塞尔维亚政府利用高通零日漏洞部署NoviSpy间谍软件

首页 > 宁静研究 > 宁静通报 > 宁静简讯

塞尔维亚政府利用高通零日漏洞部署NoviSpy间谍软件

宣布时间 2024-12-18

1. 塞尔维亚政府利用高通零日漏洞部署NoviSpy间谍软件

12月16日，塞尔维亚政府被曝利用高通零日漏洞，在Android设备上部署了一种名为“NoviSpy”的新间谍软件，以监视活感人士、记者和抗议者。此次攻击涉及的高通漏洞CVE-2024-43047等，在2024年10月被Google Project Zero标志为零日漏洞，并于次月在Android上得到修复。国际特赦组织宁静实验室在分析一名记者的手机时发现了该间谍软件。据称，塞尔维亚宁静信息局和警方利用Cellebrite解锁工具，通过高通零日漏洞解锁了Android手机，并部署了NoviSpy。该间谍软件与塞尔维亚宁静机构绑定的服务器通信，已安装在塞尔维亚数十台甚至数百台Android设备上。谷歌的威胁分析小组与国际特赦组织合作，发现了高通DSP驱动法式中的多个漏洞，这些漏洞可能被用于绕过Android宁静机制并在内核级别安装NoviSpy。尽管谷歌已向高通陈诉了这些问题，但部门漏洞的补丁尚未宣布。高通体现，已向客户提供修复法式，并勉励用户应用宁静更新。

https://www.bleepingcomputer.com/news/security/new-android-novispy-spyware-linked-to-qualcomm-zero-day-bugs/

2. SRP联邦信用合作社遭网络攻击，24万用户信息疑被盗

12月16日，SRP联邦信用合作社近日遭遇网络攻击，凌驾240,742人的个人信息可能被盗。SRP联邦信用合作社建立于1960年，总部位于南卡罗来纳州北奥古斯塔，为佐治亚州和南卡罗来纳州约200,000名个人提供金融服务。据称，攻击者自2024年9月5日至11月4日期间访问了其系统，并可能获取了包罗姓名、出生日期、驾照号码、社会保障号码和财政信息等在内的个人文件。SRP联邦信用合作社已向德克萨斯州和缅因州的总检察长办公室陈诉此事，并向可能受影响的个人发送书面通知，提供一年的免费身份�；し�。尽管尚未发现信息被滥用的证据，但合作社勉励受影响者利用提供的免费信用监控。此次网络攻击可能与勒索软件组织Nitrogen有关，该组织声称窃取了SRP联邦信用合作社约650GB的数据，并在其基于Tor的泄漏网站上出售。

https://www.securityweek.com/srp-federal-credit-union-ransomware-attack-impacts-240000/

3. CISA警告Windows内核漏洞及Adobe ColdFusion漏洞正被积极利用

12月16日，CISA已向美国联邦机构发出警告，要求防范针对高严重性Windows内核漏洞CVE-2024-35250的连续攻击。该漏洞由DEVCORE研究团队发现并通过趋势科技的零日计划陈诉给微软，是由于不受信任的指针取消引用弱点造成的，允许当地攻击者以低庞大度获得SYSTEM权限。微软在6月宣布了补丁，但四个月后GitHub上宣布了看法验证漏洞代码，表明该漏洞正在被积极利用。同时，CISA还添加了另一个严重的Adobe ColdFusion漏洞CVE-2024-20767，该漏洞由于访问控制不妥导致，允许远程攻击者读取系统和其他敏感文件。凌驾145,000台ColdFusion服务器袒露在互联网上，组成重大风险。CISA将这两个漏洞添加到其已知被利用漏洞目录中，并标志为被积极利用，要求联邦机构在三周内�；て渫�。同时，也建议私人组织优先缓解这些漏洞以阻止正在进行的攻击。微软对于CVE-2024-35250野外利用的更多详细信息尚未发表评论。

https://www.bleepingcomputer.com/news/security/windows-kernel-bug-now-exploited-in-attacks-to-gain-system-privileges/

4. Bitter网络间谍组织利用新型MiyaRAT恶意软件攻击土耳其国防组织

12月17日，网络间谍威胁组织Bitter被发现使用新型恶意软件家族MiyaRAT攻击土耳其国防组织。MiyaRAT与Bitter之前使用的WmRAT恶意软件一起被部署。Proofpoint指出，这种新型恶意软件很可能是针对高价值目标的，而且仅偶尔被使用。Bitter组织自2013年以来一直活跃，主要针对亚洲政府和重要组织。他们过去曾利用Microsoft Office漏洞和冒充外交机构进行网络钓鱼攻击。此次土耳其的攻击始于一封包罗外国投资项目诱惑的电子邮件，邮件中的RAR压缩文件包罗了伪装成PDF的快捷方式文件，以及嵌入在RAR文件中的备用数据流（ADS）。一旦收件人打开LNK文件，就会触发隐藏在ADS中的PowerShell代码执行，同时创建一个计划任务以定期运行恶意命令。当WmRAT无法与命令和控制服务器建立通信时，Bitter会下载MiyaRAT。这两种恶意软件都是C++远程访问木马（RAT），提供数据泄露、远程控制、屏幕截图等功效。MiyaRAT越发完善，具有更先进的数据和通信加密。

https://www.bleepingcomputer.com/news/security/bitter-cyberspies-target-defense-orgs-with-new-miyarat-malware/

5. Ledger网络钓鱼新骗局：伪装数据泄露窃取恢复短语

12月17日，一项针对Ledger硬件加密货币钱包的网络钓鱼活动正在肆虐。该活动通过伪装成数据泄露通知的邮件，诱骗用户验证其恢复短语，进而窃取用户的加密货币。Ledger是一款用于存储、管理和出售加密货币的硬件钱包，其资金由24字、12字或18字的恢复短语�；�。然而，攻击者利用用户对数据泄露的担忧，发送看似来自Ledger官方的钓鱼邮件，要求用户在钓鱼页面上验证恢复短语。这些邮件实际上是通过SendGrid电子邮件营销平台发送的，钓鱼页面则伪装成Ledger网站，要求用户输入恢复短语进行宁静检查。一旦用户输入，钓鱼页面就会将所有输入的恢复短语发送到网站后端存储，攻击者便能完全访问并窃取用户的加密货币资金。针对此活动，Ledger持有者应提高警惕，切勿在任何应用或网站上输入恢复短语。当涉及加密货币和金融资产时，请始终在浏览器中输入要访问的域名。请忽略任何声称来自Ledger的电子邮件，尤其是声称您受到数据泄露影响或要求验证恢复短语的邮件。

https://www.bleepingcomputer.com/news/security/new-fake-ledger-data-breach-emails-try-to-steal-crypto-wallets/

6. 思科数据遭泄露：2.9GB数据在Breach Forums曝光

12月16日，黑客在Breach Forums上泄露了属于思科公司的2.9GB数据，这是4.5TB数据集的一部门。据黑客声称，这些数据是思科在2024年10月未进行任何密码�；せ蚰踩现さ那榭鱿绿宦兜�。此次泄露事件由污名昭著的黑客兼论坛所有者IntelBroker提倡，他此前曾试图出售包罗来自Verizon、AT&T和Microsoft等公司的敏感信息在内的数据集。思科对此事作出回应，否认其核心系统受到攻击，并将问题归咎于面向公众的DevHub资源配置错误。然而，IntelBroker坚持认为其在10月18日之前都可以访问这些数据，并提供了证据来证明其主张。泄露的数据包罗思科多个重要产物的相关信息，如Cisco ISE、Cisco SASE、Cisco Webex等。此外，IntelBroker还因多次数据泄露事件而着名，包罗入侵Apple Inc.、AMD以及欧洲刑警组织等。此次泄露事件再次提醒各组织要保持宁静实践并�；っ舾惺�，而剩余的4.5TB数据集是否会被出售、泄露或解决仍有待视察。

https://hackread.com/hackers-leak-partial-cisco-data-4-5tb-exposed-records/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究