黑客组织利用MQTT协议部署新后门程序

阅读量114910

发布时间 : 2023-03-07 10:00:17

第470期

你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

1、国产APP利用Android漏洞提权使其难以卸载

国内的一个独立安全研究机构DarkNavy发表文章披露,国内一家互联网巨头的APP利用了Android系统漏洞提权使其难以卸载。

报道没有公开相关公司的名字,但称得上巨头也就那四五家公司。报道称,该APP首先利用了多个厂商OEM代码中的反序列化漏洞提权,提权控制手机系统之后,该App即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi信息、基站信息甚至路由器信息等)。之后,该 App利用手机厂商OEM代码中导出的root-path FileContentProvider,进行System App和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。[阅读原文]

 

2、黑客组织利用MQTT协议部署新后门程序

安全公司ESET报告,黑客组织Mustang Panda aka TA416和Bronze President部署了一种新的后门程序MQsTTang。恶意程序主要通过钓鱼邮件传播,通过一个GitHub软件库下载负荷,它会在注册表增加一个启动时运行的注册表项去实现持久存在。为了躲避监测它利用了MQTT协议去进行指令通信。MQsTTang还会检查主机上是否存在调试器或监控工具,如果有发现,它会相应的改变行为。[阅读原文]

 

3、电动汽车充电设施正成为网络攻击的新目标

随着电动汽车 (EV) 充电基础设施急于跟上美国电动汽车销量的急剧增长,网络攻击者和安全研究人员等已经开始关注基础设施中的安全弱点。能源网络网络安全公司 Saiflow 的研究人员在开放式充电点协议 (OCPP) 中发现了两个漏洞,可用于分布式拒绝服务 (DDoS) 攻击和窃取敏感信息。

2月,能源网络网络安全公司 Saiflow 的研究人员在开放式充电点协议 (OCPP) 中发现了两个漏洞,可用于分布式拒绝服务 (DDoS) 攻击和窃取敏感信息。爱达荷国家实验室最近发现,它检查的每个充电器——更正式地称为电动汽车供电设备 (EVSE)——运行的是过时版本的 Linux,有不必要的服务,并允许许多服务以 root 身份运行,根据一项调查《能源》杂志上的电动汽车充电漏洞研究。该论文称,其他潜在的攻击包括中间人攻击 (AitM) 和暴露在公共互联网上的服务。[阅读原文]

 

4、新型TPM 2.0漏洞可能让黑客窃取加密密钥

可信平台模块 (TPM) 2.0规范受到两个缓冲区溢出漏洞的影响,这些漏洞可能允许攻击者访问或覆盖敏感数据,例如加密密钥。

TPM 是一种基于硬件的技术,可为操作系统提供防篡改安全加密功能。它可用于存储加密密钥、密码和其他关键数据,这使得其实施中的任何漏洞都值得关注。虽然某些 Windows 安全功能需要 TPM,例如测量启动、设备加密、Windows Defender System Guard (DRTM)、设备健康证明,但其他更常用的功能不需要 TPM。

但是,当可信平台模块可用时,Windows 安全功能在保护敏感信息和加密数据方面获得增强的安全性。由于需要启动安全措施并确保 Windows Hello 人脸识别提供可靠的身份验证,微软将 TPM 2.0规作为运行Windows 11的要求时,TPM2.0规范受到了欢迎(和争议)。

Linux 也支持 TPM,但没有要求在操作系统中使用该模块。此外,有可用的 Linux 工具允许应用程序和用户保护 TPM 中的数据。[阅读原文]

 

5、Play勒索软件团伙泄露奥克兰市相关数据

Play 勒索软件组织开始泄露一个10 GB的档案,其中包含敏感数据,例如员工信息、护照和 ID。

在最近的一次攻击中,Play 勒索软件团伙终于开始泄露从奥克兰市窃取的数据。Play 勒索软件团伙在最近的一次网络攻击中开始泄露他们从奥克兰市(加利福尼亚州)窃取的数据。

奥克兰是旧金山湾区东湾区最大的城市,湾区第三大城市,加州人口第八大城市。奥克兰市于2023年2月10日披露了一次勒索软件攻击,安全漏洞始于2023年2月8日。出于谨慎考虑,奥克兰市将受影响的系统下线,同时他们努力保护受影响的基础设施。信息技术部通知地方当局并对事件展开调查,以确定问题的范围和严重程度。[阅读原文]

 

6、FBI和CISA联合警告Royal勒索软件攻击风险增加

日前,CISA和FBI发布了一份联合咨询报告,强调针对许多美国关键基础设施部门(包括医疗保健、通信和教育)对受到Royal勒索软件攻击的风险越来越大。

此前,美国卫生与公众服务部 (HHS) 发布了一份咨询报告,其安全团队于2022年12月透露,勒索软件行动与针对美国医疗保健组织的多次攻击有关。

作为回应,  FBI 和 CISA 共享了妥协指标和一系列相关的战术、技术和程序 (TTP),这将帮助防御者检测并阻止在其网络上部署 Royal 勒索软件有效载荷的企图。[阅读原文]

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66