網站內容管理平臺WordPress的外掛程式不時傳出漏洞,而可被駭客用於攻擊行動,但在今天的資安日報裡,出現了針對檔案提供者的供應鏈攻擊。有近百個網站佈景主題、外掛程式被植入惡意程式,研究人員調查後發現,是提供延伸功能套件的網站遭駭所致。

物流業者已是網釣攻擊的駭客偏好冒用的對象,根據資安業者統計,在2021年第4季,有近四分之一是冒用DHL的網釣郵件。而在今天的資安新聞中,則是有攻擊者以大型航運公司的名義,發送釣魚郵件來散布木馬程式,由於疫情期間塞港、缺櫃情況嚴重,船務人員急切了解航運公司的處理進度,很容易就點選附件而中招。

【攻擊與威脅】

台達電公告部分資訊系統遭受駭客網路攻擊

昨日周五早上10時左右,資安社群討論中傳出台達電子公司疑被攻擊,並通知所有員工斷網的消息,我們也密切關於這樣的情況,在今日(1月22日)下午2時05分台達電公告,當中內容指出事件發生在21日,偵測到部分資訊系統遭受駭客網路攻擊,後續已啟動資安相關防禦機制與應變作業,並表示資訊系統陸續回復運作中,台達電目前評估對公司營運無重大影響。外界猜測,該公司疑似遭到勒索軟體攻擊。

逾90個WordPress外掛程式、佈景主題驚傳含有後門程式,疑供應商網站遭駭

提供WordPress網站佈景主題的業者,有可能網站已經遭到入侵,而使得佈景主題已被攻擊者植入後門。專精WordPress資安與效能提升的業者Jetpack指出,他們在使用AccessPress Themes(亦稱Access Keys)所提供佈景主題的WordPress網站裡,發現惡意程式碼,經通報AccessPress Themes與WordPress之後,得知AccessPress Themes佈景主題下載網站於2021年9月上旬遭駭,該網站所提供的93個佈景主題與外掛程式,都被注入了後門程式。研究人員強調,從WordPress網站下載的佈景主題不受影響,但他們還是建議管理者安裝最新版本。

木馬程式StrRAT以物流送貨通知的名義散布

以物流業者送貨通知作為網路釣魚攻擊的幌子,近期成為許多駭客偏好的手法,而最近一起散布木馬程式的攻擊行動,就是以這種釣魚郵件來進行。資安業者Fortinet發現冒名馬士基航運公司(Maersk Shipping)的網路釣魚郵件,並以確認貨物裝載的時程為由,引誘收信人開啟附件,但實際上附件的檔案就是StrRAT木馬程式──攻擊者使用Allatori工具包進行混淆,而成功規避防毒軟體的偵測。StrRAT具備偵察受害電腦環境的功能,並能側錄用戶輸入的按鍵,或是從網頁瀏覽器與收信軟體裡,截取帳密;此外,該木馬程式還能假裝是勒索軟體,宣稱電腦檔案被加密,但實際上,StrRAT正外傳受害電腦的機密資料。

駭客組織Molerats鎖定中東發動後門程式攻擊

攻擊者利用常見的雲端服務來部署攻擊工具,使得網路安全設備將其流量視為合法,而難以察覺其攻擊意圖。例如,資安業者Zscaler揭露一起自2021年7月出現的攻擊行動,APT駭客組織Molerats透過帶有惡意巨集的Office文件,攻擊巴基斯坦政治人物、銀行重要人士,以及土耳其人權鬥士、記者。這些惡意文件以巴勒斯坦和以色列之間的地緣政治衝突為誘餌,引誘受害者開啟,進行植入以.NET編譯而成的Spark後門程式。值得留意的是,與C2中繼站通訊的過程中,Molerats使用Dropbox的API進行,並透過Google Drive等雲端服務存放惡意程式,並透過軟體保護工具ConfuserEx、Themida來為Spark加殼,來規避各式資安系統的偵測。

駭客組織Donot Team鎖定南亞軍事組織和外交單位發動攻擊

ESET揭露駭客組織Donot Team(亦稱APT-C-35、SectorE02)的攻擊行動,該組織於2020年至2021年之間,鎖定孟加拉、斯里蘭卡、巴基斯坦、尼泊爾,針對當地政府機關、軍事組織、外交部、大使館發動攻擊,向特定目標寄送釣魚郵件來散布惡意軟體DarkMusical、Gedit、Jaca。一旦收信人不慎開啟附件,就會執行惡意軟體框架yty,下載該組織的攻擊工具包、掌控受害電腦。研究人員呼籲用戶要加以防範。

研究人員特別提及,這個駭客組織疑似為了讓受害者不易察覺,以每2至4個月的頻率寄送這種釣魚郵件。

繼英國、荷蘭,美國也要求北京奧運參賽選手使用一次性手機

北京奧運即將於2月4日開幕,但中國可能會監控選手的傳聞,也是歐美國家擔心的問題。繼英國、荷蘭向選手提出警告,在中國參賽期間不要使用自己的手機、筆電,不久後美國奧委會也宣布,將提供選手拋棄式手機(Burner Phone),並在使用後徹底銷毀這些設備。外界認為,美國此舉與日前主辦方提供的App裡,疑似存在言論審查的字詞名單有關。

Telegram成駭客偏好銷贓金融帳號資料的重要管道

即時通訊軟體Telegram重視用戶隱私的特性,也被駭客看上,用來出售他們偷來的各式金融帳號資料。資安業者Cybersixgill指出,他們看到攻擊者在2020年至2021年,大量使用Telegram來銷售竊得的信用卡資料、加密貨幣錢包等金融帳號資料,雖然在2021年整體在求售的資料量較2020年大幅下降,但主要原因是非接觸式的行動支付興起,以及新核發的信用卡數量減少,該公司認為這種情況仍然值得關注。值得留意的是,買賣最多的外洩金融資料是PayPal帳號,因為駭客會用來購買加密貨幣,目的是為了洗錢。

2021年度高風險網購平臺出爐,誠品書店與東森購物均有近千件的民眾報案,明顯比往年嚴重

根據刑事警察局統計,2021年解除分期詐騙的5大民眾通報高風險賣場,分別是誠品書店(940件)、東森購物(868件)、蝦皮購物(500件)、婕洛妮絲(358件)與金石堂(324件),其中誠品書店與東森購物的警方受理案件數,都將近千件,相較於2020年民眾通報最多的Momo是383件,2021年因個資外洩引發的詐騙問題,明顯趨向嚴重。另外,去年還有其他通報對象受關注,例如,王品集團旗下擁有多個平臺,以及多個假冒愛心公會的事件,估計加總報案數量也不少,前日我們已向警方索取資料,後續將有進一步的結果揭露。

 

【漏洞與修補】

McAfee端點代理程式存在漏洞,攻擊者可取得作業系統最高權限

甫與FireEye合併到Trellix的McAfee Enterprise,最近針對Windows版的McAfee代理程式發布5.7.5版更新,當中修補本地權限提升(LPE)漏洞CVE-2022-0166,這項漏洞與代理程式內含的OpenSSL元件有關,一旦攻擊者利用這項漏洞,將能以NT AUTHORITY\SYSTEM權限執行任意程式碼,甚至有可能規避防毒軟體的偵測。

 

【近期資安日報】

2022年1月21日,Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

2022年1月20日,臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

2022年1月19日,再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

2022年1月18日,數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement