德国手机厂商Gigaset遭到供应链攻击,更新服务器被劫持;安全团队披露针对Fortinet VPN的新勒索AppCring

发布时间 2021-04-09

1.德国手机厂商Gigaset遭到供应链攻击,更新服务器被劫持


1.jpg


德国手机制造商Gigaset遭到供应链攻击,至少一个更新服务器被劫持用来分发恶意App。Gigaset AG的前身为西门子家庭和办公室通讯设备企业,制造DECT电话,在2018年的收入为2.8亿欧元。此次攻击针对的是Gigaset旗下Android系统智能手机,发生在3月27日左右,用户发现名为easenf的未知应用在被删除后便会自动重新安装。据悉,easynf是通过设备的系统更新应用安装的,此外还发现了其他恶意应用,包括gem、smart和xiaoan等。


原文链接:

https://www.theregister.com/2021/04/07/gigaset_supply_chain_malware_android_phones/


2.Lazarus团伙利用新恶意AppVyveva攻击南非的货运企业


2.jpg


朝鲜黑客组织Lazarus使用了新型恶意AppVyveva,对南非一家货运物流企业发起定向攻击。ESET发现,Lazarus最初是在2020年6月的攻击中使用Vyveva,但在2018年12月之前的攻击中就一直在部署它。Vyveva具有后门功能,可实行任意恶意代码并支撑时间戳命令。研究人员发现Vyveva仅感染了两台属于同一家货运企业的服务器,并且是首次在野外被利用,因此推测其可能会被用于其他有针对性的间谍活动。


原文链接:

https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/


3.安全团队披露针对Fortinet VPN的新勒索AppCring


3.jpg


瑞士电信的CSIRT团队披露了针对Fortinet VPN的新勒索AppCring(也称为Crypt3r、Vjiszy1lo、Ghost和Phantom)。该恶意App利用了FortiOS的SSL VPN门户网站的路径遍历漏洞(CVE-2018-13379),针对欧洲各国的工业企业。攻击者在获得初始访问权限后会下载定制的Mimikatz和CobaltStrike,并通过使用合法的Windows CertUtil证书管理器绕过安全App,来下载并安装勒索App。


原文链接:

https://securityaffairs.co/wordpress/116480/cyber-crime/cring-ransomware-fortinet-vpn-flaw.html


4.VISA发现利用Web Shell窃取信用卡信息的新趋势


4.jpg


全球支付处理商VISA称,其支付欺诈中断(PFD)在2020年发现了一种新趋势,即越来越多的eSkimming攻击使用了web shell来创建C2。VISA调查发现,自去年以来,安装在被入侵的服务器上的Web Shell数量几乎增加了一倍,从2020年8月到2021年1月,平均每月可检测到14万个此类工具。此外,VISA PFD称在2020年至少有45次eSkimming攻击使用了web shell,攻击者在入侵在线商店的服务器后安装后门并建立C2服务器,以窃取信用卡信息。


原文链接:

https://www.bleepingcomputer.com/news/security/visa-hackers-increasingly-using-web-shells-to-steal-credit-cards/


5.Group-IB发现利用Telegram和谷歌 Forms的钓鱼活动


5.jpg


Group-IB的研究人员在分析网络钓鱼工具包时发现,越来越多的工具开始使用谷歌 Forms和Telegram等合法服务来收集用户数据。此类方式被视为获取数据的替代方法,占比约为6%,并且这一比例在短期内可能会增加。此外,Group-IB在去年发现了针对260多个品牌的网络钓鱼工具包,主要针对微软、PayPal、谷歌和Yahoo等品牌。攻击者的主要目标是在线服务(30.7%)、其次是电子邮件服务(22.8%)和金融机构(20%)。


原文链接:

https://securityaffairs.co/wordpress/116459/cyber-crime/telegram-bots-google-forms-phishing.html


6.恶意AppFlixOnline伪装成Netflix应用针对WhatsApp


6.jpg


Check Point Research(CPR)发现名为FlixOnline的Android恶意App伪装成Netflix的应用针对WhatsApp。目前,谷歌已将该恶意App从Play商店中删除。一旦安装FlixOnline后,该应用就会请求覆盖、电池优化忽略和通知权限,旨在生成用于盗取凭据的覆盖窗口、阻止设备因优化能耗而关闭其进程、访问应用通知并管理和回复消息。之后开始监听WhatsApp通知并自动回复传入的消息,来将受害者重定向到伪造的Netflix网站,窃取其凭据和信用卡信息。


原文链接:

https://www.zdnet.com/article/new-android-malware-poses-as-netflix-to-hijack-whatsapp-sessions/