從上週五早上到今天,資安圈最受到關注的新聞,應該就屬日誌框架系統Apache Log4j的重大漏洞「Log4Shell」(CVE-2021-44228),由於許多知名的大型應用系統如推特、iCloud、Minecraft等都使用了Log4j,且這項漏洞極為容易被利用,已經出現攻擊行動的情況,被資安專家稱為近10年來最嚴重的漏洞。
另一個值得留意的態勢,是勒索軟體攻擊事故不斷傳出,包含了汽車大廠Volvo疑似遭到勒索軟體攻擊,而可能對公司營運造成影響,再者,則是南澳洲政府因薪資系統服務業者遭到勒索軟體攻擊,而導致員工個資曝險。
【攻擊與威脅】
日誌框架系統Apache Log4j重大漏洞波及iCloud、Minecraft、Steam等大型應用系統,且已被用於攻擊行動
甫被Apache修補的日誌框架系統Log4j漏洞「Log4Shell」(CVE-2021-44228),CVSS風險層級到到滿分10分,被資安專家稱為近10年來最嚴重的漏洞之一,Cloudflare執行長Matthew Price認為,是繼Heartbleed、ShellShock之後最為嚴重的漏洞。
由於Log4j的JNDI功能可用於組態、記錄訊息,而包含於Apache Struts2、Apache Solr、Apache Druid等許多軟體專案中,有許多大型IT公司或應用系統都使用這款工具,例如蘋果iCloud、推特、微軟Minecraft,以及Valve遊戲平臺Steam等,再加上這個漏洞利用極為容易,已經出現相關攻擊行動。要利用這個漏洞究竟有多容易?研究人員Marcus Hutchins指出,採用這個日誌框架系統的遊戲Minecraft,攻擊者只需在聊天欄位發出訊息就有可能觸發。
汽車大廠Volvo驚傳遭到入侵,研發資料外洩
汽車產業遭到攻擊的現象,今年有數起事故發生。最近,瑞典汽車大廠Volvo也證實成為受害者,他們於12月10日發出公告,指出檔案資料庫遭到非法存取,少量研發資產被竊,且有可能對公司營運造成影響。根據資安新聞網站Bleeping Computer的報導,這起事故是Snatch勒索軟體駭客所為,他們亦公布少量從Volvo竊得的文件。
南澳洲政府的員工資料外洩,起因是薪資系統服務業者遭到勒索軟體攻擊
南澳洲政府於12月10日發出公告,因薪資系統服務業者Frontier Software遭到勒索軟體攻擊,導致他們可能有8萬名員工的資料遭到外洩,資料包含姓名、出生日期、稅務編號、居住地址、銀行帳號、薪水等。而這是Frontier Software在12月9日公布遭到攻擊的事故調查結果後,南澳洲政府證實也受到本次事件波及。
澳洲對於勒索軟體Conti攻擊提出警告
澳洲網路安全中心(ACSC)於12月10日發布資安通報,表示自2021年11月,他們獲報當地數個組織遭到Conti勒索軟體攻擊,並提供入侵指標(IoC),以及攻擊的策略、技巧,以及步驟(TTP)等資訊,供當地組織進行防範。ACSC提到,該組織會使用BloodHound偵察AD環境,並透過滲透測試工具Metasploit入侵受害電腦,且使用遠端桌面存取軟體AnyDesk維持持久性。此外,該組織也可能會透過網釣攻擊部署後門程式BazarLoader。
研究人員揭露以Rust程式語言製作的勒索軟體BlackCat
資安業者Recorded Future與MalwareHunterTeam聯手,公布他們發現的勒索軟體BlackCat(亦稱Alphv),其最與眾不同之處,就是使用Rust程式語言進行編譯。研究人員指出,這是他們首度看到以這種程式語言製作,且運用於實際攻擊行動的勒索軟體,並警告日後可能會有更多的駭客採用Rust來編譯。但為何攻擊者會想要採用這種程式語言?研究人員指出,駭客使用Rust開發勒索軟體的目的,是為了更好的執行效率,以及記憶體的安全性,日後可能會有其他勒索軟體跟進。
駭客組織Karakurt透過寄生攻擊竊密,向受害組織勒索
資安顧問公司Accenture指出,自2021年9月開始發動攻擊並竊取組織機密的駭客組織Karakurt,在短短2個月內宣稱已攻擊全球超過40個組織,被鎖定的目標主要是規模較小的公司,或者是子公司,且大多數位於北美。該組織使用多種常見、甚至是現成的工具,如AnyDesk、RDP、PowerShell,發動寄生攻擊(LoL),以持續存取受害的網路環境,但不一定會運用Cobalt Strike。研究人員提到,雖然Karakurt也透過專屬網站公布受害組織身分及洩密,但該組織似乎不太使用勒索軟體進行環境破壞。
美國禮品卡詐騙攻擊氾濫,損失近1.5億美元
美國聯邦貿易委員會(FTC)於12月8日提出警告,在2021年的前9個月裡,他們接獲近4萬起禮品卡的詐騙案件,損失金額達到1.48億美元,已超過2020年全年總和。FTC指出,Target禮品卡是今年詐騙案件最常見的對象,是其他禮品卡的2倍以上,平均每個受害者損失2,500美元,其中近三分之一損失超過5,000美元。
網站摘要訂閱服務FeedBurner遭濫用,被用於針對德國銀行用戶的網釣攻擊
郵件安全業者Cofense揭露駭客鎖定德國兩大銀行Sparkasse、Volksbanken Raiffeisenbanken用戶,發動釣魚郵件攻擊的新手法,駭客透過Google旗下的網站摘要訂閱服務FeedBurner,產生重新導向的URL,以規避郵件安全系統的偵測;再著,研究人員也發現駭客也在釣魚郵件使用QR Code,可能是針對行動裝置用戶而來。
160萬個WordPress網站遭到近1,400萬次攻擊
網站安全業者WordPress揭露一起針對WordPress網站的攻擊行動,駭客自12月8日開始,針對4個外掛程式Kiwi Social Share、WordPress Automatic、Pinterest Automatic、PublishPress的已知漏洞,以及多個Epsilon框架主題的函數注入漏洞,透過1.6萬個IP位址,在36個小時內發動1,370次攻擊。研究人員呼籲管理者應儘速修補相關漏洞,並檢查網站是否遭到入侵。
研究人員揭露惡意軟體QBot的新興攻擊手法
微軟在12月9日揭露他們對於惡意軟體QBot(亦稱Qakbot)的發現,指出駭客採用模組化的方式,在發動攻擊時組裝所需模組,而有不同的特徵。因此,他們在相同的攻擊行動裡,往往會發現駭客使用多種用途的QBot,針對不同的受害電腦,發動勒索軟體攻擊、進行橫向移動,以及竊取帳號與密碼等工作。再者,為了引誘受害者啟用Office巨集,讓QBot能順利執行,攻擊者也謊稱文件由DocuSign服務加密。
今日美國學校因恐嚇威脅停課,警方指出發文同學帳號被盜用,遭數個國外IP位址登入
在12月12日週日,位於臺北士林區的美國學校在網路上驚傳遭恐嚇威脅,校方向警方報案並宣布週一緊急停課,原因是有人在網路社群發文,威脅要在校內開槍。根據中央社報導,警方在13日週一已有初步調查結果,指出該校男學生的網路帳號被盜用,有數個國外IP位址登入的情形,目前警方正在追蹤以釐清案情,並加強學校周邊的維安。
【近期資安日報】
熱門新聞
2024-09-29
2024-10-01
2024-10-01
2024-10-01
2024-09-29
2024-09-30
2024-09-30