APT36通过多个伪造的YouTube APK分发CapraRAT

宣布时间 2023-09-20

1、APT36通过多个伪造的YouTube APK分发CapraRAT


SentinelLabs在9月18日果然了APT36(又称Transparent Tribe)使用了至少3个伪造成YouTube的Android应用法式包(APK)分发CapraRAT的活动 。恶意软件一旦安装在目标设备上,就可以收集数据、记录音频或视频以及访问通信信息,本质就像间谍软件一样 。恶意APK在Google Play之外分发,因此可能是通过社工攻击进行分发 。这些APK于2023年4月、7月和8月上传到VirusTotal,其中两个名为“YouTube”,一个被称为“Piya Sharma” 。


https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/


2、TrendMicro修复已被利用的RCE漏洞CVE-2023-41179


据媒体9月19日报道,Trend Micro修复了Apex One端点�;そ饩龇桨钢械脑冻檀胫葱新┒矗–VE-2023-41179) 。该漏洞存在于宁静软件附带的第三方卸载法式�?橹校档米⒁獾氖枪セ髡弑匦胂然竦媚勘晗低成系墓芾砜刂铺ǚ梦嗜ㄏ薏牌么寺┒� 。Trend Micro称已视察到至少有一次针对此漏洞的攻击活动,强烈建议用户尽快更新到最新版本 。


https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/


3、Earth Lusca利用SprySOCKS针对多个国家的官方网站


9月18日,研究人员称其发现了Earth Lusca利用新的Linux后门SprySOCKS的攻击活动 。分析表明,该后门源自开源Windows恶意软件Trochilus,其许多功效被移植到Linux系统上,C2通信协议类似于Windows后门RedLeaves,交互式shell的实现源自Linux恶意软件Derusbi 。该活动利用Nday漏洞安装Cobalt Strike beacon,然后分发SprySOCKS加载法式 。Earth Lusca在今年上半年主要针对东南亚、中亚、巴尔干等地的外交事务、技术和电信相关的政府实体 。


https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html


4、加拿大政府和金融等领域遭NoName057(16)的DDoS攻击


据9月18日报道,加拿大的多个实体遭到了NoName057(16)的DDoS攻击 。加拿大网络中心体现,自9月13日以来,其了解并响应了针对加拿大政府内部以及金融和运输部门的多起DDoS攻击活动 。今年2月份,该中心视察到针对其它国家的类似DDoS攻击活动 。NoName057(16)通常使用僵尸网络来攻击目标的Web服务器,然后夸耀其恶意活动 。


https://www.cyber.gc.ca/en/alerts-advisories/distributed-denial-service-campaign-targeting-multiple-canadian-sectors


5、Sysdig披露针对不常见AWS服务的攻击活动AMBERSQUID


Sysdig于9月18日披露了一种新的云原生加密劫持攻击活动AMBERSQUID 。此活动主要针对不常用的AWS服务,例如AWS Amplify、AWS Fargate和Amazon SageMaker 。不常用意味着从宁静角度来看这些服务经常被忽视,而AMBERSQUID活动可能会让目标每天损失凌驾10000美元 。该活动能够利用云服务,而不会触发AWS批准更多资源的请求 。Sysdig体现它在分析了Docker Hub上的170万个镜像后发现了该活动,并将其归因于印尼相关的攻击者 。


https://sysdig.com/blog/ambersquid/


6、Intel 471宣布Bumblebee利用4shared WebDAV的分析


9月15日,Intel 471宣布了关于Bumblebee利用4shared WebDAV的分析陈诉 。Bumblebee在暂停两个月后,于8月底恢复运营 。这一轮活动开始于9月7日,依靠伪装成扫描件、发票和通知的垃圾邮件来诱使收件人下载恶意附件 。大多数附件是LNK文件,打开后会在目标计算机启动一系列命令,首先是使用4shared共享存储帐户的硬编码凭据在网络驱动器上安装WebDAV文件夹,最终会下载托管在WebDAV服务器上的Bumblebee 。  


https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign