朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

admin
admin
admin
142105
文章
117
评论
2025年3月17日20:59:06评论35 views字数 2097阅读6分59秒阅读模式
1. 微软曝光伪装Booking.com进行钓鱼攻击的Storm-1865社交工程计划
朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

微软公开了一项针对北美、澳、东南亚、欧等地酒店业的钓鱼攻击,名为Storm-1865,利用ClickFix社交工程技术窃取用户凭证。攻击者伪装成Booking.com,通过虚假反馈邮件引导受害者点击,下载并执行恶意软件。

【标签】#Microsoft #phishing #social engineering #Booking.com #ClickFix #malware

【来源】https://thehackernews.com/2025/03/microsoft-warns-of-clickfix-phishing.html

2. 北朝鲜黑客新动向:利用Android恶意软件KoSpy进行间谍活动

朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

北朝鲜黑客组织ScarCruft,又被称为APT27和Reaper,最近被发现使用一款名为KoSpy的新型Android间谍软件,针对韩语和英语用户进行秘密监视。这款名为File Manager、Phone Manager等的应用在Google Play Store伪装成实用工具,通过动态加载插件窃取包括短信、通话记录、位置信息、文件、音频和屏幕截图在内的大量数据。Lookout公司分享了这一恶意软件活动的细节,最早可以追溯到2022年3月,最新样本则在2024年3月被发现。尽管具体成效不明,KoSpy通过Firebase Firestore作为死巷子来隐藏C2服务器地址,以增加灵活性和生存能力。

【标签】#Spying #ScarCruft #Malware #KoSpy #Lookout #North Korea #Android

【来源】https://thehackernews.com/2025/03/north-koreas-scarcruft-deploys-kospy.html

3. ruby-saml库存在高危安全漏洞,可能导致SAML认证绕过

朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

两个严重安全漏洞(CVE-2025-25291和CVE-2025-25292)被发现于Ruby-SAML库,该库用于SAML(Security Assertion Markup Language)的XML交换,可能被恶意攻击者利用,绕过SAML的验证保护。漏洞影响版本范围是1.12.4至1.18.0。GitHub安全团队在2024年11月报告并修复了这些问题。GitHub安全研究员指出,攻击者可通过解析差异进行签名伪造,实现对任意用户的登录。用户应尽快升级到最新版本以防止潜在威胁。

【标签】#security #vulnerabilities #authentication bypass #SAML #ruby-saml #update recommendation

【来源】https://thehackernews.com/2025/03/github-uncovers-new-ruby-saml.html

4. Firefox用户需更新以避免因根证书过期导致的Add-on问题

朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

浏览器制造商Mozilla已提醒用户,为了防止因根证书即将到期导致的Add-ons问题,需更新至最新版本的Firefox(版本128及以上,或ESR115.13+)。未更新可能导致Add-ons不可用、内容签名问题和DRM保护媒体播放中断。重要安全修复和性能改进将丢失。iOS和iPad用户不受影响。

【标签】#add-ons #Firefox #Mozilla #root certificate expiration #security update

【来源】https://thehackernews.com/2025/03/warning-expiring-root-certificate-may.html

5. Python Package Index遭恶意攻击,伪装时间工具窃取云密钥

朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

网络安全专家发现,PyPI(Python Package Index)上存在一批恶意软件包,伪装成时间相关工具,实则暗藏功能窃取云服务提供商的访问令牌等敏感信息,已下载14,100次。这些恶意软件包括与Alibaba Cloud、Amazon Web Services和Tencent Cloud等云服务相关的`acloud-client`等。目前,这些包已被移除。此外,一些关联项目也被发现存在风险。

【标签】#Python #Cybersecurity #Malware #Supply Chain Security #PyPI

【来源】https://thehackernews.com/2025/03/malicious-pypi-packages-stole-cloud.html

关注我们

        欢迎来到我们的公众号!我们专注于全球网络安全和精选资讯,为您带来最新的资讯和深入的分析。在这里,您可以了解世界各地的网络安全事件,同时通过我们的新闻,获取更多的行业知识。感谢您选择关注我们,我们将继续努力,为您带来有价值的内容。

原文始发于微信公众号(知机安全):朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月17日20:59:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜APT组织KoSpy间谍软件:伪装工具窃取多维度数据https://cn-sec.com/archives/3850387.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息