-footers/ihaf.php）在已安装插件列表中的显示，以防止被网站所有者发现和禁用。

来源：

https://unsafe.sh/go-235157.html

高级威胁情报

GooseEgg：森林暴雪组织利用Windows打印服务漏洞的攻击活动

Tag：CVE-2022-38028, APT-28

事件概述：

微软最近揭露了俄罗斯威胁行动者Forest Blizzard（APT-28）发起的一场活动，该活动利用名为“GooseEgg”的定制工具来提升权限并从网络中窃取凭证。这些威胁行动者利用了存在于Windows Print Spooler服务中的CVE-2022-38028漏洞。美国网络安全和基础设施安全局（CISA）在确认该漏洞被利用后，迅速将其添加到已知被利用漏洞（KEV）目录中，并强调了这种权限提升漏洞作为常见攻击向量的普遍性。CISA敦促组织优先修补漏洞，并为联邦民事行政部门（FCEB）实体设定了2024年5月14日的截止日期来解决该漏洞。GooseEgg是Forest Blizzard自2019年4月以来一直在利用的工具，它通过修改JavaScript约束文件并执行具有系统级权限的操作来利用CVE-2022-38028漏洞。该工具被用于针对乌克兰、西欧和北美的各种实体，包括政府、非政府、教育和交通组织。

来源：

https://malware.news/t/apt28-deploys-gooseegg-in-attacks-exploiting-the-windows-print-spooler-vulnerability-cve-2022-38028/81200#post_1

漏洞情报

WordPress插件Forminator存在多个严重漏洞，可能影响超过50万网站

Tag： WordPress插件Forminator, CVE-2024-28890

事件概述：

这些漏洞包括：CVE-2024-28890：无限制文件上传（CVSS评分9.8 – 严重）。这个严重的漏洞允许攻击者上传危险类型的恶意文件到易受攻击的网站。这可能使攻击者完全控制被感染的网站，可能安装恶意软件，篡改内容，或用于进一步的攻击。CVE-2024-31077：SQL注入（CVSS评分7.2 – 高）。这个漏洞使得攻击者可以在网站的数据库上执行恶意SQL查询。这可能导致数据被盗，包括用户凭证、敏感的客户信息或其他机密网站数据。攻击者还可能修改数据库内容或甚至删除整个数据库。CVE-2024-31857：跨站脚本（XSS）（CVSS评分6.1 – 中）。XSS漏洞使得攻击者可以在网站的表单中注入恶意JavaScript代码。这段代码可能在受害者的浏览器中被执行，可能被用来窃取用户会话信息，将用户重定向到恶意网站，或在网站上注入进一步的恶意内容。这些漏洞，尤其是严重的无限制文件上传，对使用易受攻击版本的Forminator的网站构成了严重的风险。攻击者可以利用这些弱点来：破坏网站：损害品牌声誉，侵蚀用户信任。传播恶意软件：使用被入侵的网站向访问者传播病毒或其他恶意软件。发起网络钓鱼攻击：欺骗用户放弃个人或财务信息。操纵搜索引擎结果：操纵搜索结果，将流量重定向到恶意网站。使用Forminator插件的网站所有者和管理员必须立即更新到最新的修补版本。

来源：

https://securityonline.info/critical-vulnerabilities-in-popular-forminator-wordpress-plugin-put-hundreds-of-thousands-of-websites-at-risk/

勒索专题

大西洋渔业机构确认遭遇网络攻击，8Base勒索软件团伙声称窃取数据

Tag： 网络攻击, 8Base勒索软件团伙

事件概述：