過往不斷有研究人員對開發者提出警告,將專案所需存取的帳密資料寫入程式碼,將有可能帶來危害。而最近研究人員發現的挖礦攻擊行動EleKtra-Leak,就是這樣的典型例子,攻擊者從公開的GitHub儲存庫收集AWS帳密資料,再趁機奪取這些用戶花錢租用的EC2執行個體服務進行挖礦。
特別的是,駭客利用這些帳號挖礦之後,竟然把它們列入黑名單,這樣的手法可說是相當少見。
【攻擊與威脅】
駭客發動EleKtra-Leak挖礦攻擊,利用GitHub曝露的AWS帳密來奪取用戶EC2運算服務,替他們挖掘加密貨幣
資安業者Palo Alto Networks揭露名為EleKtra-Leak的挖礦攻擊行動,駭客約從2020年12月開始進行相關活動,光是在今年8月30日至10月6日,他們就看到有多達474個Amazon EC2執行個體遭駭,被攻擊者拿來挖掘門羅幣。
研究人員指出,這些駭客先是濫用GitHub提供的機密資訊掃描功能,以及AWS的AWSCompromisedKeyQuarantine政策標籤來尋找目標,一旦確認目標儲存庫存放了AWS帳密資料,或是其他的身分驗證管理(IAM)資料,攻擊者就試圖找出這類帳密,對目標AWS帳號進行偵察,然後建立安全群組,並透過VPN程式存取EC2執行個體,從Google Drive下載挖礦軟體並執行,整個過程是自動化運作,總共進行超過400次API呼叫,過程只花費7分鐘。
特別的是,這些駭客也將他們用過的帳密資料加入黑名單。研究人員推測,這麼做的目的,很有可能是防止遭到進一步分析。
研究人員揭露440萬美元加密貨幣竊盜事故,起因疑與密碼管理解決方案LastPass資料外洩有關
根據資安新聞網站Bleeping Computer報導,10月27日加密貨幣調查員ZachXBT指出,他與加密貨幣錢包MetaMask開發者Taylor Monahan聯手,追蹤一系列加密貨幣遭竊的事故,光是25日就有約440萬美元遭竊,至少有25名投資人受害,而根據他們的調查,這些人的共同點,就是都有使用密碼管理解決方案LastPass。
研究人員指出,駭客之所以能榨乾這些人的資產,關鍵是他們利用2022年LastPass遭駭而外流的資料,因此得逞。他們得知有人正在破解被洩露的密碼資料庫,而有可能導致更多LastPass用戶成為目標。
而這並非首度有人因LastPass資料外洩事故損失加密貨幣,資安新聞網站Krebs on Security於今年9月指出,從去年12月下旬,陸續傳出有人受害,估計已被偷走逾3,500萬美元加密貨幣。
資料來源
1. https://twitter.com/zachxbt/status/1717901088521687330
2. https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-breach/
針對2020年SolarWinds供應鏈攻擊事故,美國證券交易委員指控該公司蓄意隱瞞
10月30日美國證券交易委員會(SEC)對IT業者SolarWinds進行控告,原因是在2020年的供應鏈攻擊事故當中,該公司內控失靈,資安長Timothy Brown涉及詐欺,違反美國證券交易法。
SEC指出,該公司從2018年10月股票公開發行,到2020年12月遭遇木馬程式Sunburst供應鏈攻擊,SolarWinds對外誇大其資安措施,同時低估已知的資安風險,甚至未主動揭露。根據SEC的調查,該公司內部工程師曾在2018年提出警告,他們的遠端存取組態不安全,一旦有人利用相關弱點,就有機會在不被發現的情況下為所欲為,Timothy Brown也曾在內部簡報提及此事。
而在前述攻擊行動發生的數個月前,該公司內部資安問題重重。例如,他們在2020年6月調查鎖定客戶而來的網路攻擊,Timothy Brown認為,駭客已經不斷針對Orion軟體下手,企圖發動規模更大的攻擊,同年9月,該名資安長在內部會議指出,8月發現的資安問題數量,已超越工程團隊負荷。
【漏洞與修補】
研究人員揭露濫用維基百科的攻擊手法Wiki-Slack,將Slack用戶進行重新導向
資安業者eSentire揭露濫用維基百科的攻擊手法,駭客鎖定商務人士下手,從維基百科挑選目標人士可能感興趣的主題,並在維基百科條目加入特定註解,以便觸發後續的攻擊行動。一旦目標人士將上述的維基百科條目轉貼至Slack頻道,就有可能呈現原始維基百科不會出現的連結,從而導致其他Slack使用者點選,然後導向惡意網站,並向他們散布惡意軟體。
研究人員指出,這種攻擊手法也可能套用在Medium部落格,但有鑑於維基百科廣為人知,駭客濫用這項服務的可能性較高。針對上述的弱點,研究人員已向Slack進行通報。
針對K8s打造的Nginx Ingress控制器存在高風險漏洞
資安業者Armo指出,有人近日針對適用於K8s環境的Nginx Ingress控制器,通報了高風險漏洞CVE-2022-4886、CVE-2023-5043、CVE-2023-5044,其中最嚴重的是CVE-2022-4886,攻擊者有機會用來繞過此控制器的路徑清理功能,從而取得存取該控制器的帳密資料,CVSS風險評分為8.8。
另外兩個漏洞,則是讓攻擊者有機會濫用程式碼片段configuration-snippet或permanent-redirect的註解欄位,從而執行任意命令或是程式碼,CVSS風險評分皆為7.6。對此,該軟體的維護者提出了緩解措施,呼籲使用者應儘速套用。
【資安產業動態】
10月26日漏洞懸賞平臺HackerOne發布年度報告,當中提及生成式AI(GenAI)持續受到駭客歡迎,有61%白帽駭客正在利用此技術開發各式工具,用來發現更多漏洞,另有62%駭客對於生成式AI採用的大型語言模型(LLM)感興趣,他們將針對OWASP揭露的10大安全漏洞進行相關研究。
此外,受訪者也表明進一步運用生成式AI處理相關工作的情況,有66%打算拿來產生報告、53%會用於編寫程式碼,另有33%則是將其運用於減少語言隔閡。事實上,目前已有14%駭客將其視為重要工具,並有53%開始採用。
而對於白帽駭客帶來的貢獻,時下企業組織認為普遍面臨資安人才缺乏的現象得到緩解,70%客戶認為,這些白帽駭客充分協助他們,使其免於遭遇資安事故。
【其他新聞】
美國內華達州校區遭遇大規模資料外洩,駭客向家長寄送竊得的學生資料施壓
近期資安日報
【10月30日】 有人在2016年就利用永恆之藍漏洞,打造惡意軟體StripedFly,迄今仍有數萬臺電腦遭到感染
熱門新聞
2024-05-19
2024-05-20
2024-05-18
2024-05-17
2024-05-20
2024-05-17
