研究人員追蹤一種新型態的殭屍網路FritzFrog,並發現最近一個月出現大量的攻擊行動,受感染的伺服器爆增。這個殭屍網路引起研究人員高度關注的原因,在於駭客使用了相當特殊的手法來建置相關設施,而可能比其他殭屍網路更難察覺其攻擊行為。

此外,美國、英國、澳洲政府聯合針對關鍵基礎設施提出警告,他們分析了2021年勒索軟體的威脅態勢,並提供關鍵基礎設施相關防範的方法。

【攻擊與威脅】

殭屍網路FritzFrog鎖定醫療、教育、政府單位,受害伺服器一個月內爆增10倍

自2020年8月被發現的殭屍網路FritzFrog,近期遭到感染的電腦大幅增加,而引起研究人員的注意。資安業者Akamai指出,他們最近在1個月內,發現遭到FriztFrog感染的受電電腦數量增長10倍,當中包含了許多醫療單位、教育機構、政府部門的伺服器,目前已有1,500臺伺服器受害,37%位於中國,這些受害伺服器多半被用於挖掘門羅幣。

研究人員認為,FritzFrog具備其他殭屍網路所沒有的特點,像是使用專屬的P2P通訊協定串連,利用廣泛的字典進行暴力破解攻擊,且在每個節點控制的受害伺服器保持相等數量,使該殭屍網路運作效率提升,值得留意其後續發展。

疑似為防堵駭客濫用,微軟將從Windows 10移除WMI命令列工具

為了防範作業系統內建功能遭到駭客濫用的情況,微軟不久前封鎖自網頁瀏覽器安裝Windows 10市集App的管道,如今打算再度針對WMI的命令列工具(WMIC)下手,宣布終止開發相關功能。根據資安新聞網站Bleeping Computer的報導,微軟最近針對Windows 10,公布新的一批不再開發,或是即將捨棄的功能,當中最值得留意的是許多程式開發者使用的WMIC即將遭到移除,微軟亦宣布將由PowerShell的相關功能取代WMIC。

該新聞網站認為,微軟打算移除WMIC的原因,疑似與許多駭客在攻擊行動裡,將其用於寄生攻擊(LoLBins)有關。資安研究員Grzegorz Tworek發現,微軟已經從測試版本Windows 11移除WMIC,日後應該會逐步移除正式版本Windows 10、11上的相關元件。

中國全運會曾遭到駭客植入後門程式

中國全運會於2021年9月15日在陝西省舉行,主辦單位表明於大會舉辦之前就遭到網路攻擊,所幸在賽事舉辦之前就已經清除相關惡意程式,而最近有資安業者揭露相關分析,透露有關細節。防毒業者Avast根據他們蒐集到的惡意程式樣本指出,攻擊者疑似透過網站伺服器漏洞來入侵,並在中國全運會網站上測試不同的Web Shell,或是上傳惡意組態檔案。研究人員指出,攻擊者精通中文,很可能以這種語言為母語。

加密貨幣平臺Wormhole遭駭,損失價值3.2億美元的以太幣

以提供多種去中心化金融(DeFi)網路橋接的Wormhole平臺,於2月3日公布他們遭到駭客入侵,12萬個包裝過的以太幣(wETH)遭竊,損失約3.2億美元,新聞網站Verge指出,駭客可以是透過該公司的GitHub儲存庫,利用已公開但尚未修補的漏洞下手。Wormhole於2月2日察覺合約遭到異常存取,隨即於6小時後修補相關漏洞,並於3日回補損失,其加密貨幣平臺亦於同日重新上線。

耗時5年,針對加密貨幣交易平臺Bitfinex遭駭事故,美國逮捕負責洗錢的嫌犯並扣押近10萬個比特幣

香港加密貨幣交易平臺Bitfinex在2016年遭到駭客入侵,駭客盜走近12萬個比特幣,轟動一時。美國司法部(DOJ)於2月8日宣布,他們經歷5年的追查,近期於曼哈頓逮捕2名涉嫌洗錢的嫌犯Ilya Lichtenstein與Heather Morgan,並查扣9.4萬個比特幣,價值65億美元。美國司法部與聯邦調查局(FBI)認為,此次逮捕行動背後的意義,就是在區塊鏈與加密貨幣的世界裡,網路罪犯未必能夠永遠匿名並逃避查緝。

 

【漏洞與修補】

蘋果修補WebKit零時差漏洞,波及iOS裝置與Mac電腦

蘋果於2月10日,修補Safari瀏覽器的零時差漏洞CVE-2022-22620,此漏洞存在於網頁排版引擎WebKit,與記憶體使用後釋放(Use After Free)有關,一旦遭到利用,攻擊者可執行任意程式碼。這項漏洞影響iPhone 6s、第5代iPad之後的iOS裝置,以及執行macOS Monterey的電腦,且疑似已有相關攻擊行動。蘋果發布iOS 15.3.1、iPadOS 15.3.1、macOS Monterey 12.2.1予以修補。而這已是蘋果產品在2022年出現的第3個零時差漏洞。

以色列網路攻擊公司QuaDream也利用零點擊攻擊程式,針對iPhone下手

加拿大公民實驗室(Citizen Lab)於2021年9月揭露,以色列網路攻擊業者NSO Group鎖定iOS的零時差漏洞CVE-2021-30860,打造Forcedentry零點擊攻擊程式,在無須受害者互動的情況下挾持iPhone,然而,提供這類攻擊工具的業者不只有NSO Group!路透社近日取得多名消息人士的說法指出,還有另外一家以色列網路攻擊公司QuaDream也利用相同的漏洞,提供另一款類似的Forcedentry零點擊攻擊程式,他們利用的iOS漏洞也有不少與NSO Group相同。

 

【資安防禦措施】

針對網頁側錄攻擊,美國零售業者Target公開自行開發的檢測工具

網頁交易資料側錄(Web Skimming)攻擊的事故頻傳,有大型零售業者為求自保,自行開發相關的檢測工具,來檢查電商網站是否存在側錄程式碼,如今他們決定公開造福其他業者。美國大型零售業者Target於2月1日,以開放原始碼的方式,於GitHub提供名為Merry Maker的側錄攻擊檢測工具,該工具會模擬存取電商網站的用戶,瀏覽網頁、執行交易和購買,同時蒐集網路呼叫、JavaScript程式碼等各式資訊,以分析網站是否出現相關的可疑活動。

美、英、澳解析2021年勒索軟體針對關鍵基礎設施的攻擊態勢

勒索軟體鎖定關鍵基礎設施(CI)下手的情況,最近幾個月不時有事故傳出。美國聯邦調查局(FBI)、美國網路安全暨基礎設施安全局(CISA)、英國國家安全局(NSA)、英國國家網路安全中心(NCSC)、澳洲網路安全中心(ACSC)於2月9日聯合提出警告,根據2021年的勒索軟體攻擊態勢,他們認為鎖定全球關鍵基礎設施的勒索軟體攻擊,手法將會變得更加複雜,影響程度也會更加嚴重,他們也提供相關業者加強防範的建議措施。

在這份勒索軟體攻擊的分析中,特別提及駭客對於攻擊目標規模轉移的現象,原因是自油品運輸業者Colonial Pipeline、大型肉品業者JBS、IT管理解決方案業者Kaseya遭到勒索軟體後,美國政府盯上這些發動攻擊的駭客組織進行圍剿,而使得有些駭客為了避免被美國政府追殺,改以針對中型組織下手。這樣的情況與近年來駭客為了將攻擊的利益最大化,偏好針對大型組織的策略有所不同。不過,針對英國、澳洲組織的駭客,則是廣泛攻擊不同大小規模的組織。

波蘭網路防衛軍正式成立

波蘭於2018年底加入歐盟的共同安全政策及網路國防計畫,並在2019年初,規畫成立網路防衛軍(Cyber Defense Force),如今該國正式宣布設立此網路作戰單位,此部門將從事防禦外國駭客攻擊、網路作戰情蒐等任務。但該國執政黨甫於今年1月,傳出使用間諜軟體Pegasus監控政敵的情況,這個網路作戰單位是否會被當作政治鬥爭的工具?顯然有待觀察。

 

近期資安日報

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement