德国手机厂商Gigaset遭到供应链攻击，更新服务器被劫持；宁静团队披露针对Fortinet VPN的新勒索软件Cring

首页 > 宁静研究 > 宁静通报 > 宁静简讯

德国手机厂商Gigaset遭到供应链攻击，更新服务器被劫持；宁静团队披露针对Fortinet VPN的新勒索软件Cring

宣布时间 2021-04-09

1.德国手机厂商Gigaset遭到供应链攻击，更新服务器被劫持

德国手机制造商Gigaset遭到供应链攻击，至少一个更新服务器被劫持用来分发恶意软件。Gigaset AG的前身为西门子家庭和办公室通讯设备公司，制造DECT电话，在2018年的收入为2.8亿欧元。此次攻击针对的是Gigaset旗下Android系统智能手机，发生在3月27日左右，用户发现名为easenf的未知应用在被删除后便会自动重新安装。据悉，easynf是通过设备的系统更新应用安装的，此外还发现了其他恶意应用，包罗gem、smart和xiaoan等。

原文链接：

https://www.theregister.com/2021/04/07/gigaset_supply_chain_malware_android_phones/

2.Lazarus团伙利用新恶意软件Vyveva攻击南非的货运公司

朝鲜黑客组织Lazarus使用了新型恶意软件Vyveva，对南非一家货运物流公司提倡定向攻击。ESET发现，Lazarus最初是在2020年6月的攻击中使用Vyveva，但在2018年12月之前的攻击中就一直在部署它。Vyveva具有后门功效，可执行任意恶意代码并支持时间戳命令。研究人员发现Vyveva仅熏染了两台属于同一家货运公司的服务器，而且是首次在野外被利用，因此推测其可能会被用于其他有针对性的间谍活动。

原文链接：

https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/

3.宁静团队披露针对Fortinet VPN的新勒索软件Cring

瑞士电信的CSIRT团队披露了针对Fortinet VPN的新勒索软件Cring（也称为Crypt3r、Vjiszy1lo、Ghost和Phantom）。该恶意软件利用了FortiOS的SSL VPN门户网站的路径遍历漏洞（CVE-2018-13379），针对欧洲各国的工业公司。攻击者在获得初始访问权限后会下载定制的Mimikatz和CobaltStrike，并通过使用合法的Windows CertUtil证书管理器绕过宁静软件，来下载并安装勒索软件。

原文链接：

https://securityaffairs.co/wordpress/116480/cyber-crime/cring-ransomware-fortinet-vpn-flaw.html

4.VISA发现利用Web Shell窃取信用卡信息的新趋势

全球支付处置商VISA称，其支付欺诈中断(PFD)在2020年发现了一种新趋势，即越来越多的eSkimming攻击使用了web shell来创建C2。VISA视察发现，自去年以来，安装在被入侵的服务器上的Web Shell数量几乎增加了一倍，从2020年8月到2021年1月，平均每月可检测到14万个此类工具。此外，VISA PFD称在2020年至少有45次eSkimming攻击使用了web shell，攻击者在入侵在线商店的服务器后安装后门并建立C2服务器，以窃取信用卡信息。

原文链接：

https://www.bleepingcomputer.com/news/security/visa-hackers-increasingly-using-web-shells-to-steal-credit-cards/

5.Group-IB发现利用Telegram和Google Forms的钓鱼活动

Group-IB的研究人员在分析网络钓鱼工具包时发现，越来越多的工具开始使用Google Forms和Telegram等合法服务来收集用户数据。此类方式被视为获取数据的替代要领，占比约为6%，而且这一比例在短期内可能会增加。此外，Group-IB在去年发现了针对260多个品牌的网络钓鱼工具包，主要针对Microsoft、PayPal、Google和Yahoo等品牌。攻击者的主要目标是在线服务（30.7％）、其次是电子邮件服务（22.8％）和金融机构（20％）。

原文链接：

https://securityaffairs.co/wordpress/116459/cyber-crime/telegram-bots-google-forms-phishing.html

6.恶意软件FlixOnline伪装成Netflix应用针对WhatsApp

Check Point Research（CPR）发现名为FlixOnline的Android恶意软件伪装成Netflix的应用针对WhatsApp。目前，Google已将该恶意软件从Play商店中删除。一旦安装FlixOnline后，该应用就会请求笼罩、电池优化忽略和通知权限，旨在生成用于偷取凭据的笼罩窗口、阻止设备因优化能耗而关闭其进程、访问应用通知并管理和回复消息。之后开始监听WhatsApp通知并自动回复传入的消息，来将受害者重定向到伪造的Netflix网站，窃取其凭据和信用卡信息。

原文链接：

https://www.zdnet.com/article/new-android-malware-poses-as-netflix-to-hijack-whatsapp-sessions/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究