在本月的軟體業者例行修補公告中,大多數焦點聚集在微軟的Patch Tuesday上,但美國網路安全和基礎設施安全局(CISA)特別呼籲企業,要留意本次SAP修補的漏洞CVE-2022-22536,因為這項漏洞不僅攻擊者極為容易利用,亦存在於SAP旗下的WebDispatcher、Content Server、ABAP、NetWeaver等產品,而使得大部分SAP客戶都可能受到影響。

又是WordPress網站外掛程式出現重大漏洞,這次是讓網站管理員能使用PHP程式碼的PHP Everywhere,全球可能有超過3萬網站會受到波及。

駭客在發動惡意軟體攻擊也採取分工策略,惡意軟體經營者將相關工具委由專門投放惡意軟體的服務,來感染目標電腦。最近有資安業者揭露名為PrivateLoader的惡意軟體載入器攻擊行動,駭客藉此代客散布Smokeloader、Redline、Vidar等惡意軟體,且找上門的惡意軟體經營者,也有越來越多的現象。

【攻擊與威脅】

以受害電腦數量收費的惡意軟體散布服務業者,透過PrivateLoader發動攻擊

攻擊者透過惡意程式載入器投放作案工具,過往多是駭客組織在作案過程中的其中一環,但如今駭客也出現分工的做法,惡意軟體經營者提供惡意酬載、攻擊目標的資訊,委由惡意軟體散布服務出面下手,再以感染電腦臺數的情況付錢,提供這類服務的業者被稱為Pay-per-install(PPI),而這些PPI業者便使用上述的惡意軟體載入器,來受理各式惡意軟體投放的委託服務。

例如,威脅情報業者Intel 471近期針對名為PrivateLoader的惡意軟體下載器進行分析,該軟體至少自2021年5月出現於攻擊行動,PPI業者用來在受害電腦植入Smokeloader、Redline、Vidar等惡意軟體,以便為客戶進行偵察或是竊密,其中,藉此散布次數最多的是Smokeloader。研究人員指出,這些業者透過盜版軟體為誘餌,吸引受害人下載PrivateLoader,進而在對方的電腦上部署各式惡意軟體。

在這種攻擊行動裡,PPI業者亦透過PrivateLoader,來收集受委託的惡意軟體散布情形,包含成功下載與觸發的數量等資訊。研究人員指出,他們自2021年11月,看到駭客意圖透過此項PPI服務來散布更多木馬程式,希望藉由公布PrivateLoader的攻擊行動細節,讓組織能夠防範相關的攻擊手法。

北韓駭客Kimsuky利用xRAT後門程式攻擊南韓組織

隨著國際政治局勢日益緊張,APT駭客組織透過RAT木馬程式發動攻擊的現象,近期接連有事故傳出。例如,資安業者AhnLab指出,他們看到北韓駭客Kimsuky(亦稱TA406)於1月24日開始,使用開源的木馬程式xRAT(Quasar RAT)鎖定南韓組織發動攻擊。駭客先停用AhnLab防毒軟體的即時監控功能,然後植入惡意程式Gold Dragon在受害電腦站穩腳跟,接著透過PowerShell來執行xRAT,進行遠端控制並竊取機密。AhnLab呼籲用戶,不要開啟來路不明的郵件附件,來防範該駭客組織的相關攻擊。

北韓駭客Kimsuky疑似鎖定國際原子能源總署下手

北韓駭客近日動作頻頻,疑似意圖藉此竊取軍事機密與資金。日經新聞宣稱取得聯合國的調查報告草稿,指出北韓駭客Kimsuky近期針對國際原子能源總署(IAEA)、南韓主要的國防承包商韓國航空宇宙產業株式會社,以及南韓核能研究所發動網路攻擊,並提及這些駭客從2020年至2021年,在北美、歐洲、亞洲至少3個加密貨幣交易所裡,竊得逾5千萬美元的加密貨幣,這些資金疑似被用於發展核武。這份報告預計於聯合國安全理事會修訂後於3月正式公開,很有可能成為日後對於北韓裁罰的依據。

電信業者Vodafone葡萄牙子公司遭到網路攻擊,4G、5G服務中斷

電信業者Vodafone葡萄牙子公司於2月8日發出公告,指出他們因遭到網路攻擊,從2月7日開始多項服務被迫中斷,包含4G和5G的網路、手機簡訊、電視服務等,僅有3G網路仍能夠運作。該公司亦強調,客戶的資料沒有出現異常存取的跡象。雖然Vodafone沒有透露相關攻擊細節,但資安新聞網站Bleeping Computer取得資安研究人員的說法指出,該公司應該是遭到勒索軟體攻擊。

因人資系統業者遭勒索軟體攻擊,運動用品業者Puma近半數員工資料外洩

提供人力資源應用系統的業者Kronos於2021年12月遭駭,如今又有大型企業因此資料外洩。資安新聞網站Bleeping Computer根據Kronos呈交給美國政府的資料指出,Kronos在2022年1月7日,確認運動用品業者Puma的員工資料遭竊,並於1月10日通知Puma,駭客疑似掌握6,632人的資料,接近該公司全部員工(約1.4萬人)半數。受到本次事故影響的Puma員工,將得到2年身分竊盜保險與信用監控的服務。

逾500個採用舊版Magento軟體的網路商城遭鎖定,被側錄交易資料

舊版網路購物平臺Magento(1.x版)已經終止支援超過一年半,但仍有一些電子商務網站使用而成為駭客的目標。網站安全業者Sansec近期發現,有超過500個採用舊版Magento軟體的電商網站,遭到大規模的MageCart交易資料側錄攻擊,駭客從特定網域載入側錄器(Skimmer),研究人員進一步調查得知,駭客結合了SQL注入與PHP物件注入攻擊手法,進而掌控這些電子商城。Sansec建議這些使用舊版Magento軟體的業者,應考慮採用如Mage-One軟體業者,或開源專案OpenMage提供的第三方修補程式,來維持電商網站的安全。

駭客以提供Windows 11升級為誘餌,散布竊密軟體RedLine

微軟在今年1月26日宣布,將對於軟硬體條件符合條件的電腦,提供Windows 11,但在隔天就有駭客,假借提供升級此作業系統的工具名義,散布惡意軟體。IT業者HP的資安研究團隊發現,在1月27日出現假的Windows 11升級網站,以提供升級助手(Windows11InstallationAssistant.zip)的名義,引誘想要安裝這套作業系統的使用者下載。但實際上,使用者若是執行此ZIP檔案內含的可執行檔,將會在電腦上安裝竊密軟體RedLine。研究人員指出,駭客使用多種回避偵測的手法而不被資安防護系統發現,例如,上述可執行檔高達751MB,而超出許多沙箱、惡意軟體分析工具的處理範圍。

 

【漏洞與修補】

SAP產品的核心元件驚傳重大漏洞,美國呼籲用戶儘速修補

存在於SAP產品的主要元件出現嚴重漏洞,可能影響許多企業。資安業者Onapsis發現一組名為Internet Communication Manager Advanced Desync(ICMAD)的漏洞,這些漏洞存在於SAP NetWeaver應用程式伺服器的ICM元件,一旦ICMAD漏洞遭到利用,攻擊者能竊取帳密、導致阻斷應用程式服務,或是執行任意程式碼,最終可能會破壞尚未修補的SAP應用程式。

其中最為嚴重的漏洞為CVE-2022-22536,CVSS風險層級達到滿分10分,研究人員強調,攻擊者利用此漏洞不需身分驗證,亦無須其他條件配合,就能透過HTTP或HTTPS通訊協定,傳送惡意酬載。

由於ICM的主要功能是將SAP應用程式連接至網路,是SAP NetWeaver應用程式伺服器重要的元件,且存在於大多數SAP產品,因此大部分的SAP客戶都可能會受到影響。SAP與研究人員合作,並於2月8日發布相關修補程式,並指出相關漏洞亦影響WebDispatcher、Content Server、ABAP等產品。

對此,美國網路安全和基礎設施安全局(CISA)也提出警告,SAP用戶若是沒有修補上述漏洞,很可能會面臨關鍵業務中斷,或是被迫停止營運的風險。

WordPress的PHP外掛程式驚傳RCE漏洞

又是網站內容管理平臺WordPress的外掛程式出現漏洞,而可能影響數萬個網站的情況。資安業者Wordfence揭露外掛程式PHP Everywhere的3個重大漏洞:CVE-2022-24663、CVE-2022-24664、CVE-2022-24665,這些漏洞的CVSS風險層級都達到了9.9分,一旦攻擊者取得撰文者或是訂閱者的權限,就有可能利用上述漏洞來執行惡意PHP程式碼,甚至接管整個網站,影響2.0.3版以前的PHP Everywhere。此外掛程式的主要功能,是讓網站管理者能夠在網頁、貼文等區塊中,使用PHP程式碼,全球約有3萬個WordPress網站採用。開發者獲報後於1月10日發布3.0.0版修補上述漏洞,研究人員呼籲用戶應儘速安裝更新。

 

【資安產業動態】

微軟傳出有意買下資安業者Mandiant

彭博社於2月8日引述消息人士的說法指出,微軟考慮買下網路安全業者Mandiant,可能是受到這項傳聞的影響,當日Mandiant股價上漲17.86%,以17.75美元作收,微軟收盤亦漲1.2%,以304.56美元作收。該報導指出,微軟若是成功併購Mandiant,將有助於擴大該公司的資安防護產品版圖。微軟與Mandiant皆拒絕對於此事回應。

 

 

近期資安日報

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement