AVL威胁情报团队 2025-08-13 09:51 四川
近期威胁情报速览!
本期导读:
移动安全
● PlayPraetor Android RAT 在西班牙语和法语地区迅速扩张
● 谷歌Gemini AI遭利用窃取邮件并控制智能设备
● 安卓平台活跃信息窃取木马家族及其攻击活动
● 虚假 TikTok Shop 域名通过 AI 驱动的诈骗活动传播恶意软件并窃取加密货币
● Anubis 勒索软件同时攻击 Android 与 Windows 用户
● DoubleTrouble 手机银行木马病毒曝光
● VexTrio Viper 开发虚假应用程序用于广告欺诈和订阅诈骗
APT事件
● Kimsuky利用 Nim 恶意软件攻击 Web3,并在 BabyShark 攻击活动中使用 ClickFix
● APT36 瞄准印度铁路、石油和天然气行业
● Silver Fox APT 使用伪造的 Flash 插件传播恶意软件
● 朝鲜 Kimsuky 黑客涉嫌数据泄露
● Lazarus在新一轮间谍活动中瞄准开源存储库
漏洞新闻
● 联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全
● Catwatchful 安卓间谍软件发现安全漏洞
● 基于 Linux 的联想网络摄像头漏洞可被远程利用,引发 BadUSB 攻击
● 苹果三星小米受影响!一个数据包让任意智能手机通信瘫痪
01
移动安全
01 PlayPraetor Android RAT 在西班牙语和法语地区迅速扩张
PlayPraetor新型 Android RAT已感染超过 11,000 台设备,主要分布在葡萄牙、西班牙、法国、摩洛哥、秘鲁和香港。每周新增感染超过 2,000 例,该 RAT 滥用 Android 辅助功能进行实时控制,并攻击了近 200 个银行应用程序和加密钱包。 PlayPraetor 使用弹性多协议 C2 设置:通过 HTTP/S 进行心跳检查、通过 WebSocket(端口 8282)进行实时命令以及通过 RTMP(端口 1935)进行屏幕流式传输。
02 谷歌Gemini AI遭利用窃取邮件并控制智能设备
研究人员发现一种通过看似无害的日历邀请和电子邮件实施的复杂攻击手段,能够利用谷歌Gemini AI助手实施入侵。该攻击技术通过在看似合法的谷歌日历邀请或Gmail邮件中嵌入恶意提示实现。当用户向Gemini驱动的助手查询邮件或日历事件时,隐藏的提示注入会触发上下文污染,从而破坏AI的正常行为。
研究数据显示,73%已识别的威胁具有高危或严重风险,攻击者可借此窃取邮件、追踪用户位置、未经同意录制视频通话,以及操控包括灯光、窗户和供暖系统在内的智能家居设备。
https://cybersecuritynews.com/gemini-exploited/
03 安卓平台活跃信息窃取木马家族及其攻击活动
Zimperium 检测引擎在野检测到的五个活跃的移动信息窃取程序家族:TriaStealer、TrickMo、AppLite、Triada 和 SMS Stealer。这些恶意软件针对金融服务、通信平台和身份验证机制,其攻击手段多种多样,从模仿用户屏幕的覆盖攻击到预装的固件后门。
主要发现包括:
已检测到超过 2,400 种变异,影响 69 个国家
在公开 IOC 发布之前,已对三个恶意软件家族进行了零日检测
东南亚被确定为主要感染热点地区
受影响最大的行业:金融、零售和软件
https://zimperium.com/blog/the-growing-threat-of-mobile-infostealers
04 虚假 TikTok Shop 域名通过 AI 驱动的诈骗活动传播恶意软件并窃取加密货币
威胁行为者正利用官方应用内电商平台,通过结合网络钓鱼和恶意软件的双重攻击策略来锁定用户。已发现超过15,000个此类冒充网站,这些域名绝大多数托管在顶级域名上,例如.top、.shop和.icu。这些域名旨在托管网络钓鱼登陆页面,这些页面要么窃取用户凭据,要么分发虚假应用程序SparkKitty(已知跨平台恶意软件的变体),该恶意软件能够从 Android 和 iOS 设备收集数据。
https://www.ctm360.com/reports/fraudontok-tiktok-shop-scam-report
05 Anubis 勒索软件同时攻击 Android 与 Windows 用户
Anubis 勒索软件首次被发现是在 2024 年 11 月,攻击者通过精心伪造的钓鱼邮件以及看似可信的邮件渠道向用户投递恶意载荷。在 Android 设备上,Anubis 主要作为银行木马运作,伪装成正规应用界面的浮层钓鱼页面来窃取用户登录凭据。同时,它还会在后台执行屏幕录制与按键记录(Keylogging)操作,以获取更多认证信息。更具传播性的特点在于:利用受害者的联系人列表批量发送短信,将自身扩散至更多设备,实现快速蔓延。
https://cybersecuritynews.com/anubis-ransomware-attacking-android-and-windows-users/
06 DoubleTrouble 手机银行木马病毒曝光
DoubleTrouble是通过冒充知名欧洲银行的钓鱼网站进行传播的。该木马的早期变种主要利用覆盖层窃取银行凭证、获取锁屏信息,并具有键盘记录功能。
最新变种直接在 Discord 频道内托管恶意软件样本的虚假网站,恶意软件功能包含屏幕截图等高级功能以及各种新命令,增强功能使其能够更有效地窃取数据、操控设备并规避攻击。
https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed
07 VexTrio Viper 开发的虚假应用程序用于广告欺诈和订阅诈骗
名为VexTrio Viper 的恶意广告技术供应商开发了多款恶意应用程序,伪装成 VPN、设备“监控”应用程序、RAM 清理器、约会服务和垃圾邮件拦截器,发布在 Apple 和 Google 的官方应用程序商店中,累计下载量达数百万次。一旦安装,就会诱骗用户注册难以取消的订阅,向用户推送大量广告,并窃取电子邮件地址等个人信息。
新发现揭露了跨国犯罪集团 VexTrio Viper 的规模,该集团自 2015 年以来一直运营流量分发服务 (TDS),通过其广告网络将大量互联网流量重定向到诈骗活动,以及管理 Pay Salsa 等支付处理器和 DataSnap 等电子邮件验证工具。
https://thehackernews.com/2025/08/fake-vpn-and-spam-blocker-apps-tied-to.html
02
APT事件
01 Kimsuky利用 Nim 恶意软件攻击 Web3,并在 BabyShark 攻击活动中使用 ClickFix
与朝鲜有关联的Kimsuky黑客组织被指与一项针对韩国实体的鱼叉式网络钓鱼活动有关,该活动使用 Windows 快捷方式 (LNK) 文件作为初始访问媒介,触发多阶段感染链,部署键盘记录器和信息窃取程序,对受感染主机建立持久控制,并投放未知的下一阶段有效载荷。同时,恶意软件会向用户显示与税务通知单和政府警报相关的诱饵 PDF 文档,这些文档涉及该地区涉嫌性犯罪者的警报。
02 APT36 瞄准印度铁路、石油和天然气行业
APT36(又名“透明部落”)被指通过鱼叉式网络钓鱼攻击印度铁路系统、石油和天然气基础设施以及外交部,传播一种名为Poseidon的已知恶意软件。使用伪装成 PDF 文档的 .desktop 文件来执行脚本,下载恶意软件,并使用 cron 任务建立持久性。Poseidon 后门基于 Mythic 框架构建,用 Go 语言编写,用于维护访问权限并支持横向移动。
https://www.uptycs.com/blog/cyber_espionage_in_india_decoding_apt_36_new_linux_malware
03 Silver Fox APT 使用伪造的 Flash 插件传播恶意软件
被追踪为 Silver Fox 的威胁行为者会伪装成 Adobe Flash、Google Translate 和 WPS 等流行工具传播Winos木马。其典型的传播媒介包括电子邮件、钓鱼网站和即时通讯软件。随着网络犯罪圈核心远控木马源代码(例如 Winos 4.0)的泄露,Silver Fox 已逐渐从单一组织演变为一个被网络犯罪集团甚至 APT 组织广泛重新开发的恶意家族。
https://mp.weixin.qq.com/s/Qac0Xl_6lyJ8L0RkV3614A
04 朝鲜 Kimsuky 黑客涉嫌数据泄露
两名自称与 Kimsuky 价值观相反的黑客窃取了该组织的数据并将其公开泄露到网上。黑客泄露了 Kimsuky 的部分后端,暴露了他们的工具和一些被盗数据,这些数据可以让我们了解未知的活动和未记录的妥协。
目前托管在“分布式拒绝秘密”网站上的 8.9GB 转储文件包含多个 dcc.mil.kr(国防反情报司令部)电子邮件账户的网络钓鱼日志、其他目标域名、PHP“生成器”工具包、实时网络钓鱼工具包等。
05 Lazarus在新一轮间谍活动中瞄准开源存储库
2025年1月至7月期间,网络安全公司Sonatype阻止了234个恶意软件包,这些软件包上传到广泛使用的npm和PyPI代码库,冒充合法的开发者工具,旨在窃取凭证、分析受害者的设备并植入后门。该活动可能已影响超过36,000名开发者。安装后,攻击者会部署一系列间谍工具,包括剪贴板窃取程序、键盘记录器、屏幕截图实用程序和凭证收集器。已发现超过90个恶意软件包用于窃取机密和凭证,超过120个则充当植入程序以传播其他恶意软件。
https://www.sonatype.com/blog/sonatype-uncovers-global-espionage-campaign-in-open-source-ecosystems
03
漏洞新闻
01 联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全
全球领先的芯片组制造商联发科(MediaTek)近日发布最新产品安全公告,披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。
CVE-2025-20696:该高危缺陷源于下载代理中的越界写入问题。由于缺少边界检查,攻击者可通过物理接触设备实现本地权限提升。受影响芯片组MT6761、MT6877、MT6983和MT8196等主流型号,涉及Android 13.0/14.0/15.0系统版本。
CVE-2025-20697:存在于电源硬件抽象层中。与前者不同,此漏洞无需用户交互,但要求攻击者已具备系统级权限,成功利用可导致进一步权限提升或任意代码执行。主要影响芯片组包括MT6765、MT6889、MT6989和MT8893芯片组家族,限于Android 14.0/15.0设备。
CVE-2025-20697同源漏洞
CVE-2025-20698:技术上与CVE-2025-20697同属Power HAL越界写入缺陷,但影响范围更广,涵盖从MT6739等传统型号到MT6895、MT6991等高性能SoC。同样无需用户交互,波及Android 13.0/14.0/15.0全系设备。
02 Catwatchful 安卓间谍软件发现安全漏洞
Catwatchful Android 跟踪软件存在 SQL 注入漏洞,导致超过 62,000 名客户的信息泄露,其中包括其驻乌拉圭的管理员 Omar Soca Charcov。谷歌已增加保护措施以标记此类恶意应用,并暂停了该开发者的 Firebase 帐户,原因是该开发者滥用其基础设施来运行该监控软件。
https://ericdaigle.ca/posts/taking-over-60k-spyware-user-accounts/
03 基于 Linux 的联想网络摄像头漏洞可被远程利用,引发 BadUSB 攻击
该漏洞被命名为“BadCam”,攻击者可利用漏洞远程注入击键操作,独立于主机操作系统发起攻击,将摄像头转变为恶意HID设备或模拟额外的USB设备。联想510 FHD和Performance FHD摄像头存在相关漏洞,这些设备运行支持USB Gadget的Linux系统,容易受到BadUSB式攻击。联想已发布固件更新(版本4.8.0)以缓解漏洞,并与中国星宸科技合作发布了修复工具。
https://thehackernews.com/2025/08/linux-based-lenovo-webcams-flaw-can-be.html
04 苹果三星小米受影响!一个数据包让任意智能手机通信瘫痪
研究人员通过自主研发的测试框架LLFuzz(Low Layer Fuzzing,低层模糊测试框架),发现了智能手机通信调制解调器低层存在的安全漏洞,这些漏洞只需一个被篡改的无线数据包(即网络中的基本数据传输单元),就可能导致智能手机的通信功能瘫痪。更严重的是,这类漏洞还有可能被利用实现远程代码执行(RCE)。团队在包括苹果、三星、谷歌和小米在内的全球主要制造商推出的15款商用智能手机上进行了测试,共发现了11个漏洞。其中7个已获得官方分配的通用漏洞披露编号(CVE),相关制造商也已发布安全补丁。然而,尚有4个漏洞尚未对外公开。
https://techxplore.com/news/2025-07-vulnerability-packet-paralyze-smartphones.html
END
