Bahamut團伙利用假冒的VPN應用竊取Android使用者資訊;IBM發現勒索軟體RansomExx的新變體已用Rust重寫

1、Bahamut團伙利用假冒的VPN應用竊取Android使用者資訊

11月23日,ESET披露了由APT組織Bahamut發起針對Android使用者的攻擊活動。該活動自2022年1月以來一直活躍,Bahamut重新打包了適用於Android的SoftVPN和OpenVPN應用,添加了具有間諜功能的惡意程式碼。因此,該應用仍會提供VPN功能,同時還可以從移動設備中竊取資訊。為了掩飾攻擊活動並提高可信度,Bahamut使用了SecureVPN(一個合法的VPN服務)的名字,並創建了一個假網站[thesecurevpn]來分發惡意應用。

https://www.welivesecurity.com/2022/11/23/bahamut-cybermercenary-group-targets-android-users-fake-vpn-apps/

2、超過50個偽造的MSI Afterburner官網分發挖礦軟體

據11月23日報道,Cyble的研究人員發現了幾個針對MSI Afterburner軟體的釣魚活動,旨在分發挖礦惡意軟體。在過去三個月中,有超過50個冒充MSI Afterburner官網的釣魚網站,會分發XMR(Monero)礦工與竊取資訊的惡意軟體。具體來說,當目標執行偽造的MSI Afterburner安裝檔案(MSIAfterburnerSetup.msi)時,除了會安裝合法的Afterburner程序,還會悄悄地安裝並運行惡意軟體RedLine和XMR挖礦程序。不幸的是,該活動幾乎所有的元件都沒有被防毒軟體檢測到。

https://blog.cyble.com/2022/11/23/fake-msi-afterburner-sites-delivering-coin-miner/

3、IBM發現勒索軟體RansomExx的新變體已用Rust重寫

IBM在11月22日稱其發現了RansomExx勒索軟體的一個新變體,該變體已用Rust語言重寫。用Rust開發的惡意軟體通常會有較低的AV檢測率,這可能是它使用該語言的主要原因。新變體的功能與其C++的版本類似,將要加密的目標目錄列表作為命令列參數傳遞,然後使用AES-256加密檔案,並使用RSA來保護加密金鑰,所有大於或等於40位元組的檔案都被加密。目前,在60多家AV提供商中只有14家檢測到了新樣本。

https://securityintelligence.com/posts/ransomexx-upgrades-rust/

4、Smith Family約8萬捐贈者的詳細資訊可能已洩露

據媒體11月22日報道,澳大利亞慈善機構Smith Family透露其遭到駭客攻擊,約8萬捐贈者的詳細資訊可能已被訪問。洩露資訊涉及姓名、地址、電話號碼、郵件地址和捐贈記錄,以及部分支付卡的而資訊。該機構的聲明表示,駭客企圖盜取資金但是沒有成功,他們已通知受影響的捐贈者,目前沒有任何人的資訊被濫用。

https://www.abc.net.au/news/2022-11-22/smith-family-charity-cyber-crime-hackers-donor-details/101683860

5、偽裝成新聞調查的惡意word文件竊取目標的資訊

據ASEC 11月25日報道,近期一個與朝鮮相關的惡意Word檔案一直在使用FTP洩露使用者憑據。該Word文件的檔案名為「CNA[Q].doc」,偽裝成CNA新加坡電視節目採訪。該檔案受密碼保護,與密碼一起作為郵件附件分發。檔案中包含惡意VBA宏,通過Document_Open()函數使惡意宏自動執行。它可以使用FTP洩露使用者的資訊、創建LNK檔案、更改MS Office安全設置和記錄鍵盤。

https://asec.ahnlab.com/en/42529/

6、Group-IB發佈竊取資訊的惡意軟體分發活動的分析報告

11月23日,Group-IB發佈報告稱已確定34個俄羅斯駭客團伙在以竊取即服務模式(SaaS)分發竊取資訊的惡意軟體。攻擊者主要使用Racoon和Redline竊取程序,來收集Steam和Roblox遊戲帳戶的密碼,亞馬遜和PayPal的憑據,以及使用者的支付記錄和加密錢包資訊。2022年的前7個月,攻擊者共感染超過89萬臺設備,竊取超過5000萬個密碼,主要針對美國、巴西、印度、德國和印度尼西亞,惡意活動涉及111個國家/地區。

https://www.group-ib.com/media-center/press-releases/professional-stealers/

安全工具

MATE

用於互動式程序分析的工具,專注於尋找C和C++程式碼中的錯誤。

https://galoisinc.github.io/MATE/

DotDumper

DotNet Framework目標檔案的自動解包和記錄工具。

https://github.com/advanced-threat-research/DotDumper

安全分析

HC3發佈有關Lorenz勒索軟體的通告

https://www.databreaches.net/hc3-alert-on-lorenz-ransomware/

Meta刪除Facebook和Instagram上與美國軍方有關的幾個賬戶

https://www.bleepingcomputer.com/news/security/meta-links-us-military-with-covert-facebook-influence-operation/

微軟確認Windows 11 Version 22H2存在新漏洞

https://news.softpedia.com/news/microsoft-confirms-a-new-bug-in-windows-11-version-22h2-536522.shtml

Panaseer在歐盟新立法之前發佈安全控制指南

https://www.infosecurity-magazine.com/news/panaseer-guidance-security-eu/

存在後門的Chrome擴展SearchBlox主要針對Roblox玩家

https://www.bleepingcomputer.com/news/security/backdoored-chrome-extension-installed-by-200-000-roblox-players/

Black Basta團伙使用Qakbot攻擊美國的公司

https://thehackernews.com/2022/11/black-basta-ransomware-gang-actively.html

Ducktail資訊竊取程序繼續進化

https://labs.withsecure.com/publications/ducktail-returns

Arm Mali GPU驅動程序中漏洞影響數百萬Android設備

https://www.bleepingcomputer.com/news/security/mali-gpu-patch-gap-leaves-android-users-vulnerable-to-attacks/