以色列與巴勒斯坦的軍事衝突已經進行超過一個星期,表達支持態度的網路攻擊也隨之而來,駭客組織選邊站,近100個團體對各式關鍵基礎設施發動攻擊,多是宣示立場的DDoS攻擊。這當中比較特別的攻擊目標,是以色列空襲警報行動應用程式Red Alert,有人假借提供該App,針對安卓用戶散布惡意程式。
但針對Red Alert的攻擊行動並非首例。巴勒斯坦駭客組織AnonGhost日前聲稱透過此通報系統的API,向以色列民眾發出假的核彈警報。
【攻擊與威脅】
巴勒斯坦激進組織哈瑪斯(Hamas)引爆軍事衝突,侵入以色列境內之餘,也發動網路攻擊,這幾天傳出手機應用程式Red Alert,成為攻擊標的,這支程式的用途,是針對以色列民眾恐怖分子發射飛彈警示訊息。日前有巴勒斯坦駭客組織AnonGhost聲稱竄改此App的通知內容,現在有人提供冒牌應用程式對以色列民眾下手。
這項消息來自雲端服務業者Cloudflare,他們揭露冒牌的RedAlert - Rocket Alerts手機應用程式的攻擊行動,駭客於10月12日架設惡意網站(hxxps://redalerts[.]me),其網站內容仿造Elad Nava打造的原始網站(hxxps://redalert[.]me)提供iOS與安卓版本應用程式的下載連結,若是使用者在惡意網站上點選下載安卓版本的按鈕,手機會直接下載有問題的APK安裝檔,而非連往Google Play市集。
研究人員指出,這個冒牌的RedAlert應用程式,雖然看似具備正牌App的相關功能,但此冒牌應用程式安裝的過程裡,會向使用者請求各式的額外權限,包含存取聯絡人、簡訊、已安裝應用程式列表、通話記錄、手機IMEI碼、應用程式帳號等。一旦啟動,此應用程式會啟動背景服務來收集上述資料,並採用AES演算法處理後傳給駭客。為防範研究人員進行調查,此App還加入了反除錯、反模擬、反測試的機制。
資安業者DuskRise旗下的威脅情報部門Cluster25揭露俄羅斯駭客的惡意軟體攻擊行動,駭客假借提供入侵指標的相關資料為誘餌,散布壓縮檔IOC_09_11.rar,裡面夾帶PDF檔案IOC_09_11.pdf及相同名稱的資料夾,而該資料夾裡面,存放名為IOC_09_11.pdf .cmd的BAT批次檔。
此壓縮檔鎖定WinRAR漏洞CVE-2023-38831而來。一旦使用者執行6.23版之前的WinRAR將其開啟,並打開PDF檔案,批次檔的指令碼將會執行,先是於背景執行WinRAR命令解壓縮RAR檔案的內容,然後刪除指令碼檔案並開啟PDF檔案騙過使用者,接著執行3個PowerShell命令來進行惡意行為。
首先,第1個命令是在特定檔案寫入RSA私鑰,然後,駭客利用前述檔案下達第2個命令,啟動反向Shell讓攻擊者能使用SSH工具,存取TCP的443埠,控制目標電腦;接著利用最後一道命令執行Base64編碼的字串,來傳送使用者Chrome、Edge儲存的帳密資料,為避免資安系統攔截,對方利用Webhook.site服務接收資料。
俄羅斯駭客Sandworm自5月就對烏克蘭電信業者下手,近半年已有11家業者受害
烏克蘭電腦緊急應變小組(CERT-UA)指出,今年5月至9月,該國至少有11家電信業者遭到俄羅斯駭客組織Sandworm攻擊,駭客干擾這些公司的通訊系統,導致相關服務面臨中斷的情況,並曝露於資料外洩的風險。
駭客起初利用網路通訊埠掃描工具masscan,對電信公司的網路環境進行偵察,並尋找開放的連接埠,以及未設防的遠端桌面連線(RDP)與SSH連線管道,藉此來破壞內部網路環境。為了得到更多存取權限,駭客利用ffuf、dirbuster、gowitness、nmap等網路工具來找出網頁服務的漏洞。CERT-UA於遭駭的網際網路供應商(ISP)系統當中,看到兩個後門程式Poemgate、Poseidon,前者用於收集管理員帳密,後者則針對Linux主機而來。
此外,駭客也利用Dante、socks5等代理伺服器軟體,搭配他們已經入侵烏克蘭競內的伺服器進行路由,來隱匿相關攻擊行動。另一方面,駭客也運用名為Whitecat的工具,來清理攻擊的痕跡,並刪除事件記錄檔案。
中國駭客利用後門程式Bloodalchemy竊取東南亞國家的機密
Elastic旗下的安全實驗室揭露中國駭客使用的後門程式Bloodalchemy,該程式為C語言開發,針對x86架構的電腦而來,攻擊者將其注入合法的應用程式處理程序BrDifxapi.exe,透過DLL側載(DLL Side-loading)的方式啟動,當作Shell Code執行,主要攻擊目標是東南亞國協(ASEAN)會員國的外交單位,是駭客組織使用的作案工具包REF5961的其中一項元件。
研究人員起初在針對蒙古政府的攻擊行動看到相關工具,進一步分析發現該後門程式相當特別,必須透過特定的啟動器才能執行,無法獨立運作,其有效的功能算是相當有限,因此研究人員推測,此後門程式仍在開發階段,也有可能是大型作案工具套件的其中一項子功能,也不排除是針對特定目標打造的惡意軟體。
【漏洞與修補】
思科揭露網路設備作業系統IOS XE的重大漏洞CVE-2023-20198,這項漏洞影響啟用網頁介面(Web UI),以及HTTP(或HTTPS)伺服器功能的網路設備,攻擊者若是成功利用該漏洞,就有機會在網路設備建立權限等級15的帳號,進而掌控整個系統,後續執行其他未經授權的惡意行動,CVSS風險評分為10。
這項漏洞之所以發現,源於該公司9月28日接獲用戶通報異常,經過進一步調查之後,得知網路攻擊行動發生在18日,當天有人從可疑的IP位址5.149.249[.]74,設置名為cisco_tac_admin的本機帳號,後來思科於10月12日發現新的漏洞利用攻擊,駭客部署了惡意程式,企圖在系統層級執行任意命令。而對於這兩起攻擊行動,該公司認為是同一組攻擊者所為,研判9月的行動是在嘗試利用漏洞,10月進一步植入惡意程式並建立持續存取的管道。
值得留意的是,思科目前尚未提供這項漏洞的修補程式,他們呼籲,用戶目前若有連接網際網路的IOS XE設備,應立即停用HTTP(及HTTPS)伺服器功能,阻斷駭客入侵的管道。
【資安產業動態】
微軟宣布擴充Kerberos功能,逐步淘汰Windows 11中的NTLM
NTLM身分驗證安全協定的中繼攻擊手法不斷出現,例如:2021年7月揭露的PetitPotam弱點、2022年7月修補的ShadowCoerce弱點,微軟為了解決這個問題,決定逐步降低既有產品對這類協定的依賴,最終達到停用這種協定的目標。
10月11日微軟表示,該公司藉由擴張Kerberos的能力,支援部分NTLM的功能,一種是IAKerb,允許用戶端透過Kerberos在更多異質網路拓撲進行身分驗證;另一種則是本機的金鑰發布中心(KDC)支援。IAKerb是業界標準的Kerberos通訊協定延伸,允許無法探索網域控制器(DC)的用戶端透過能夠探索的伺服器進行身分驗證,這項工作透過交涉(Negotiate)驗證延伸套件執行,允許Windows身分驗證堆疊透過代表用戶端的特定伺服器,代理Kerberos訊息。
Kerberos本機KDC支援建置於電腦的安全帳號管理員,從而可以讓用戶透過Kerberos完成本機帳號的遠端身分驗證。這項功能的支援,主要是利用IAKerb允許Windows在遠端及本機之間傳遞Kerberos訊息的能力,使得組織無須增加DNS、netlogon、DCLocator等服務的支援。另一方面,微軟也著手修補Windows元件NTLM的缺陷,並將其移轉為Negotiate通訊協定,未來組織透過Kerberos就能使用相關功能。
【其他新聞】
駭客假借提供加密貨幣錢包應用程式,透過NuGet套件管理器散布木馬程式SeroXen
WordPress外掛程式Royal Elementor存在零時差漏洞,攻擊行動自10月初升溫
【iThome 2023資安大調查系列2】5成多企業員工資安意識不足,3成企業欠缺資安老手
【iThome 2023資安大調查系列2】社交工程風險超越勒索軟體和駭客,ChatGPT濫用成新威脅
近期資安日報
【10月16日】 Skype用戶注意!駭客利用外洩帳號發送訊息,透過內嵌VBA指令碼的檔案散布惡意程式DarkGate
熱門新聞
2024-05-19
2024-05-20
2024-05-18
2024-05-17
2024-05-17
