📱 **移动安全新动向：** Android恶意软件正转向传播短信窃取程序和间谍软件，利用伪装应用规避检测，并滥用金融应用和政府/银行应用进行传播。macOS安全防护功能也被黑客滥用，用于凭证窃取和规避防御。虚假广告和奖学金欺诈成为诱骗用户下载恶意软件的新手段，如Brokewell安卓银行木马和SikkahBot恶意软件。HOOK安卓木马功能大幅升级，支持107项远程命令，新增勒索功能。SpyNote利用虚假应用商店进行隐秘攻击，RatOn银行木马则结合了覆盖攻击、自动转账和NFC中继功能。

💻 **APT组织活动升级与武器库扩展：** Lazarus组织针对金融和加密货币领域的分支部署了PondRAT、ThemeForestRAT和RemotePE三个自定义RAT。APT28利用名为GONEPOSTAL的Outlook宏后门，构建了基于电子邮件的隐蔽C2通道。APT37通过Rustonotto后门、PowerShell Chinotto和FadeStealer扩展其武器库，并利用RokRAT恶意软件瞄准韩国学者。Kimsuky利用社交工程和AppleSeed恶意软件对韩国进行间谍活动。新型APT组织“嘈杂熊”则针对哈萨克斯坦能源部门发起网络间谍。

🔍 **漏洞披露与AI驱动的安全研究：** 谷歌9月发布的安卓安全更新修复了111个漏洞，其中包括两个被积极利用的零日漏洞。WhatsApp和苹果的零日漏洞被组合利用，增加了间谍软件攻击的复杂性。AI技术在漏洞挖掘领域展现出强大能力，研究人员开发出AI研究框架，成功在安卓应用中发现并验证了57个未知漏洞，涉及加密、访问控制和输入验证等方面。

🎣 **社交工程与漏洞利用成为主要攻击向量：** 多起APT攻击事件表明，社交工程手段（如虚假招聘、奖学金申请、冒充官方通讯）被广泛用于诱骗受害者执行恶意操作。Lazarus组织更是利用Git符号链接漏洞（CVE-2025-48384）发起隐秘网络钓鱼，结合虚假招聘信息和编码测试，诱导受害者下载和运行恶意代码，并窃取凭证和加密货币。

🛡️ **企业安全防护建议：** 针对macOS的威胁，企业应实施基于ESF的详细日志记录、部署关键命令模式的Sigma规则，并使用第三方EDR解决方案增强防御。对于Android恶意软件的广泛传播，提升用户安全意识，谨慎下载应用，并及时更新系统至关重要。企业网络安全需关注APT组织的攻击手法，特别是其利用电子邮件、宏和零日漏洞的策略，并加强对可疑链接和附件的检测与过滤。

AVL威胁情报团队 2025-09-12 15:54 四川

近期威胁情报速览！

01 Android恶意投放器转向传播短信窃取程序与间谍软件

Android恶意软件转向传播简易间谍软件，利用伪装应用规避谷歌防护。攻击者通过无害界面诱导用户下载恶意载荷，Play Protect难阻用户执意安装。恶意广告伪装金融应用，瞄准加密货币用户牟利，攻防博弈持续升级。当前活动通过伪装成印度和亚洲其他地区政府或银行应用程序的植入程序进行传播。

https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware

02 黑客利用 macOS 内置防护功能部署恶意软件

攻击者滥用 macOS 工具（Keychain、SIP、文件隔离）进行凭证窃取和规避，通过禁用 Gatekeeper、点击劫持 TCC 和卸载 XProtect 来规避防御。企业需要实施基于 ESF 的详细日志记录、部署关键命令模式的 Sigma 规则以及使用第三方 EDR 解决方案增强本机防御，有效检测和阻止威胁。

https://cybersecuritynews.com/hackers-leverage-built-in-macos-protection/

03 虚假TradingView广告推送Brokewell安卓银行木马

网络犯罪分子正在滥用 Meta 的广告平台，以“免费获取 TradingView Premium 应用”为诱饵，向 Android 用户投放恶意广告，传播 Brokewell 恶意软件。安装后的恶意应用会立即索取辅助功能权限，并在获得权限后用一个假的“更新提示”遮盖屏幕，同时在后台悄悄授予自己所有所需权限，还会通过模拟 Android 系统更新请求，引诱受害者输入锁屏密码，以窃取设备 PIN 码。

自 2025年7 月 22 日起，涉及约 75 个本地化广告，主要瞄准加密货币资产用户。截至 8 月 22 日，仅在欧盟，这些广告就已经覆盖了数万名用户。

https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide

04 奖学金申请欺诈：SikkahBot 恶意软件诱骗孟加拉国学生

名为“SikkahBot”的 Android 恶意软件追踪器 ，自 2024 年 7 月起活跃，并明确针对孟加拉国的学生。该恶意软件伪装成孟加拉国教育委员会的申请，以奖学金承诺引诱受害者，胁迫他们分享敏感信息，并授予高风险权限。安装后，SikkahBot 会收集个人和财务数据，拦截短信，滥用无障碍服务，并执行自动银行交易，包括基于 USSD 的操作。

https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/

05 HOOK安卓木马重大升级，勒索功能扩展至107项

HOOK 被认为是ERMAC银行木马的一个分支，巧合的是，该木马的源代码已在互联网上一个可公开访问的目录中泄露。与其他针对 Android 的银行恶意软件一样，它能够在金融应用程序上显示虚假的覆盖屏幕，以窃取用户凭据并滥用 Android 辅助功能来自动进行欺诈并远程劫持设备。值得注意的恶意功能包含：向指定的电话号码发送短信、流式传输受害者的屏幕、使用前置摄像头拍摄照片以及窃取与加密货币钱包相关的 cookie 和恢复短语。

最新版本HOOK支持 107 个远程命令，新增 38 个。这些命令包括提供透明覆盖层以捕捉用户手势、提供伪造的 NFC 覆盖层以诱骗受害者共享敏感数据，以及提供欺骗性提示以收集锁屏 PIN 码或图案。

https://thehackernews.com/2025/08/hook-android-trojan-adds-ransomware.html

06 SpyNote新骗局：利用虚假应用商店展开隐秘攻击

威胁行为者使用具有欺骗性的 Google Play 商店克隆程序诱骗受害者下载恶意 APK。被仿冒的应用涵盖了社交/约会应用（CamSoda、Kismia、iHappy）、游戏（8 Ball Pool、Block Blast）以及实用程序（Chrome、Zoom、美妆、Compras Online）等热门类别。

交付 APK（例如 Chrome.apk）充当着植入器的角色。安装后，它会使用从应用清单中派生出的密钥解密其隐藏的有效载荷，并通过一种称为 DEX 元素注入的技术加载 SpyNote。该 C2 基础设施使用多个硬编码域名，但采用了混淆技术来阻止分析。底层基础设施仍然有限，仅与两个主要 IP 地址（154.90.58[.]26 和 199.247.6[.]61）绑定。

https://dti.domaintools.com/spynote-malware-part-2/

07 RatOn Android银行木马进行 NFC 中继和 ATS 银行欺诈

RatOn是一款新型功能齐全的银行木马，将传统的覆盖攻击与自动转账和 NFC 中继功能相结合，使其成为一种极具威力的威胁。RatOn 具有设备/账户接管功能，主要针对加密货币钱包应用程序，还可以利用特定银行应用程序进行自动转账，并使用自定义覆盖页面和设备锁定功能进行勒索。

相关样本组装时间为2025年7月-8月，一些相关样本在VirusTotal上仍有少量检测结果。研究人员分析认为该木马是从零开始编写的，与现有恶意软件暂无相似之处。攻击方式采用多阶段流程，通过使用植入器感染受害者进行传播。

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

01 Lazarus 分支在有针对性的加密货币攻击中部署了三个自定义 RAT

Lazarus专门针对金融和加密货币领域的分支组织，使用远程访问木马 (RAT)——PondRAT、ThemeForestRAT 和 RemotePE，展示了一种分层的入侵、持久性和隐形方法，针对长期间谍活动和金融剥削进行了优化。

PondRAT – 一款轻量级 RAT，充当加载器和初始立足点。它支持文件操作、进程执行和 Shell 命令

ThemeForestRAT – 一种更隐蔽的第二阶段植入程序，仅驻留在内存中。它支持超过 20 个命令，包括文件操作、进程管理、Shellcode 注入和持久性操作。

RemotePE – 最终的、更高级的有效载荷。与其他有效载荷不同，RemotePE 使用 Windows 的 DPAPI 进行加密，从而展现出更高的操作安全性。

https://blog.fox-it.com/2025/09/01/three-lazarus-rats-coming-for-your-cheese/

02 APT28新型Outlook后门GONEPOSTAL：利用电子邮件构建隐蔽C2通道

APT28（又称Fancy Bear）发起的新型间谍活动，使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DLL侧加载技术和Microsoft Outlook的VBA宏引擎，构建了基于电子邮件的隐蔽命令控制（C2）通道。将 Microsoft Outlook 本身改造成用于间谍活动的隐蔽后门。通过 GONEPOSTAL，该组织展示了一种罕见但强大的电子邮件平台滥用技术。

https://www.kroll.com/en/publications/cyber/fancy-bear-gonepostal-espionage-tool-backdoor-access-microsoft-outlook

03 APT37 利用 Rustonotto 后门、PowerShell Chinotto 和 FadeStealer 扩展武器库

APT37因其持续开发定制工具以及将社会工程学与技术创新相结合的能力而闻名。

Rustonotto是一个用 Rust 编写的轻量级后门，于 2025 年 6 月首次被发现，可以执行 Windows 命令，通过 Base64 编码窃取结果，并与集中式命令与控制 (C2) 服务器保持通信。标志着 APT37 首次利用基于 Rust 的恶意软件攻击 Windows 系统。

Chinotto是一款自 2019 年以来活跃的基于 PowerShell 的恶意软件。Chinotto 通过 Windows 快捷方式 (LNK) 或帮助 (CHM) 文件传递，使攻击者能够保持持久性并远程控制受感染的系统。

FadeStealer 于 2023 年被发现，是一款监控工具，它会记录键盘输入、截取屏幕截图和音频、监控设备和可移动媒体，并通过受密码保护的 RAR 压缩包窃取数据。

https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

04 Kimsuky利用社交工程与AppleSeed恶意软件对韩国实施间谍活动

在 2025 年 3 月至 4 月期间检测到了针对韩国 Facebook、电子邮件和 Telegram 用户的 APT 活动，行程了“协调多渠道攻击”，即利用个人关系和叛逃者主题叙述。

Facebook：一些虚假账户被用来发送好友请求和消息。受害者收到的邮件主题包括志愿支持脱北者等。恶意文件被存储在受密码保护的 EGG 档案库中，以绕过移动平台并逃避检测。

电子邮件：建立良好关系后，攻击者会要求受害者提供个人电子邮件地址，以便发送后续有效载荷。

Telegram：通过获取受害者的手机号码，攻击者将对话扩展到加密消息应用程序上，进一步使其渠道多样化。

https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo-re

05 新型APT组织"嘈杂熊"针对哈萨克斯坦能源部门发起网络间谍

自2025年4月起活跃的新型威胁组织"嘈杂熊"(Noisy Bear)，主要针对哈萨克斯坦石油天然气行业，攻击手法结合了鱼叉式钓鱼、PowerShell加载器和DLL植入技术，并精心制作了伪装成哈萨克斯坦国家石油天然气公司(KazMunaiGas，简称KMG)内部通讯的诱饵文档。

https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/

06 APT37 瞄准韩国学者，使用RokRAT 恶意软件

APT37发起一项新的网络钓鱼活动，针对与国家情报研究协会有关的个人，包括学术人士、前政府官员和研究人员，旨在传播一种名为 RokRAT 的恶意软件。攻击链的起点是一封鱼叉式网络钓鱼电子邮件，其中包含“国家情报研究协会通讯 - 第 52 期”的诱饵，该通讯由韩国一个专注于国家情报、劳资关系、安全和能源问题的研究小组发布，是一份定期通讯。

RokRAT是一款与 APT37 相关的已知恶意软件，该工具能够收集系统信息、执行任意命令、枚举文件系统、捕获屏幕截图以及下载其他有效载荷。收集的数据通过 Dropbox、Google Cloud、pCloud 和 Yandex Cloud 进行泄露。

https://www.seqrite.com/blog/operation-hankook-phantom-north-korean-apt37-targeting-south-korea/

07 Lazarus 利用 Git 符号链接漏洞发起隐秘网络钓鱼

本次攻击遵循了Lazarus的既定策略：虚假招聘信息、多阶段面试和恶意软件部署。攻击始于 LinkedIn、Telegram 或 Twitter 等平台，攻击者会假扮招聘人员，目标是诱骗目标用户参与虚假的面试流程，安装恶意软件，从受害者的设备和浏览器中窃取凭证/密码，然后盗取他们的加密钱包。

对于技术专业人员：

受害者被要求完成“编码测试”——其中包括提取和运行恶意代码。

最近的攻击甚至利用了 CVE-2025-48384（一个新披露的git符号链接漏洞）。

对于非技术目标：

攻击者伪造技术问题（例如“相机不工作”）来迫使受害者运行恶意脚本。

https://www.kucoin.com/blog/en-breaking-lazarus-group-apt38-targets-crypto-sector-with-sophisticated-phishing-campaign

01 谷歌9月更新111个安卓漏洞，包含两个零日

Android 安全更新涵盖了影响 Android 13 至 16 的漏洞，建议的操作是升级到安全补丁级别 2025-09-01 或 2025-09-05，方法是导航至“设置”>“系统”>“软件更新”>“系统更新”>并点击“检查更新”。两个零日漏洞详情如下：

CVE-2025-38352漏洞 是一个 Linux 内核漏洞，于 2025 年 7 月 22 日首次披露，已在内核版本 6.12.35-1 及更高版本中修复。该漏洞此前未被标记为被主动利用。该缺陷是 POSIX CPU 计时器中的竞争条件，导致任务清理中断和内核不稳定，可能导致崩溃、拒绝服务和权限提升。

CVE-2025-48543 会影响 Android 运行时，Java/Kotlin 应用和系统服务在此执行。它可能允许恶意应用绕过沙盒限制并访问更高级别的系统功能。

https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-android-flaws-in-september-update/

02  WhatsApp漏洞与苹果零日漏洞遭组合利用，间谍软件攻击复杂度升级

WhatsApp 已修复一个关键的零点击漏洞，漏洞编号为 CVE-2025-55177，据称与苹果近期披露的零日漏洞（CVE-2025-43300）被联合使用，用于在完全无需用户交互的情况下投递间谍软件。受影响的版本包括：iOS 平台 2.25.21.73 之前的 WhatsApp、iOS 平台 2.25.21.78 之前的 WhatsApp Business，以及 Mac 平台 2.25.21.78 之前的 WhatsApp。

https://www.anquanke.com/post/id/311781

03 AI驱动漏洞挖掘！利用智能体发现57个安卓APP未知漏洞

研究人员开发出一个AI研究框架，用于在安卓应用中发现并验证漏洞。通过先对应用安全性进行推理，再尝试利用潜在缺陷进行验证，从而模拟人类专家的分析与验证过程。通过对160个APK的真实数据集上测试了该框架。在检测阶段报告的136个潜在漏洞，60个被验证为可利用的安全缺陷，29个被确认是误报，人工复核后最终确认60个漏洞中仅3个属于误报。其余57个问题涉及加密、访问控制及输入验证缺陷，并已被负责任地披露。

https://www.secrss.com/articles/82848

阅读原文

跳转微信打开