eXotic Visit针对印度和巴基斯坦的 Android 用户

首页 > 宁静研究 > 宁静通报 > 宁静简讯

eXotic Visit针对印度和巴基斯坦的 Android 用户

宣布时间 2024-04-16

1. eXotic Visit针对印度和巴基斯坦的 Android 用户

4月10日，一个名为 eXotic Visit 的活跃 Android 恶意软件活动主要针对南亚用户，特别是印度和巴基斯坦的用户，恶意软件通过专门网站和 Google Play 商店分发。某网络宁静公司体现，这项活动自 2021 年 11 月以来一直在进行，与任何已知的威胁行为者或组织无关。它正在追踪名为Virtual Invaders的行动背后的组织。据称，该活动具有很强的针对性，Google Play 上提供的应用法式的安装数量微乎其微，从 0 到 45 不等。这些应用法式已被下架。这些虚假但实用的应用法式主要伪装成消息服务，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。据称，约莫 380 名受害者下载了这些应用法式并创建了帐户，以使用它们发送消息。

https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html?&web_view=true

2. GSMA 宣布移动威胁情报框架

4月10日，GSM 协会的欺诈和宁静小组 (FASG) 宣布了第一版框架，用于以结构化方式描述对手如何凭据他们使用的计谋、技术和法式 (TTP) 攻击和使用移动网络。移动威胁情报框架 (MoTIF) 专注于与移动网络相关的攻击，这些攻击尚未被MITRE ATT&CK（适用于企业和移动）和MITRE FiGHT等现有公共框架涵盖。范围包罗 2G、3G、4G、5G，包罗所有类型的电信服务推动者（例如漫游、SMS、VoIP）和未来移动技术的演进�；拱拚攵砸贫缂捌淇突У钠壅┕セ�。MoTIF 原则提供了 MoTIF 的概述，并界说了框架中指定的技术和子技术。

https://www.helpnetsecurity.com/2024/04/10/gsma-mobile-threat-intelligence-framework/?web_view=true

3. 地缘政治紧张局势加剧 OT 网络攻击

4月15日，过去几年，出于政治动机、造成人身后果的黑客攻击有所增加。几乎所有这些袭击都与俄罗斯入侵乌克兰或正在进行的伊朗/以色列冲突有关。从历史上看，这些攻击并不是非常庞大，但每个人都在关注大型语言模型人工智能的泛起，看看这些人工智能是否会让黑客行动主义者变得越发强大。勒索软件是罪魁祸首。然而，勒索软件历来推动了具有 OT 后果的攻击的复合年增长率更高。19% 低于我们今年的预期，我们将这一差异归因于计谋的转变。勒索软件对 OT 的影响很大一部门是由于依赖性。勒索软件攻击 IT 网络，加密大量内容，从而导致大量 IT 服务器和服务瘫痪。OT 关闭。为什么？事实证明，我们的 OT 自动化系统需要一些已瘫痪的 IT 服务。

https://www.helpnetsecurity.com/2024/04/15/andrew-ginter-waterfall-security-ot-cyber-attacks/

4. WikiLoader 通过文本编辑器 Notepad++ 进行流传

4月14日，AhnLab 宁静应急响应中心的宁静研究人员发现了针对广泛使用的 Notepad++ 文本编辑器的庞大恶意软件活动。这种攻击的核心是一种称为 DLL 劫持的技术。攻击者秘密修改了默认的Notepad++插件“mimeTools.dll”，以便在文本编辑器启动时执行恶意代码。由于该插件随每个 Notepad++ 安装一起提供，因此用户在使用该软件时会无意中触发熏染。在损坏的插件中，攻击者小心地隐藏了他们的有效负载。伪装成无害证书的文件“certificate.pem”掩盖了加密的 shellcode——攻击的初始阶段。随着恶意软件笼罩另一个插件“BingMaps.dll”中的代码并将线程注入核心“explorer.exe”Windows 进程，庞大性也会增加。这确保了持久性并使攻击更难以检测。

https://securityonline.info/popular-text-editor-notepad-compromised-in-wikiloader-malware-attack/

5. 间谍活动卷土重来，LightSpy 瞄准南亚

4月14日，LightSpy 最初于 2020 年在香港紧张局势加剧期间被发现，以其类似激光的聚焦能力和强大的数据收集能力而闻名。最新的版本被称为“F_Warehouse”，泛起出适应性更强的威胁。它接纳即插即用�？樯杓�，允许攻击者自界说监视以满足特定目标：看不见的监视、深度数据渗透和远程控制的威胁。LightSpy 接纳证书牢固等庞大技术来逃避检测。它主要通过受损的新闻网站流传，这些网站包罗与敏感政治问题相关的内容，例如之前在香港抗议期间视察到的问题。一旦设备受到损害，LightSpy 就会部署多阶段植入过程，逐步释放其全部间谍功效。

https://securityonline.info/espionage-campaign-returns-lightspy-targets-southern-asia/

6. CISA将D-LINK多个漏洞添加到已知利用的漏洞目录

4月11日，美国网络宁静和基础设施宁静局 (CISA) 将以下 D-Link 多 NAS 设备缺陷添加到其已知可利用漏洞 (KEV) 目录中：D-Link 多个 NAS 设备使用硬编码凭据漏洞（CVE-2024-3272）和D-Link 多个 NAS 设备命令注入漏洞（CVE-2024-3273）。CVE-2024-3272 是影响 D-Link 多个 NAS 设备的硬编码凭据使用漏洞。该缺陷影响 D-Link DNS-320L、DNS-325、DNS-327L 和 DNS-340L，这些设备包罗硬编码凭据，允许攻击者进行经过身份验证的命令注入，从而导致远程、未经授权的代码执行。CISA 指出，该缺陷影响已到达生命周期终止 (EOL) 或服务终止 (EOS) 生命周期的 D-Link 产物，因此，应凭据供应商的指示退役并更换这些产物。缺陷 CVE-2024-3272 是影响 D-Link 多个 NAS 设备的命令注入漏洞。该漏洞影响D-Link DNS-320L、DNS-325、DNS-327L 和 DNS-340L，其中包罗命令注入漏洞。

https://securityaffairs.com/161739/security/cisa-d-link-multiple-nas-devices-bugs-known-exploited-vulnerabilities-catalog.html?web_view=true

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究