本期导读：

移动安全

●  安卓手机木马出现新变种，可禁用指纹、人脸识别以窃取密码

●  印度银行业防范 Android 网络钓鱼

●  隐形后门“Android/Xamalicious”主动感染33w台设备

●  智能手机、电视及其他设备上的嵌入式麦克风可以监听消费者的对话内容

APT事件

● Cloud Atlas的矛式网络钓鱼攻击针对俄罗斯农业和研究公司

● 基于Rust的恶意软件针对印度政府实体

● Lazarus攻击全球的企业和组织

漏洞新闻

● iPhone三角测量攻击滥用未记录的硬件功能

IOT安全

● 新型蓝牙攻击让医疗/金融等物联网终端“停摆”，该如何防护？

数据安全

● 美国房地产财富网数据泄露15亿条记录

● 数据掮客正在倒卖美国军事人员的数据

● 443家在线商店的数据泄露：1.19亿人的名单地图上出现了新的受害者

● Cyber Toufan集团每天向49家以色列最大公司泄露高达16GB的数据

● 某国海军的内网所使用的什么电脑?机密信息在暗网不慎曝光

01 安卓手机木马出现新变种，可禁用指纹、人脸识别以窃取密码

详细信息：

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/stealth-backdoor-android-xamalicious-actively-infecting-devices/

01 Cloud Atlas的矛式网络钓鱼攻击针对俄罗斯农业和研究公司

详细信息：

https://thehackernews.com/2023/12/cloud-atlas-spear-phishing-attacks.html

02 基于Rust的恶意软件针对印度政府实体

印度政府实体和国防部门已成为网络钓鱼活动的目标，该活动旨在投放基于Rust的恶意软件进行情报收集。新的基于Rust的有效载荷和加密的PowerShell命令已被用于将机密文档泄露到基于网络的服务引擎，而不是专用的指挥控制（C2）服务器。该集群与那些被广泛追踪的集群之间的战术重叠已经被发现透明部落和SideCopy，两者都被评估与巴基斯坦有关。

详细信息：

https://thehackernews.com/2023/12/operation-rusticweb-rust-based-malware.html

03 Lazarus攻击全球的企业和组织

01 iPhone三角测量攻击滥用未记录的硬件功能

三角运算是针对苹果iPhone设备的间谍软件活动使用一系列四个零日漏洞。这些漏洞被链接在一起，形成了一个零点击漏洞，使攻击者能够提升权限并执行远程代码执行。构成高度复杂的漏洞利用链的四个缺陷适用于iOS 16.2之前的所有iOS版本，它们是：

• CVE-2023-41990：ADJUST TrueType字体指令中存在漏洞，允许通过恶意iMessage附件执行远程代码。
• CVE-2023-32434：XNU的内存映射系统调用中存在整数溢出问题，允许攻击者对设备的物理内存进行广泛的读/写访问。
• CVE-2023-32435：用于Safari漏洞攻击，作为多阶段攻击的一部分执行外壳代码。
• CVE-2023-38606：使用硬件MMIO寄存器绕过页面保护层（PPL），覆盖基于硬件的安全保护的漏洞。

详细信息：

https://www.bleepingcomputer.com/news/security/iphone-triangulation-attack-abused-undocumented-hardware-feature/

01 新型蓝牙攻击让医疗/金融等物联网终端“停摆”，该如何防护？

一个名为“Flipper围墙”的新开源项目，可以检测出黑客利用Flipper Zero工具和安卓设备发起的蓝牙垃圾信息攻击。该Python脚本可以在Linux和Windows上运行，被设计为持续运行。脚本会不断更新用户附近BLE设备的状态、任何潜在威胁和一般活动。主界面包括一个ASCII艺术标题、实时和离线设备列表，以及检测到的BLE攻击数据包。

01 美国房地产财富网数据泄露15亿条记录

网络安全研究员Jeremiah Fowler发现并向vpnMentor关于一个非密码保护的数据库，该数据库保存了15亿条记录，其中包含数百万人的房地产所有权数据，包括名人、政客，甚至他自己的个人信息。该数据库属于总部位于纽约的房地产财富网络。

02 数据掮客正在倒卖美国军事人员的数据

美国三大数据经纪商——安客诚、律商联讯和尼尔森——公开明确地宣传美国现役或前任军事人员的数据；律商联讯宣传一种搜索个人并识别该个人是否为现役军人的能力；而其他经纪商可能会在他们更大的数据集中滤出军事人员。人员搜索网站还汇总了个人的公共记录，使任何人都可以搜索高级军事人员，从而发现家庭住址、电话号码和其他信息，以及已知家庭成员和亲戚的姓名。

03 443家在线商店的数据泄露：1.19亿人的名单地图上出现了新的受害者

欧洲团结一致与17个国家的执法机构合作，警告443家在线零售商泄露客户的支付卡数据。由希腊牵头并由公司支持的为期两个月的行动IB组和Sansec，他们已经与数字脱皮作了斗争。实质剥皮黑客将工具或恶意软件引入在线商店，以在网上支付时拦截客户的信用卡数据。这个问题长期以来一直困扰着流行的在线商店。

04 Cyber Toufan集团每天向49家以色列最大公司泄露高达16GB的数据

伊朗黑客组织Cyber Toufan在网上公布了49家以色列公司被盗数据。据专家介绍，大规模信息盗窃的原因是为全国约40家公司提供托管服务的组织Signature-IT遭到黑客攻击。泄漏的受害者包括以色列创新，科学和技术部，丰田以色列，社会福利部，宜家以色列等。

05 某国海军的内网所使用的什么电脑?机密信息在暗网不慎曝光

外媒BlueComputer报导近期关于某国海军采购信息的情报在暗网广为流传，泄露的资料是关于某国海军的采购合同，采购的电脑具体所使用的部门是某国海军系统指挥管理部门所使用，直接关系到某国海军的作战指挥系统。据安全社区检视泄露的信息包括这批设备的型号，描述，序列号，系统制造商以及这些设备具体运抵到的某国海军接收位置等信息。