老把戲再度被駭客拿來利用!被用於標記文字由右向左排列(RLO)的Unicode特殊字元,最近被用於網路釣魚攻擊,讓收信人誤以為附件的內容是語音留言訊息,但實際上卻是騙取微軟帳號的HTML檔案。

手機人人都有,網釣簡訊(Smishing)的攻擊手法,最近半年不斷出現相關的事故,且似乎有越來越嚴重的趨勢。在今天的資安新聞裡,有一則是駭客之間互相仿效,加入以這種簡訊來散播手機木馬程式的行列;另有一則是原先以亞洲國家為目標的駭客,自去年起將其攻擊範圍擴大至法國、德國等歐洲國家。

【攻擊與威脅】

駭客透過Unicode特殊字元誤導附件內容,對Microsoft 365用戶進行網釣攻擊

標記由文字右至左排列(Right-to-Left Override,RLO)的Unicode特殊字元,被駭客用於攻擊行動已超過20年,但利用這種字元的手法,最近再度出現。

資安業者Vade揭露騙取Microsoft 365用戶帳密的網釣攻擊,駭客以語音訊息的名義寄送釣魚郵件,一旦收信人開啟附件,就會出現偽造的Microsoft 365登錄網頁,若是輸入帳密就有可能被側錄。

從副檔名的部分來看,這種郵件挾帶的附件為MP3、WAV等聲音檔案,但實際上卻是檔名經過特殊處理的HTML檔案。例如,原本的附件檔案名稱為mp3.htm,在攻擊者加上前述的特殊Unicode字元後,收信人會看到mth.mp3。

研究人員提醒,用戶若是收到聲音檔案的附件,開啟後卻是出現網頁,很有可能是此種類型的釣魚郵件攻擊。

網釣簡訊攻擊Roaming Mantis同時鎖定iPhone和Android用戶,範圍從亞洲擴及歐洲國家

最近2年網釣簡訊攻擊(Smishing)相當氾濫,攻擊者不只藉此對Android手機植入木馬程式,也會將iPhone用戶引導到釣魚網站發動攻擊。卡巴斯基最近揭露Roaming Mantis網釣簡訊攻擊的擴散情形,這起事故自2018年出現,駭客主要針對日本、臺灣、韓國等亞洲國家下手,但自2021年開始,這些攻擊者也大肆攻擊法國、德國等國家的手機用戶。一旦用戶點選網釣簡訊的連結,Android用戶會被引導下載XLoader木馬程式(亦稱Wroba.g、Moqhao),而iPhone用戶則會連線假冒蘋果網站的釣魚網站。

安卓木馬Flubot、Medusa大肆透過網釣簡訊,攻擊銀行用戶

駭客以網釣簡訊(Smishing)攻擊散布安卓木馬Flubot的情況,已有數起事故,也引起其他攻擊者效仿。資安業者ThreatFabric指出,他們發現散布木馬程式Medusa的駭客,也使用網釣簡訊的方式發動攻擊,而且,這些人偽裝木馬程式的手法,幾乎與Flubot雷同。研究人員指出,Medusa具備側錄用戶輸入的內容、事件記錄的存取能力,但值得留意的是,該木馬程式還擁有半自動傳輸系統(Semi-ATS)的功能,可讓攻擊者替代受害者執行各式操作,例如,竄改受害者想要轉帳的銀行帳號,而把對方的戶頭洗劫一空。

惡意軟體Qbot在入侵後的30分鐘內,即竊取受害電腦的敏感資訊

駭客竊取受害電腦的機密資料,並於作案完成後清理現場,需要多久時間?很有可能不到半個小時。根據資安研究團隊DFIR Report對於近期的惡意軟體Qbot(又名 QakBot、Quakbot)攻擊行動進行解析後發現,該惡意軟體一旦感染受害電腦,隨即就自我提升權限,並在10分鐘內進行偵察,30分鐘內就竊取受害者的電子郵件和瀏覽器帳密,然後,在感染後50分鐘左右,進行橫向擴散,感染鄰近的電腦,並在竊密完成的受害電腦上,將作案工具清除,而使得受害電腦看起來沒有遭到入侵的跡象。

由於駭客散布Qbot的管道,是透過釣魚郵件挾帶含有惡意巨集的Excel檔案進行,研究人員呼籲要加強郵件安全的管理。

 

【漏洞與修補】

微軟2月Patch Tuesday修補51個漏洞

微軟於2月8日發布例行修補(Patch Tuesday),本次共修補51個漏洞,其中包含1個零時差漏洞,但有別於前面幾個月的情況,本月的這些漏洞尚未傳出遭到利用的情形,且沒有重大風險層級的漏洞。針對上述情況,趨勢科技漏洞懸賞組織Zero Day Initiative(ZDI)認為,部分漏洞還是相當值得留意,例如,DNS伺服器漏洞CVE-2022-21984,雖然要用戶啟用了動態更新機制後才會曝露於相關風險,但這種配置相當常見,ZDI認為應視為重大漏洞。

思科修補中小企業路由器產品的多項重大漏洞

思科於2月2日,針對旗下中小企業路由器產品RV系列,發布更新程式,當中修補15個漏洞,這些弱點可被攻擊者用來執行任意程式碼或命令、提升權限、繞過身分驗證程序等。其中,CVE-2022-20699、CVE-2022-20700、CVE-2022-20708等漏洞的CVSS風險層級皆達到了滿分10分。該公司強調沒有其他的緩解措施,呼籲用戶要儘速安裝修補軟體。

郵件伺服器Zimbra驚傳零時差XSS漏洞,且已出現攻擊行動

開源郵件伺服器軟體Zimbra也疑似成為中國駭客下手的目標。資安業者Volexity於2月3日,揭露一起於2021年12月出現的攻擊行動Operation EmailThief,駭客鎖定Zimbra的跨網站程式碼(XSS)零時差漏洞,對歐洲政府和媒體下手,攻擊者疑似是新的中國駭客組織TEMP_Heretic。駭客企圖藉由上述的XSS漏洞,在Zimbra連線過程執行JavaScript程式碼,來竊取受害者的郵件資料。這項漏洞影響8.8.15 P30版Zimbra,9.0.0版不受影響。在研究人員公布細節後,Zimbra計畫於2月5日提供修補程式。

 

近期資安日報

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement