自11月開始一系列的購物節活動,包含了雙11、黑色星期五、網路星期一等,使得駭客鎖定購物商城發動Magecart的交易資料側錄攻擊行動增加,最近2、3個禮拜不斷有資安業者揭露他們發現的事故,呼籲電商網站和消費者要注意。但除了Magecart攻擊,還有一種手法也值得留意,那就是藉由網路機器人自動化買下大量的限定商品,再轉手大賺一筆的情況,資安業者Imperva指出,這種攻擊行動在11月顯著增加,美國政府甚至快速通過相關法案,想要防堵這種掃貨的攻擊行動。

另一個值得留意的攻擊,則是與許多開發者會使用的Node.js套件管理器(NPM)有關,資安業者JFrog發現了一批有問題的套件被上架,但與過往有所不同的是,這些NPM套件會竊取受害者即時通訊軟體Discord的登入資訊。不過,究竟攻擊者竊取Token的目的是什麼,仍不得而知。

而在國內的資安新聞中,則是臺北馬拉松傳出疑似參賽者個資外洩的情況引起關注。也有不少人表明他們已經接到了詐騙電話。

【攻擊與威脅】

掃貨惡意程式Grinchbot攻擊流量在黑色星期五增加7成

在11月的購物季,各電商平臺無不磨拳擦掌,推出限定、限量的商品來吸引顧客,但購物黃牛透過機器人程式蒐括這些限定商品,再轉手高價賣出的現象也值得注意。資安業者Imperva指出,有人利用名為Grinchbot的機器人,在11月的購物季大肆搶購限定商品的現象,較10月份多出了73%的流量。而在整個11月裡,又以黑色星期五和網路星期一達到流量高峰。

Magecart側錄攻擊鎖定WooCommerce電商網站而來

側錄線上交易的Magecart攻擊行動,過往有不少事故是針對Magento電子商務平臺而來,但資安業者RiskIQ最近提出警告,他們發現近期鎖定WooCommerce電子商務平臺的攻擊增加,並介紹新的側錄工具WooTheme、Slect、Gateway,呼籲電商網站留意。

17個惡意NPM套件利用即時通訊系統Discord發動攻擊

廣受許多開發人員使用的Node.js套件管理器(NPM),最近幾個月已有多起惡意套件的事故,而最近一起攻擊行動,駭客更是同時濫用即時通訊平臺Discord。資安業者JFrog近期發現了17個惡意NPM套件,其共通點是會竊取Discord用戶的Token,研究人員推測,攻擊者竊取此種Token的目的,可能是要掩飾其他攻擊行動,或是用來散布惡意軟體。

成立半年的Hive勒索軟體已有逾350個組織受害

新興勒索軟體駭客組織Hive崛起的現象,引起研究人員的注意。資安業者Group-IB指出,這個駭客組織於資料外洩網站(DLS)上,列出48個不願付贖金的受害組織,而根據他們的調查,實際遭到攻擊的受害組織數量,自2021年6月底到10月16日,總共超過355個。

勒索軟體Conti攻擊澳洲電力公司

澳洲媒體在12月6日報導指出,由中國政府撐腰的駭客疑似攻擊該國昆士蘭州CS Energy電力公司,但該公司否認遭到國家級攻擊。而根據路透社的報導,勒索軟體組織Conti隨後就在網站上公布,CS Energy已遭到他們的攻擊。路透社引述資安公司Emsisoft的說法指出,這起攻擊事故是俄羅斯駭客所為,主要目的是出於牟取經濟利益,與中國APT組織無關。

美國食品進口業者Atalanta遭到勒索軟體攻擊

美國食品進口業者Atalanta於12月8日發出新聞稿,證實該公司與Gellert Global集團旗下的相關實體,遭到網路攻擊。他們在2021年7月25日發現攻擊行為,其中包含對於部分系統進行加密。該公司尋求第三方專家著手調查,結果發現,現任與前員工、部分客戶的資料遭到存取,但尚未有跡象表明這些個資被濫用。

攻擊者利用GuLoader投放木馬程式的情況增加

資安業者Deep Instinct提出警告,駭客於今年1月鎖定義大利組織散播惡意軟體GuLoader(亦稱CloudEyE、vbdropper)之後,在9月開始,他們又看到另一波大規模攻擊行動,駭客利用GuLoader投放RAT木馬程式Remcos。這個惡意程式由程式語言Visual Basic 6編譯而成,內有Shellcode酬載,攻擊者通常會用來投放RAT木馬程式,如:Agent Tesla、NanoCore、Remcos等。

研究人員發現針對OAuth漏洞的重新導向網釣攻擊

資安業者Proofpoint指出,他們發現攻擊者針對數十個Microsoft 365第三方應用程式,藉由重新導向的方式,大規模攻擊數百家組織。為了看起來更像合法存取,這些網路釣魚攻擊濫用微軟Azure網域,攻擊者運用SeclarityIO網釣工具包,偽造Outlook Web Access、PayPal網頁,側錄帳密和信用卡資料。值得留意的是攻擊行動裡的重新導向URL,是透過OAuth的應用程式框架配置,可能缺乏對於URL的驗證而難以察覺。

30萬臺MikroTik路由器易成為駭客攻擊的目標

日前曾被用來建置Mēris殭屍網路,並在今年9月用來發動大規模DDoS攻擊的MikroTik路由器,似乎是攻擊者偏好的攻擊目標。專精韌體安全的資安業者Eclypsium指出,此廠牌的路由器在全球有超過200萬臺而樹大招風,其中,存在未修補的已知漏洞,或是使用預設管理員帳密等不安全配置的路由器,至少有30萬臺,可能容易遭到攻擊。

APT駭客透過冒牌Notepad++散布竊密軟體

資安廠商Minera揭露一起由APT駭客組織StrongPity(亦稱APT-C-41、Promethium)發起的攻擊行動,該組織利用武器化的開源記事本軟體Notepad++安裝程式,進行竊密工作,一旦使用者下載並執行安裝程式,不只會安裝Notepad++,還會投放竊密工具與資料傳輸工具,將使用者鍵盤輸入的內容儲存成TBL檔案,再傳送到C2伺服器。

中國政府資助的網絡間諜活動擴大東南亞地區勢力

資安業者Record Future指出,由中國政府資助的駭客組織TAG-16,過去9個月利用Funny Dream與Chinoxy等惡意軟體入侵東南亞軍事與政府機構並進行監控,馬來西亞、印尼、越南是3大主要目標,但他們也看到在泰國、新加坡、柬埔寨等國的攻擊行動。

臺北馬拉松疑個資外洩,中華民國路跑協會發布反詐騙提醒,已報案且調查中

即將在12月19日舉行的臺北馬拉松,在12月9日突然發布反詐騙提醒的宣導,疑似發生資料外洩事件,目前正調查中。經電話詢問相關狀況,中華民國路跑協會回覆說明,他們是在12月8日下午4時因接到許多跑友的確認電話而向警方報案,並在當日下午5時發送簡訊通知參與的跑者,目前事件正在調查中,尚未有結果,並提醒參與跑者當心不法人士假冒路跑協會名義,以系統出錯重複刷卡、導入團體訂單導致重複刷卡為由的詐騙電話。

 

【漏洞與修補】

頂級網域註冊業者的漏洞恐導致Google、Amazon網域遭接管

資安顧問公司Palisade指出,他們在10月8日發現,頂級網域(TLD)服務業者Tonga網路資訊中心(TONIC)的註冊系統存在SQL注入漏洞,導致攻擊者可以修改「.to」頂級網域下,任何網域名稱的名稱伺服器,覆蓋這些網域的DNS設置,將流量重新導向攻擊者的網站。例如,一旦有人控制google.to,將能藉由惡意的account.google.com網址,來竊取Google用戶的Token。

再者,由於.to廣泛被應用於產生短網址,Amazon(amzn.to)、Uber(ubr.to)和Verizon (vz.to)等公司的短網址可能會遭到濫用。他們通報TONIC後,這個漏洞在24小時內就獲得修復。

蘋果行動裝置控管平臺Jamf Pro驚傳SSRF漏洞

資安業者Assetnote在蘋果行動裝置控管(MDM)平臺Jamf Pro中,發現2個伺服器端偽造請求(SSRF)漏洞CVE-2021-39303、CVE-2021-40809,CVSS風險層級為8.3分及7.5分,同時影響內部建置與SaaS版本。研究人員指出,由於Jamf Pro的雲端服務版本架設於AWS上,這些漏洞可以被用來取得Jamf的AWS帳密。Jamf獲報後已著手修補。

殭屍網路Mirai變種針對TP-Link路由器而來

資安業者Fortinet發現名為Manga(亦稱Dark)的殭屍網路病毒, 約自11月22日開始,鎖定TP-Link路由器11月12日甫被發現的漏洞CVE-2021-41653大肆入侵,TP-Link已推出修補程式,並強調建議用戶儘速安裝。

日誌框架系統Apache Log4j 2修補RCE漏洞,用戶盡速更新至最新版2.15.0

Apache Log4j 2是基於Java的日誌框架,近日他們發布了新版本2.15.0,當中修補了一項遠端程式碼執行漏洞,用戶盡速升級最新版本。根據阿里雲安全團隊的說明,Apache Log4j2的某些功能存在遞迴解析功能,而攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞,並指出Apache Struts2、Apache Solr、Apache Druid、Apache Flink都受影響。目前CVE漏洞編號CVE-2021-44228僅從GitHub Advisory Database找到相關資訊,NIST NVD尚未公開

Kaseya旗下的備份系統驚傳重大漏洞,恐造成RCE攻擊

IT業者Kaseya於12月3日發布資安通告,指出旗下的備份系統Unitrends Backup Appliance存在重大漏洞CVE-2021-43035、CVE-2021-43033,恐被用於未經身分驗證的SQL注入攻擊,或是遠端程式碼執行(RCE)攻擊。這項漏洞波10.0至10.5.4版,Kaseya發布10.5.5版修補上述漏洞。

 

 

【近期資安日報】

2021年12月9日

2021年12月8日

2021年12月7日


熱門新聞

Advertisement