导 读
据谷歌威胁情报小组(由谷歌威胁分析小组 (TAG) 和 Mandiant 组成)的博客文章,俄罗斯网络间谍和影响活动一直针对乌克兰新兵,以破坏该国的征兵动员努力。
作为被追踪为 UNC5812 的混合网络行动的一部分,一个名为 Civil Defense 的 Telegram 角色一直在分发据称用于定位乌克兰军事招募人员的免费软件,但结果却是特定平台的恶意软件。
在未启用 Google Play Protect 的 Android 设备上,该软件会安装商品恶意软件和诱饵地图应用程序。Google 已观察到 Android 后门 CraxsRat 和 SunSpinner 恶意软件被安装到受害者手机。
CraxsRat 包含典型的 Android 后门功能,例如文件和短信管理、联系人和凭证盗窃以及监控击键、设备位置和音频输入的能力。
SunSpinner 是一款使用 Flutter 框架编写的诱饵应用程序,可以显示乌克兰军事招募人员的众包位置。虽然它提供了添加新标记的选项,但应用程序 JSON 文件中的所有标记都是在同一天添加的,这表明它们不是真正的用户输入。
Windows 用户受到了 Pronsis Loader 恶意软件下载程序的攻击,该程序启动了一条复杂的感染链,通向 SunSpinner 和 PureStealer 信息窃取程序。
PureStealer 用.NET 编写,旨在窃取浏览器数据(例如密码和 cookie)以及加密货币钱包和来自其他应用程序(包括消息和电子邮件客户端)的数据。
谷歌表示,该恶意软件通过 Telegram 频道和相关网站进行传播。该域名于 2024 年 4 月注册,但频道于 9 月创建,这表明该活动上个月才全面投入运营。
谷歌认为,UNC5812 一直在合法的乌克兰语 Telegram 频道上购买推广帖子,其中至少有两个帖子在 9 月和 10 月宣传“民防”,包括一个拥有超过 80,000 名订阅者的成熟频道。
Telegram 上的民防频道
谷歌解释说:“该活动的最终目的是让受害者导航到 UNC5812 控制的‘民防’网站,该网站宣传适用于不同操作系统的几种不同的软件程序。”
谷歌将这款应用称为“Sunspinner”,尽管这款应用提供了带标记的地图,但谷歌表示数据是伪造的。这款应用的唯一目的是隐藏在后台安装的恶意软件。
传播恶意软件的“民防”网站
民防网站声称,这款安卓应用是在 Google Play 之外发布的,以保护用户的匿名性和安全性。它还提供了用户如何禁用 Google Play Protect 以及如何在安装恶意软件后手动启用所有权限的说明。
除了传播恶意软件外,民防电报频道还从事影响活动,要求访问者和用户上传可能旨在抹黑乌克兰军方并宣传反动员言论的视频。
谷歌表示:“民防网站还穿插了乌克兰语的反动员图像和内容,其中包括一个专门的新闻专栏,重点报道所谓的不公正动员行为的案例。”
谷歌已将民防局的行动告知乌克兰国家当局,在全国范围内阻止了该网站的解析,并将已识别的域名和文件添加到安全浏览中。
“乌克兰推出国家数字军人身份证后,我们发现针对潜在军人招募的攻击日益突出,该身份证用于管理应服兵役人员的详细信息并促进招募。与 EUvsDisinfo 的研究一致,我们还继续观察到亲俄势力不断努力宣传破坏乌克兰征兵活动有关的信息。”谷歌指出。
新闻链接:
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
今日安全资讯速递
APT事件
Advanced Persistent Threat
黑客利用 CloudScout 工具集窃取云服务会话 Cookie
https://thehackernews.com/2024/10/chinese-hackers-use-cloudscout-toolset.html
BeaverTail 恶意软件在针对开发人员的恶意 npm 软件包中再次出现
https://thehackernews.com/2024/10/beavertail-malware-resurfaces-in.html
谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
https://www.securityweek.com/google-russia-targeting-ukrainian-military-recruits-with-android-windows-malware/
一般威胁事件
General Threat Incidents
Black Basta勒索软件组织依赖 Microsoft Teams 来获取目标网络的初始访问权限
https://securityaffairs.com/170311/cyber-crime/black-basta-ransomware-microsoft-teams.html
第三方身份:网络安全供应链中最薄弱的环节
https://securityaffairs.com/170324/security/third-party-identities-cybersecurity-supply-chain.html
RansomHub 团伙涉嫌袭击墨西哥13 个机场运营商
https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator
达美航空起诉 CrowdStrike,称其技术故障导致数千架航班取消
https://www.securityweek.com/delta-sues-cybersecurity-firm-crowdstrike-over-tech-outage-that-canceled-flights/
犯罪团伙入侵意大利国家数据库转售被盗信息
https://securityaffairs.com/170328/data-breach/a-crime-ring-compromised-italian-state-databases.html
网络犯罪分子利用 Webflow 欺骗用户共享敏感登录凭据
https://thehackernews.com/2024/10/cybercriminals-use-webflow-to-deceive.html
新工具可绕过 Google Chrome 的新 Cookie 加密系统
https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/
荷兰警方查获 Redline 和 Meta 信息窃取恶意软件行动
https://www.bleepingcomputer.com/news/legal/redline-meta-infostealer-malware-operations-seized-by-police/
法国第二大 ISP Free 证实黑客入侵并窃取了客户个人信息
https://www.bleepingcomputer.com/news/security/free-frances-second-largest-isp-confirms-data-breach-after-leak/
漏洞事件
Vulnerability Incidents
微软已经针对最近披露的针对 Windows 更新过程的降级攻击推出缓解措施
https://www.securityweek.com/more-details-shared-on-windows-downgrade-attacks-after-microsoft-rolls-out-mitigations/
Nvidia 修补 Windows、Linux 图形驱动程序中的高严重性漏洞
https://www.securityweek.com/nvidia-patches-high-severity-flaws-in-windows-linux-graphics-drivers/
思科发布紧急修复程序,修复 ASA 和 FTD 软件中遭主动攻击的漏洞
https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
西门子和施耐德电气产品中发现严重漏洞
https://thecyberexpress.com/cyble-ics-vulnerability-report/
研究人员发现 Wi-Fi 联盟测试套件中存在命令注入漏洞
https://thehackernews.com/2024/10/researchers-discover-command-injection.html
新的 Windows 驱动程序签名绕过允许安装内核 rootkit
https://www.bleepingcomputer.com/news/security/new-windows-driver-signature-bypass-allows-kernel-rootkit-installs/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):谷歌称俄罗斯利用 Android、Windows 恶意软件攻击乌克兰新兵
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论