繼傳出勒索軟體駭客Conti、中國駭客組織Aquatic Panda,都在Log4Shell漏洞公開後,鎖定尚未修補或採取緩解措施的遠距工作平臺VMware Horizon下手,近期又有類似的情況再度出現──英國衛生服務部(NHS)偵測到一起攻擊行動,駭客向尚未修補漏洞的VMware Horizon發送JDNI請求,進而植入後門,然後發動下一波攻擊,有可能藉此植入勒索軟體或是外洩資料。隨著Omicron疫情持續延燒,許多人採取遠端辦公的方式工作,這類工作平臺也成為攻擊者的首要目標之一。

值得留意的攻擊手法,還有歹徒鎖定在網路上公開電話號碼的人士,如拍賣的賣家、找尋物品的失主,藉由Google Voice網路電話服務,來通過身分驗證,進而挾持對方的Google帳號。Google Voice是Google推出的VoIP服務,該公司在2009年併購GrandCentral後推出,並於美加地區提供免費的語音通話及簡訊服務。而這種詐騙手法值得留意的是,歹徒會說服對方這麼做是驗證他們真實賣家、而非Bot機器人,很多人可能會不小心上當。

【攻擊與威脅】

攻擊者利用Log4Shell漏洞,鎖定尚未修補的遠端工作平臺VMware Horizon下手

英國衛生服務部(NHS)提出警告,表明他們偵測到一起鎖定Log4Shell漏洞的攻擊行動,攻擊者鎖定尚未修補的遠端工作平臺VMware Horizon而來,向這些伺服器發送JDNI請求,使其通過LDAP連接到惡意網域,下載PowerShell指令碼安裝Web Shell,並注入於VM Blast Secure Gateway服務當中,以做為接下來攻擊行動的後門。NHS表示這個後門可被用於植入惡意軟體、資料外洩,甚至是進行勒索軟體攻擊。而這是繼去年12月勒索軟體駭客Conti、中國駭客組織Aquatic Panda的攻擊事故後,第3波鎖定VMware Horizon而來的Log4Shell漏洞攻擊行動。

在網路上公開電話號碼的人士,恐成為Google Voice身分驗證詐騙的目標

美國聯邦調查局(FBI)提出警告,網路拍賣的賣家,或是尋找竉物的失主,可能會因為留下了電話號碼以供聯繫,而成為歹徒藉由網路電話服務Google Voice進行詐騙攻擊的目標。FBI指出,一旦歹徒詐騙成功,將會以受害者的名義建立Google帳號,或是挾持他們的Gmail,以便日後用於其他詐騙攻擊。

這些歹徒從各類拍賣網站來找尋目標下手,並以簡訊或是電子郵件,表明他們對出售的物品感興趣,但宣稱先前曾被其他賣家騙過,要求對方經由Google驗證為真實的人類。然後,歹徒會要求賣家告知收到簡訊驗證碼,但實際上,歹徒是利用賣家的電話號碼進行驗證,假借賣家的名義建立Google Voice帳號,然後接管賣家的Google帳號。FBI呼籲,網路賣家不要提供他人Google驗證碼,來防範相關詐騙攻擊。

駭客組織FIN7以感謝函和防疫指引的名義,發動BadUSB惡意隨身碟攻擊

美國聯邦調查局(FBI)提出警告,駭客組織FIN7約自2021年8月開始,佯稱是AWS或是美國衛生與公共服務部(HHS),藉由感謝函、防疫指引等名義,透過美國郵政服務(USPS)或UPS,寄送含有BadUSB隨身碟的包裹。FBI指出,駭客先是將這類包裹寄給運輸業或保險業者,在11月開始寄給國防公司,一旦有人將包裹裡的隨身碟連接電腦,就會展開一連串的攻擊,最終在受害組織網路部署勒索軟體。

網路犯罪2021年造成140億美元損失,創下歷年新高,加密貨幣詐騙就超過半數

區塊鏈分析業者Chainalysis指出,網路犯罪者用來接受非法交易的加密錢包,2021年總共進帳約140億美元,比2020年的78億美元增加近8成,創下歷史新高。值得留意的是,在2021年的非法交易裡,詐騙的金額就高達78億美元,尤其以誘騙投資人進場大量買進,待時機成熟再捲款潛逃的「拉地毯」(Rug Pull)詐騙手法最值得留意。此外,亦有32億美元加密貨幣遭竊。

加密貨幣交易平臺Arbix Finance無預警關閉,騙走投資者千萬美元

資安業者CertiK於1月4日指出,名為Arbix Finance的加密貨幣平臺,疑似出現「拉地毯」(Rug Pull)詐騙而停止運作,有人將1千萬個Arbix幣傳送到經營者的加密貨幣錢包,並在以太坊傾銷套現。研究人員呼籲,投資人要留意這類詐騙行為。

 

【漏洞與修補】

WordPress修補存在長達3年的XSS漏洞

網站內容管理系統WordPress最近推出了5.8.3版,修補數項漏洞,其中較值得留意的是跨網站程式碼(XSS)攻擊漏洞,影響WordPress 3.7至5.8版,一旦攻擊者利用這項漏洞,就能在已經通過身分驗證的情況下,注入惡意的JavaScript指令碼酬載到貼文裡,進而感染管理者的儀表板,甚至有機會挾持管理者帳號。通報該漏洞的資安業者SonarSource表示,這項漏洞他們從3年前就告訴WordPress,如今終於得到修補,他們預計在1月11日揭露有關細節。

SonicWall防火牆、郵件安全系統受Y2K22漏洞波及

資安業者SonicWall於1月7日發出公告,表明旗下部分產品受到Y2K22漏洞的影響,已自2022年1月1日開始影響部分用戶。這些受影響的產品主要與郵件安全防護有關,包含了企業內部建置的郵件安全防護系統Email Security Appliance、雲端代管郵件安全防護服務Hosted Email Security,以及防火牆設備的反垃圾郵件模組等。該公司已於2日修補雲端郵件安全服務系統,並推出相關修補程式。

H2資料庫驚傳類似Log4Shell的漏洞

資安業者JFrog揭露,以Java程式語言開發、開源的SQL資料庫H2,其主控臺(Console)元件存在類似Log4Shell的RCE漏洞CVE-2021-42392,攻擊者可在未經授權的情況下,用來傳送竄改的參數,或是觸發目標伺服器漏洞,進而遠端於受害裝置上執行任意程式碼。研究人員呼籲用戶應升級H2至2.0.206版。

 

【近期資安日報】

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement