APT36通过多个伪造的YouTube APK分发CapraRAT

首页 > 宁静研究 > 宁静通报 > 宁静简讯

APT36通过多个伪造的YouTube APK分发CapraRAT

宣布时间 2023-09-20

1、APT36通过多个伪造的YouTube APK分发CapraRAT

SentinelLabs在9月18日果然了APT36（又称Transparent Tribe）使用了至少3个伪造成YouTube的Android应用法式包(APK)分发CapraRAT的活动。恶意软件一旦安装在目标设备上，就可以收集数据、记录音频或视频以及访问通信信息，本质就像间谍软件一样。恶意APK在Google Play之外分发，因此可能是通过社工攻击进行分发。这些APK于2023年4月、7月和8月上传到VirusTotal，其中两个名为“YouTube”，一个被称为“Piya Sharma”。

https://www.sentinelone.com/labs/capratube-transparent-tribes-caprarat-mimics-youtube-to-hijack-android-phones/

2、TrendMicro修复已被利用的RCE漏洞CVE-2023-41179

据媒体9月19日报道，Trend Micro修复了Apex One端点�；そ饩龇桨钢械脑冻檀胫葱新┒矗–VE-2023-41179）。该漏洞存在于宁静软件附带的第三方卸载法式�？橹�，值得注意的是攻击者必须先获得目标系统上的管理控制台访问权限才气利用此漏洞。Trend Micro称已视察到至少有一次针对此漏洞的攻击活动，强烈建议用户尽快更新到最新版本。

https://www.bleepingcomputer.com/news/security/trend-micro-fixes-endpoint-protection-zero-day-used-in-attacks/

3、Earth Lusca利用SprySOCKS针对多个国家的官方网站

9月18日，研究人员称其发现了Earth Lusca利用新的Linux后门SprySOCKS的攻击活动。分析表明，该后门源自开源Windows恶意软件Trochilus，其许多功效被移植到Linux系统上，C2通信协议类似于Windows后门RedLeaves，交互式shell的实现源自Linux恶意软件Derusbi。该活动利用Nday漏洞安装Cobalt Strike beacon，然后分发SprySOCKS加载法式。Earth Lusca在今年上半年主要针对东南亚、中亚、巴尔干等地的外交事务、技术和电信相关的政府实体。

https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html

4、加拿大政府和金融等领域遭NoName057(16)的DDoS攻击

据9月18日报道，加拿大的多个实体遭到了NoName057(16)的DDoS攻击。加拿大网络中心体现，自9月13日以来，其了解并响应了针对加拿大政府内部以及金融和运输部门的多起DDoS攻击活动。今年2月份，该中心视察到针对其它国家的类似DDoS攻击活动。NoName057(16)通常使用僵尸网络来攻击目标的Web服务器，然后夸耀其恶意活动。

https://www.cyber.gc.ca/en/alerts-advisories/distributed-denial-service-campaign-targeting-multiple-canadian-sectors

5、Sysdig披露针对不常见AWS服务的攻击活动AMBERSQUID

Sysdig于9月18日披露了一种新的云原生加密劫持攻击活动AMBERSQUID。此活动主要针对不常用的AWS服务，例如AWS Amplify、AWS Fargate和Amazon SageMaker。不常用意味着从宁静角度来看这些服务经常被忽视，而AMBERSQUID活动可能会让目标每天损失凌驾10000美元。该活动能够利用云服务，而不会触发AWS批准更多资源的请求。Sysdig体现它在分析了Docker Hub上的170万个镜像后发现了该活动，并将其归因于印尼相关的攻击者。

https://sysdig.com/blog/ambersquid/

6、Intel 471宣布Bumblebee利用4shared WebDAV的分析

9月15日，Intel 471宣布了关于Bumblebee利用4shared WebDAV的分析陈诉。Bumblebee在暂停两个月后，于8月底恢复运营。这一轮活动开始于9月7日，依靠伪装成扫描件、发票和通知的垃圾邮件来诱使收件人下载恶意附件。大多数附件是LNK文件，打开后会在目标计算机启动一系列命令，首先是使用4shared共享存储帐户的硬编码凭据在网络驱动器上安装WebDAV文件夹，最终会下载托管在WebDAV服务器上的Bumblebee。

https://intel471.com/blog/bumblebee-loader-resurfaces-in-new-campaign

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究