本周有兩件漏洞被利用的攻擊趨勢,特別值得注意,分別是歐姆龍(Omron)NJ、NX系列PLC產品線的CVE-2022-34151、CVE-2022-33971的漏洞,出現駭客鎖定攻擊的狀況,以及老舊系統被鎖定的問題,近期有駭客正鎖定Boa網頁伺服器漏洞攻擊。

在漏洞修補方面,Samba的代理服務元件S4U2proxy存在記憶體緩衝區溢位問題,恐導致DoS、RCE,Sambe在本月15日已釋出針對CVE-2022-42898漏洞的修補;另外,有資安業者揭露了臺廠立端Lanner的BMC韌體存在13個漏洞,業者在接獲通報後已經修補。

在國際威脅態勢方面,中國駭客組織Earth Preta鎖定臺灣、日本、菲律賓、澳洲、緬甸攻擊政府與法律機構的狀況被資安業者揭露,手法是用密件副本寄送網釣郵件,並濫用雲端檔案服務,目的是植入惡意程式ToneShell、ToneIns、PubLoad;印度證券託管機構CDSL遭遇網路攻擊,受全球關注。其他還包括亞洲航空Airasia遭勒索軟體攻擊,員工與顧客資料傳外洩,以及歐洲議會表決俄羅斯為實行恐怖主義國家後,旋即遭親俄駭客發動DDoS攻擊

至於攻擊態勢方面,搜尋引擎排名被竄改的新手法出現,駭客是利用了Google商業圖像化分析工具Looker Studio,來讓非法網站的搜尋結果排名提升;至少7個駭客組織使用竊密軟體Aurora於攻擊行動,資安業者指出這類威脅活動正持需攀升;OpenVPN、SoftVPN被竄改以散布間諜軟體。另外在勒索軟體的攻擊態勢中,Black Basta近期廣泛利用殭屍網路Qakbot來感染受害者電腦,並濫用Cobalt Strike、散布勒索軟體,值得注意。

本周防護態勢有幾個重要焦點,隨著滲透測試演練工具Cobalt Strike遭濫用問題不斷,Google發布可精準標記與識別其元件遭濫用的YARA規則,還有美國國防部新揭露零信任行動方案,以及Google雲端開始部署可抵抗量子破密威脅的後量子加密演算法。

 

【11月21日】駭客假冒Instagram發動網釣攻擊、歐姆龍PLC設備漏洞被用於散布惡意軟體

又是假冒Instagram名義的網釣攻擊!有資安業者揭露針對國家級教育機構而來的攻擊行動,但值得注意的是,駭客不只配置了幾可亂真的內容,還通過了郵件安全閘道、郵件伺服器安全管制規則的檢查,而能成功送到該組織員工的電子郵件信箱。

針對工控系統漏洞而來的攻擊行動也相當值得留意。美國CISA針對歐姆龍PLC設備發出資安通告,指出該公司於7月、10月修補的重大漏洞已被用於攻擊行動。

Samba近期修補了CVE-2022-42898,這項漏洞影響32位元作業系統,攻擊者有機會藉由偽造的PAC憑證觸發。

【11月22日】駭客組織Luna Moth發動電話網釣攻擊、加密貨幣交易所的雙因素驗證機制遭到繞過

在今天的資安新聞裡,駭客在攻擊行動濫用合法服務的情況可說是相當值得留意,這種情況往往騙過使用者與許多資安系統,不只讓攻擊者得逞,也讓提供相關服務的業者蒙受商譽損失,除了使用者需要提高警覺,服務供應商若是能進一步偵測相關異常行為,才有機會減少這類濫用情事。

首先是駭客組織Luna Moth的網釣攻擊,他們假借寄送訂閱服務發票的名義,誘使收信人撥打電話取消付款,然而一旦依照指示聯絡「客服」,對方就會企圖在電腦上安裝遠端連線軟體來進行控制。另一個運用「客服」的攻擊行動,則是針對加密貨幣投資者而來。駭客針對Coinbase、MetaMask、Crypto.com,以及KuCoin等交易所的用戶,發出釣魚信竊取相關帳密,並假借客服的名義,通過上述交易所的進階身分驗證或裝置驗證。

Google商業圖像化分析工具Looker Studio也成為駭客濫用的對象!資安新聞網站Bleeping Computer發現有人藉此提升盜版網站在搜尋引擎的排名。

【11月23日】已不再開發的網頁伺服器系統Boa成為攻擊目標、臺廠Lanner基板管理控制器韌體出現漏洞

物聯網設備近年來成為駭客鎖定的目標,因為這類系統往往缺乏足夠的防護,甚至相關的開發套件因包含已停止支援的元件,而使得用戶陷入安全性漏洞無人處理的風險。例如,中國駭客日前入侵印度電網的事故裡,就針對名為Boa的網頁伺服器下手。Boa系統已停止更新長達17年,但許多物聯網裝置的SDK仍廣泛採用其元件,而使得這些裝置也曝露於Boa漏洞的危險當中。

我們過往報導了數款基板管理控制器(BMC)的漏洞,這些BMC多半是安裝在伺服器主機,但最近用於物聯網裝置的BMC出現漏洞而引起研究人員注意。有資安業者揭露臺廠立端科技(Lanner)的BMC韌體漏洞,一旦遭到利用,攻擊者就有機會對搭載該公司BMC元件的物聯網裝置進行控制。

以近日時事為誘餌的網釣攻擊事件頻傳,這些話題包含即將到來的黑色星期五購物季、剛在上週末開打的世界盃足球賽,以及加密貨幣交易所FTX破產等情況。

【11月24日】俄羅斯駭客今年前7個月竊取逾5千萬組密碼、歐洲議會遭到駭客組織Killnet的DDoS攻擊

駭客組織利用竊密軟體(Infostealer)發動攻擊的情況,不時有事故傳出,但這些很可能與一場大規模攻擊行動有關。有資安業者針對俄羅斯駭客的大規模竊密軟體攻擊行動Classiscam進行追蹤,發現今年上半攻擊升溫,而且駭客不光是針對Amazon、PayPal這類金融帳號下手,竊取遊戲平臺帳號的情況更是增加5倍。

隨著國際間對於烏克蘭戰爭採取相關行動,俄羅斯駭客反制的網路攻擊也隨之而來。歐洲議會指控俄羅斯入侵烏克蘭的行為構成戰爭罪,並呼籲各國採取相關手段對付俄羅斯,隨後該議會網站就傳出遭到癱瘓的消息。

研究人員揭露Arm晶片的顯示元件Mali驅動程式漏洞,並指出此顯示晶片存在於多個品牌的單晶片,而有可能讓數百萬安卓手機成為駭客下手的目標。

【11月25日】閰羅王勒索軟體背後的駭客是俄羅斯人、駭客假借提供微星Afterburner公用程式散布挖礦軟體

一年前資安業者賽門鐵克發現名為閰羅王(Yanluowang)的勒索軟體,並推測駭客很可能是中國人,然而,在該組織出現資料外洩之後,有資安業者分析其對話內容,發現該組織都使用俄文溝通,而非中文。而該組織是繼Conti之後,近期第2個內部資料遭人公開的勒索軟體駭客組織。

遊戲玩家遭到鎖定的情況也相當值得留意,其中又假借提供微星Afterburner系統效能調整工具的攻擊行動引起資安業者關注。這些駭客看上玩家很可能會使用效能較佳的顯示卡,而以上述名義來散布挖礦軟體。

近期俄羅斯駭客Killnet對歐美國家發動DDoS攻擊的情況不時傳出,我們昨天報導了歐洲議會因宣布俄羅斯犯下戰爭罪而遭到攻擊,英國威廉王子的網站也遭到這些駭客癱瘓,原因是該國提供烏克蘭武器。

熱門新聞

Advertisement