近期威胁情报速览：移动安全、APT事件与漏洞新闻

AVL威胁情报团队 2025-06-25 10:13 四川

近期威胁情报速览！

本期导读：

移动安全

● Android 恶意软件教父现利用虚拟化技术劫持银行应用程序

● 新型恶意软件AntiDot通过覆盖、虚拟化欺诈和 NFC 盗窃攻击设备

● 俄罗斯首次发现 SuperCard 恶意软件攻击，通过 NFC 窃取银行数据

● 欧洲记者手机中发现 Paragon 间谍软件

● SparkKitty 的新型移动加密窃取恶意软件

APT事件

● Kimsuky (APT-Q-2) 组织近期Endoor恶意软件分析

● BitoPro 交易所将 Lazarus 黑客与价值 1100 万美元的加密货币盗窃案联系起来

● 俄罗斯黑客利用窃取的应用程序密码绕过 Gmail MFA

● BlueNoroff 的 Deepfake Zoom 诈骗利用 macOS 后门恶意软件攻击加密货币员工

● 台海热点诱饵！旺刺组织结合 0day 和 ClickOnce 技术开展间谍活动

● APT28 黑客利用 Signal 聊天对乌克兰发起新的恶意软件攻击

漏洞新闻

● 伊朗黑客通过劫持以色列联网摄像头开展间谍情报活动

● 神秘厂商可以获得谷歌、脸书、币安等知名服务的短信验证码

● 起亚厄瓜多尔无钥匙进入系统漏洞导致数千辆车辆被盗

移动安全

01 Android 恶意软件教父现利用虚拟化技术劫持银行应用程序

新升级的Godfather 恶意软件在 Android 设备上创建了并行的虚拟环境，通过虚拟环境远程控制真实的金融应用程序，攻击者可以实时窃取敏感信息，包括登录凭证、金融交易和锁屏凭证。升级版的“教父”攻击实现了完美的欺骗，几乎不可能通过目视检查发现，并消除了用户的警惕性。当前的攻击活动针对全球近 500 个应用程序，重点是 12 家土耳其银行，目标应用程序涵盖金融科技、社交媒体、电子商务和加密平台。

https://www.govinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740

02 新型恶意软件AntiDot通过覆盖、虚拟化欺诈和 NFC 盗窃攻击设备

AntiDot 由受经济利益驱动的威胁行为者 LARVA-398 运营，在地下论坛上以恶意软件即服务 (MaaS) 的形式积极出售。AntiDot 被宣传为“三合一”解决方案，具有利用 Android 辅助服务记录设备屏幕、拦截短信以及从第三方应用程序中提取敏感数据的功能。

AntiDot 于 2024 年 5 月首次公开记录，当时人们发现它以 Google Play 更新的形式分发，以实现其信息盗窃目的。2024 年 12 月，Zimperium披露了移动网络钓鱼活动的细节，该活动使用以工作机会为主题的诱饵分发了 AntiDot 的更新版本（称为 AppLite Banker）。PRODAFT 表示：“AntiDot 是一个可扩展且具有规避性的移动即服务 (MaaS) 平台，旨在通过持续控制移动设备（尤其是在本地化和特定语言区域）来获取经济利益。”

https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html

03 俄罗斯首次发现 SuperCard 恶意软件攻击，通过 NFC 窃取银行数据

研究人员发现了俄罗斯国内数据窃取攻击，该攻击涉及合法近场通信 (NFC) 软件的修改版本，这似乎是一场更广泛攻击活动的试运行。攻击者使用社会工程学技术诱骗受害者下载 SuperCard，并将其伪装成合法应用程序。安装后，该恶意软件会识别受害者使用的支付系统，利用这些数据进行欺诈交易。

据总部位于莫斯科的网络安全公司 F6 统计，2025 年第一季度，俄罗斯 NFCGate 变种造成的损失总计达 4.32 亿卢布（约合 550 万美元），超过 17.5 万台 Android 设备受到感染。

https://therecord.media/supercard-nfc-banking-malware-russia

04 欧洲记者手机中发现 Paragon 间谍软件

漏洞 (CVE-2025-43200) 的零点击攻击已使多名欧洲记者的 iPhone 感染了 Paragon 的 Graphite 雇佣间谍软件。其中两人均在意大利调查机构Fanpage工作，另一名未透露姓名的欧洲记者的手机中也存在间谍软件。Paragon与领先的间谍软件制造商NSO集团一样，是一家以色列公司。此外，公民实验室3 月份在多个国家/地区广泛检测到了 Paragon 的 Graphite 间谍软件。

CVE-2025-43200 是一个逻辑漏洞，当 Apple 智能手机处理通过 iCloud Link 共享的恶意制作的照片或视频时触发。显然，目标用户无需打开或查看通过 iMessage发送的恶意媒体文件，漏洞利用即可生效。

https://www.helpnetsecurity.com/2025/06/13/ios-zero-click-attacks-used-to-deliver-graphite-spyware-cve-2025-43200/

05 SparkKitty 的新型移动加密窃取恶意软件

一种名为 SparkKitty 的新型移动加密窃取恶意软件，该恶意软件针对的是 Android和 iOS 设备。安装过程会告诉用户记下钱包的恢复短语并将其存储在安全的离线位置。访问此种子短语可用于在另一台设备上恢复加密钱包及其存储的资产，使其成为威胁行为者的宝贵目标。

SparkKitty 可能是卡巴斯基在今年一月份发现的SparkCat的演变版本。SparkCat 使用光学字符识别 (OCR) 技术从受感染设备上保存的图像中窃取加密货币钱包的恢复短语。

https://www.bleepingcomputer.com/news/security/malware-on-google-play-app-store-stole-your-photos-and-crypto/

APT事件

01 Kimsuky (APT-Q-2) 组织近期Endoor恶意软件分析

近期研究人员发现一批 Kimsuky 组织使用的 Endoor 样本，该后门软件使用 Go 语言编写，曾在于 2024 年初发布的报告《软件安装包伪装下的 Kimsuky（APT-Q-2）窃密行动》中提及。

本次发现的 Endoor 后门在功能上变化不大，但攻击者掩盖攻击的方式别出心裁，一方面是恶意函数的文件路径以 local.github.com 开头，试图伪装为来自 github 的开源代码，避开代码审查，另一方面后门连接 C&C 服务器的 53 端口，而不是常规的 80 或者 443 端口，一定程度上可以绕过对恶意流量的检测，体现了 Kimsuky 组织在实施攻击时不断调整手法的灵活性。

https://mp.weixin.qq.com/s/ZtG9OZCTAimlMjP2E3k3bA

02 BitoPro 交易所将 Lazarus 黑客与价值 1100 万美元的加密货币盗窃案联系起来

台湾加密货币交易所 BitoPro 声称朝鲜黑客组织 Lazarus 是 2025 年 5 月 8 日网络攻击的幕后黑手，该攻击导致价值 1100 万美元的加密货币被盗。攻击者劫持了 AWS 会话令牌以绕过多因素身份验证 (MFA) 并控制 BitPro 的云基础设施。接下来，命令和控制 (C2) 服务器向植入物发送命令，在准备攻击时将脚本注入热钱包主机。当钱包升级并转移资产时，攻击者会模拟正常操作行为来窃取加密货币，以逃避立即检测。

https://www.bleepingcomputer.com/news/security/bitopro-exchange-links-lazarus-hackers-to-11-million-crypto-heist/

03 俄罗斯黑客利用窃取的应用程序密码绕过 Gmail MFA

俄罗斯黑客通过冒充美国国务院官员的高级社会工程攻击，利用应用程序专用密码绕过多因素身份验证并访问 Gmail 账户。今年 4 月至 6 月初期间，黑客发送了精心设计的网络钓鱼邮件，旨在诱使收件人创建和分享应用程序专用密码，以便访问他们的 Gmail 账户。研究人员追踪到该网络攻击者的编号为 UNC6293，他们认为该攻击者受国家支持，可能与俄罗斯对外情报局 (SVR) 旗下的威胁组织 APT29 有关。

https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

04 BlueNoroff 的 Deepfake Zoom 诈骗利用 macOS 后门恶意软件攻击加密货币员工

与朝鲜结盟的威胁行为者BlueNoroff瞄准了 Web3 领域的一名员工，通过欺骗性的 Zoom 通话，以深度伪造的公司高管为特色，诱骗他们在 Apple macOS 设备上安装恶意软件。Huntress 披露了此次网络入侵的细节，称此次攻击的目标是一名未透露姓名的加密货币基金会员工，该员工收到了来自 Telegram 上外部联系人的消息。BlueNoroff 也被称为 Alluring Pisces、APT38等，是 Lazarus Group 的一个子集群。

https://thehackernews.com/2025/06/bluenoroff-deepfake-zoom-scam-hits.htmlepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

05 台海热点诱饵！旺刺组织结合 0day 和 ClickOnce 技术开展间谍活动

旺刺组织（APT-Q-14）具有东北亚背景，与 APT-Q-12 (伪猎者)、APT-Q-15等组织存在重叠，均属于 DarkHotel 组织的子集，长期以来使用 CilckOnce 技术针对国内进行钓鱼活动。

由于 CilckOnce 技术需要与受害者交互的次数较多，所以钓鱼成功率并不太高，为了解决“用户交互”问题，旺刺组织挖掘了某邮件平台网页版的 XSS 0day 漏洞（目前 XSS 已经被修复），通过 XSS 漏洞触发 CilckOnce 的 js，当受害者打开钓鱼邮件的瞬间，浏览器进程会自动弹出 CilckOnce 钓鱼框，模仿邮件更新行为。

https://mp.weixin.qq.com/s/oioNitPXVxCUD8eXByfDIw

06 APT28 黑客利用 Signal 聊天对乌克兰发起新的恶意软件攻击

俄罗斯政府支持的威胁组织 APT28 正在使用 Signal 聊天攻击乌克兰的政府目标，其使用了两个之前未记录的恶意软件家族，分别为 BeardShell 和 SlimAgent。乌克兰计算机和应急响应部门 ( CERT-UA )发现通过加密通讯应用程序 Signal 发送的消息被用于向目标 (Акт.doc) 传递恶意文档，该文档使用宏来加载名为 Covenant 的内存驻留后门。

https://www.bleepingcomputer.com/news/security/apt28-hackers-use-signal-chats-to-launch-new-malware-attacks-on-ukraine/

漏洞新闻

01 伊朗黑客通过劫持以色列联网摄像头开展间谍情报活动

伊朗黑客劫持以色列联网摄像头收集情报，对以国家安全构成威胁。以色列国家网络局证实，联网摄像头成伊朗战争策划攻击目标。私人摄像头因价格低、易入侵，常被黑客利用。2022年，以色列6.6万台个人摄像头因使用默认密码易被攻破。以色列政府曾敦促公民加强摄像头信息安全，还获法律批准可远程关闭相关设备。全球私人监控市场快速增长，但其安全漏洞问题亟待解决。

https://mp.weixin.qq.com/s/fPmXm1XHLbWAzi__Rg0Iog

02 神秘厂商可以获得谷歌、脸书、币安等知名服务的短信验证码

瑞士公司Fink Telecom被指能获取谷歌、Meta、币安等知名服务的短信验证码。该公司曾与政府情报机构合作，参与监控和追踪用户位置。一位业内举报者向《彭博商业周刊》提供了约100万条含双因素验证码的短信数据，这些短信经过Fink Telecom处理，涉及全球100多个国家的用户。隐私专家指出，短信传输机制存在安全漏洞，企业不应通过短信发送账号认证或登录验证码。Fink Telecom的首席执行官Andreas Fink否认公司查看短信内容，称其提供的是基础设施和技术服务。然而，由于电信行业普遍存在业务分包，信息传输路径不透明，使得客户难以溯源所有供应商，难以真正禁止恶意方。

https://www.bloomberg.com/news/articles/2025-06-16/two-factor-authentication-codes-take-insecure-path-to-users

03 起亚厄瓜多尔无钥匙进入系统漏洞导致数千辆车辆被盗

研究人员发现，厄瓜多尔使用的 KIA 品牌售后市场无钥匙进入系统采用了过时的技术，使车辆容易受到重放攻击和信号克隆。该漏洞被指定为 CVE-2025-6029，从 2022 年到 2025 年影响厄瓜多尔的起亚汽车，包括 Soluto、Río 和 Picanto 等流行车型。

核心问题源于 KIA Ecuador 使用学习代码技术，而不是自 1990 年代中期以来广泛采用的行业标准滚动代码系统。2022 年和 2023 年初的起亚厄瓜多尔车辆使用 HS2240 芯片，而 2024 年和 2025 年车型采用 EV1527 芯片，两者都实现学习代码而不是安全滚动代码。这种技术选择会产生多个攻击媒介，犯罪分子可以利用这些媒介来未经授权访问车辆。