在本週的資安新聞裡,有美國大型媒體集團News Corporation傳出疑似遭到中國駭客蒐集情報的情況,而在其他國際之間的網路攻擊,還有1月底攻擊德國石油運輸業者的勒索軟體Black Cat,而被資安研究人員發現相關證據,認為該組織的前身,疑似就是攻擊美國大型燃油管道業者Colonial Pipeline的DarkSide。
智慧型手機已幾乎成為人們生活的必需品,鎖定這類裝置而來的網釣簡訊(Smishing)攻擊行動也不時有事故發生,且有越來越嚴重的趨勢,不只駭客爭相利用,效仿,甚至是擴大攻擊範圍,針對更多國家發送這類簡訊。
有些作業系統或是應用程式軟體內建模組,成為許多駭客用於寄生攻擊(LoL)的對象,而迫使軟體業者封鎖相關的功能來防堵攻擊。例如,微軟最近封鎖自網頁瀏覽器安裝Windows 10市集應用程式的管道、開始移除WMI命令列元件(WMIC),以及對於5款Office應用程式,若是開啟從網路下載的文件,將不會提供啟用巨集的功能。這些做法可能會對網管人員造成的影響,也有待觀察。
【攻擊與威脅】
在國際情勢日益緊張的態勢下,國家級駭客鎖定新聞媒體來為政府蒐集情資,也有數起事故傳出。根據路透社的報導,美國大型新聞媒體集團News Corporation於2月4日透露,數量不明的記者遭到駭客攻擊,電子郵件信箱帳號與有關資料遭到外洩,該集團已委由資安業者Mandiant協助調查,該資安業者認為,駭客很可能是基於中國政府的利益進行情報收集。路透社取得該集團高層對員工發出的信件內容,指出該集團總部,以及Dow Jones、News UK、紐約郵報等子公司受到本次事故波及。但這並非美國新聞媒體第一次遭到中國駭客攻擊,例如,在2013年紐約時報傳出53臺員工電腦遭駭,原因疑似與他們報導中國時任總理溫家寶親屬財產遭到調查有關。
北韓網路遭DDoS攻擊,原因疑似是資安人員不滿美國政府毫無反制作為,逕自挾怨報復
北韓於今年一月傳出網路遭到DDoS攻擊而癱瘓的情況,且遇害的時間點與該國頻繁試射飛彈重疊,但攻擊者的身分為何?根據新聞網站Wired的報導指出,使用P4x為ID名稱的美國資安研究人員向他們宣稱,這是他個人對北韓APT駭客的報復行動,原因是他在2021年初遭到這些駭客的網釣攻擊,在美國政府沒有任何作為的情況下,他決定自行出手。這名研究人員疑似找到該國所使用的Nginx伺服器、Apache軟體,以及該國開發的Red Star OS作業系統漏洞,並使用自動化攻擊程式出手。但這起攻擊事件資安圈看法兩極,資安業者Immunity認為,此舉恐影響其他對北韓秘密進行的情蒐工作。
北韓駭客近日動作頻頻,疑似意圖藉此竊取軍事機密與資金。日經新聞宣稱取得聯合國的調查報告草稿,指出北韓駭客Kimsuky近期針對國際原子能源總署(IAEA)、南韓主要的國防承包商韓國航空宇宙產業株式會社,以及南韓核能研究所發動網路攻擊,並提及這些駭客從2020年至2021年,在北美、歐洲、亞洲至少3個加密貨幣交易所裡,竊得逾5千萬美元的加密貨幣,這些資金疑似被用於發展核武。這份報告預計於聯合國安全理事會修訂後於3月正式公開,很有可能成為日後對於北韓裁罰的依據。
俄羅斯駭客組織Gamaredon鎖定烏克蘭下手,資安業者提出更多發現
烏克蘭政府於1月中旬遭到大規模的網路攻擊,該國指控下手的駭客組織是Gamaredon(亦稱Armageddon、Shuckworm、Actinium),且與俄羅斯軍情機構聯邦安全局(FSB)有關。如今有多家資安業者揭露相關調查,例如,微軟表示,該組織早於2021年10月開始,就針對烏克蘭組織發動網路釣魚郵件攻擊,包括政府、軍隊、非營利組織(NGO)等;Palo Alto Networks指出,他們看到駭客企圖於1月19日發動網釣攻擊,但是管道是透過烏克蘭政府提供的就業服務系統進行;賽門鐵克則是在2021年7月,就看到該組織使用網釣攻擊散布含有惡意巨集的Word檔案。
德國大型石油運輸業者Oiltanking、Mabanaft相繼於1月底傳出遭到網路攻擊,導致其裝卸油品的系統癱瘓,石油供應商殼牌(Shell)於2月1日表示,他們因此被迫變更輸送石油的路線。而這起攻擊事故如今有了進一步的揭露──根據德國商報(Handelsblatt)取得聯邦資訊安全辦公室(BSI)的內部報告指出,勒索軟體Black Cat(亦稱Alphv)是本次攻擊事故的幕後黑手,當地至少有233個加油站受到波及。
這起攻擊事故的行徑,也讓不少人想起美國大型燃油管道業者Colonial Pipeline於2021年5月,遭到DarkSide攻擊的事故,進而追查Black Cat背後的駭客組織身分。根據資安新聞網站Bleeping Computer的報導指出,駭客組織Black Cat應該是DarkSide、BlackMatter改名繼續運作,原因是原本的組織名稱已被執法單位盯上,對於用戶而言也信譽掃地。資安業者Emsisoft表示,根據勒索軟體的功能和相關組態檔案,使用Black Cat、DarkSide、BlackMatter的駭客組織相同。而該新聞網站也取得經營勒索軟體LockBit的駭客說法,認定Black Cat的前身就是DarkSide、BlackMatter。
殭屍網路FritzFrog鎖定醫療、教育、政府單位,受害伺服器一個月內爆增10倍
自2020年8月被發現的殭屍網路FritzFrog,近期遭到感染的電腦大幅增加,而引起研究人員的注意。資安業者Akamai指出,他們最近在1個月內,發現遭到FriztFrog感染的受電電腦數量增長10倍,當中包含了許多醫療單位、教育機構、政府部門的伺服器,目前已有1,500臺伺服器受害,37%位於中國,這些受害伺服器多半被用於挖掘門羅幣。
研究人員認為,FritzFrog具備其他殭屍網路所沒有的特點,像是使用專屬的P2P通訊協定串連,利用廣泛的字典進行暴力破解攻擊,且在每個節點控制的受害伺服器保持相等數量,使該殭屍網路運作效率提升,值得留意其後續發展。
駭客組織透過受害電腦現成的工具作案,而可能躲過相關偵測,長期埋伏並進行監控。例如,賽門鐵克揭露中國APT駭客組織Antlion的攻擊行動,此起攻擊持續至少18個月,已有2家臺灣金融組織、1家製造業者受害。駭客使用寄生攻擊(LoL)手法,大量使用受害電腦上的軟體,並植入xPack後門程式。研究人員提到,該組織在其中1家金融組織花費近250天的時間,並在上述的製造業者埋伏約175天,至於駭客的目的,疑似是為了幫助中國政府收集情資。
網釣簡訊攻擊Roaming Mantis同時鎖定iPhone和Android用戶,範圍從亞洲擴及歐洲國家
最近2年網釣簡訊攻擊(Smishing)相當氾濫,攻擊者不只藉此對Android手機植入木馬程式,也會將iPhone用戶引導到釣魚網站發動攻擊。卡巴斯基最近揭露Roaming Mantis網釣簡訊攻擊的擴散情形,這起事故自2018年出現,駭客主要針對日本、臺灣、韓國等亞洲國家下手,但自2021年開始,這些攻擊者也大肆攻擊法國、德國等國家的手機用戶。一旦用戶點選網釣簡訊的連結,Android用戶會被引導下載XLoader木馬程式(亦稱Wroba.g、Moqhao),而iPhone用戶則會連線假冒蘋果網站的釣魚網站。
安卓木馬Flubot、Medusa大肆透過網釣簡訊,攻擊銀行用戶
駭客以網釣簡訊(Smishing)攻擊散布安卓木馬Flubot的情況,已有數起事故,也引起其他攻擊者效仿。資安業者ThreatFabric指出,他們發現散布木馬程式Medusa的駭客,也使用網釣簡訊的方式發動攻擊,而且,這些人偽裝木馬程式的手法,幾乎與Flubot雷同。研究人員指出,Medusa具備側錄用戶輸入的內容、事件記錄的存取能力,但值得留意的是,該木馬程式還擁有半自動傳輸系統(Semi-ATS)的功能,可讓攻擊者替代受害者執行各式操作,例如,竄改受害者想要轉帳的銀行帳號,而把對方的戶頭洗劫一空。
要求受害者安裝Windows 10市集App來散布惡意程式的情況時有所聞,線上安裝市集App的通訊協定遭禁用
從網站上安裝Windows 10、11市集App(MSIX安裝檔案)的機制,遭到攻擊者濫用的情況,2021年已有數起攻擊事故發生,例如,於11月復活的Emotet,就曾以要求受害者安裝Adobe PDF瀏覽器元件的名義,來散布惡意軟體。微軟曾於12月發布修補程式並提出緩解措施,並將其登錄為CVE-2021-43890列管,但現在該公司打算更進一步封鎖這種安裝市集App的管道──他們宣布在Windows電腦上停用ms-appinstaller通訊協定,以防堵相關攻擊行動,並預計導入新的群組政策,讓IT人員能限縮在內部網路環境啟用這種通訊協定。
疑似為防堵駭客濫用,微軟將從Windows 10移除WMI命令列工具
為了防範作業系統內建功能遭到駭客濫用的情況,微軟不久前封鎖自網頁瀏覽器安裝Windows 10市集App的管道,如今打算再度針對WMI的命令列工具(WMIC)下手,宣布終止開發相關功能。根據資安新聞網站Bleeping Computer的報導,微軟最近針對Windows 10,公布新的一批不再開發,或是即將捨棄的功能,當中最值得留意的是許多程式開發者使用的WMIC即將遭到移除,微軟亦宣布將由PowerShell的相關功能取代WMIC。
該新聞網站認為,微軟打算移除WMIC的原因,疑似與許多駭客在攻擊行動裡,將其用於寄生攻擊(LoLBins)有關。資安研究員Grzegorz Tworek發現,微軟已經從測試版本Windows 11移除WMIC,日後應該會逐步移除正式版本Windows 10、11上的相關元件。
微軟打算針對5款Office應用程式加強巨集的管控,計畫對於自網路下載的文件全面封鎖巨集功能
攻擊者透過Office文件VBA巨集傳送惡意程式的情況,不時有事故發生,即使預設停用,駭客仍千方百計誘使受害者按下啟用的按鈕。針對這樣的情況,微軟在2月7日宣布,他們將於4月開始,針對Windows版的5款Office軟體,包括Access、Excel、PowerPoint、Visio、Word,會對於從網路下載的文件檔案,直接停用巨集的功能。這樣的配置調整微軟將從Office 365預覽版本開始推送,並擴及到Office 2013至2021,以及Office LTSC。
駭客透過Unicode特殊字元誤導附件內容,對Microsoft 365用戶進行網釣攻擊
標記由文字右至左排列(Right-to-Left Override,RLO)的Unicode特殊字元,被駭客用於攻擊行動已超過20年,但利用這種字元的手法,最近再度出現。
資安業者Vade揭露騙取Microsoft 365用戶帳密的網釣攻擊,駭客以語音訊息的名義寄送釣魚郵件,一旦收信人開啟附件,就會出現偽造的Microsoft 365登錄網頁,若是輸入帳密就有可能被側錄。
從副檔名的部分來看,這種郵件挾帶的附件為MP3、WAV等聲音檔案,但實際上卻是檔名經過特殊處理的HTML檔案。例如,原本的附件檔案名稱為mp3.htm,在攻擊者加上前述的特殊Unicode字元後,收信人會看到mth.mp3。
研究人員提醒,用戶若是收到聲音檔案的附件,開啟後卻是出現網頁,很有可能是此種類型的釣魚郵件攻擊。
以受害電腦數量收費的惡意軟體散布服務,透過PrivateLoader發動攻擊
攻擊者透過惡意程式載入器投放作案工具,過往多是駭客組織在作案過程中的其中一環,但如今駭客也出現分工的做法,惡意軟體經營者提供惡意酬載、攻擊目標的資訊,委由惡意軟體散布服務出面下手,再以感染電腦臺數的情況付錢,提供這類服務的業者被稱為Pay-per-install(PPI),而這些PPI業者便使用上述的惡意軟體載入器,來受理各式惡意軟體投放的委託服務。
例如,威脅情報業者Intel 471近期針對名為PrivateLoader的惡意軟體下載器進行分析,該軟體至少自2021年5月出現於攻擊行動,PPI業者用來在受害電腦植入Smokeloader、Redline、Vidar等惡意軟體,以便為客戶進行偵察或是竊密,其中,藉此散布次數最多的是Smokeloader。研究人員指出,這些業者透過盜版軟體為誘餌,吸引受害人下載PrivateLoader,進而在對方的電腦上部署各式惡意軟體。
在這種攻擊行動裡,PPI業者亦透過PrivateLoader,來收集受委託的惡意軟體散布情形,包含成功下載與觸發的數量等資訊。研究人員指出,他們自2021年11月,看到駭客意圖透過此項PPI服務來散布更多木馬程式,希望藉由公布PrivateLoader的攻擊行動細節,讓組織能夠防範相關的攻擊手法。
【漏洞與修補】
存在於SAP產品的主要元件出現嚴重漏洞,可能影響許多企業。資安業者Onapsis發現一組名為Internet Communication Manager Advanced Desync(ICMAD)的漏洞,這些漏洞存在於SAP NetWeaver應用程式伺服器的ICM元件,一旦ICMAD漏洞遭到利用,攻擊者能竊取帳密、導致阻斷應用程式服務,或是執行任意程式碼,最終可能會破壞尚未修補的SAP應用程式。
其中最為嚴重的漏洞為CVE-2022-22536,CVSS風險層級達到滿分10分,研究人員強調,攻擊者利用此漏洞不需身分驗證,亦無須其他條件配合,就能透過HTTP或HTTPS通訊協定,傳送惡意酬載。
由於ICM的主要功能是將SAP應用程式連接至網路,是SAP NetWeaver應用程式伺服器重要的元件,且存在於大多數SAP產品,因此大部分的SAP客戶都可能會受到影響。SAP與研究人員合作,並於2月8日發布相關修補程式,並指出相關漏洞亦影響WebDispatcher、Content Server、ABAP等產品。
對此,美國網路安全和基礎設施安全局(CISA)也提出警告,SAP用戶若是沒有修補上述漏洞,很可能會面臨關鍵業務中斷,或是被迫停止營運的風險。
臺廠系微UEFI韌體程式爆23個漏洞,恐影響Dell、HPE、富士通等廠牌的電腦
又是臺灣業者提供的公版軟體出現嚴重漏洞,而可能影響眾多廠牌電腦的情況。資安業者Binarly於2月1日指出,他們在富士通Lifebook筆電的UEFI韌體中察覺異常,經調查後發現,與該公司採用臺灣業者系微(Insyde)所提供的InsydeH2O電腦韌體框架有關,相關漏洞共有23個,CVSS風險層級介於7.5至8.2分,恐影響戴爾、惠普、HPE等9家廠牌的工作站與伺服器,攻擊者一旦利用上述漏洞,不只能繞過防毒軟體和EDR代理程式的監控,UEFI的韌體完整性監控機制也無法察覺漏洞攻擊行為,攻擊者甚至可藉此將惡意酬載傳送到作業系統,並以核心模式執行。對此,系微也在2月7日發布新聞稿,表明已修補前述漏洞。
開源網路檔案共享軟體Samba驚傳重大漏洞,恐被攻擊者取得root權限執行任意程式
提供Linux、macOS用戶存取Windows網路共享資料夾的Samba軟體,近期也出現可被用於RCE攻擊的重大漏洞。Samba最近修補重大漏洞CVE-2021-44142,這項漏洞與模組虛擬檔案系統(VFS)有關,該模組的功能提升與蘋果電腦SMB用戶端的相容性,一旦該漏洞遭到利用,將會導致記憶體越界堆積讀寫(out-of-bounds heap read/write)的情況,而讓攻擊者可取得root權限執行任意程式碼,CVSS風險層級為9.9分。該漏洞影響Samba 4.13.17以前的版本,Red Hat、SUSE、Ubuntu等Linux作業系統廠商,以及NAS廠商群暉科技,亦發布相關資安通告。
持續交付平臺Argo CD驚傳漏洞,攻擊者藉此存取K8s密碼或是API金鑰
持續交付平臺(CD)一旦出現漏洞,很可能會洩露相關的機密資訊。例如,支援Kubernetes的GitOps持續交付工具Argo CD,於2月5日修補零時差漏洞CVE-2022-24348,這項漏洞由資安業者Apiiro發現,研究人員指出,攻擊者一旦利用這項漏洞,就可透過Helm Chart套件打造有問題的Kubernetes配置,來存取機密資訊,如API金鑰、密碼等,進而橫向移動或是擴張權限。Argo CD發布2.3.0、2.2.4、2.1.9版修補此漏洞。
又是網站內容管理平臺WordPress的外掛程式出現漏洞,而可能影響數萬個網站的情況。資安業者Wordfence揭露外掛程式PHP Everywhere的3個重大漏洞:CVE-2022-24663、CVE-2022-24664、CVE-2022-24665,這些漏洞的CVSS風險層級都達到了9.9分,一旦攻擊者取得撰文者或是訂閱者的權限,就有可能利用上述漏洞來執行惡意PHP程式碼,甚至接管整個網站,影響2.0.3版以前的PHP Everywhere。此外掛程式的主要功能,是讓網站管理者能夠在網頁、貼文等區塊中,使用PHP程式碼,全球約有3萬個WordPress網站採用。開發者獲報後於1月10日發布3.0.0版修補上述漏洞,研究人員呼籲用戶應儘速安裝更新。
郵件伺服器Zimbra驚傳零時差XSS漏洞,且已出現攻擊行動
開源郵件伺服器軟體Zimbra也疑似成為中國駭客下手的目標。資安業者Volexity於2月3日,揭露一起於2021年12月出現的攻擊行動Operation EmailThief,駭客鎖定Zimbra的跨網站程式碼(XSS)零時差漏洞,對歐洲政府和媒體下手,攻擊者疑似是新的中國駭客組織TEMP_Heretic。駭客企圖藉由上述的XSS漏洞,在Zimbra連線過程執行JavaScript程式碼,來竊取受害者的郵件資料。這項漏洞影響8.8.15 P30版Zimbra,9.0.0版不受影響。在研究人員公布細節後,Zimbra計畫於2月5日提供修補程式。
蘋果於2月10日,修補Safari瀏覽器的零時差漏洞CVE-2022-22620,此漏洞存在於網頁排版引擎WebKit,與記憶體使用後釋放(Use After Free)有關,一旦遭到利用,攻擊者可執行任意程式碼。這項漏洞影響iPhone 6s、第5代iPad之後的iOS裝置,以及執行macOS Monterey的電腦,且疑似已有相關攻擊行動。蘋果發布iOS 15.3.1、iPadOS 15.3.1、macOS Monterey 12.2.1予以修補。而這已是蘋果產品在2022年出現的第3個零時差漏洞。
【資安防禦措施】
Log4Shell漏洞引爆開源軟體安全議題,OpenSSF基金會推動積極修補漏洞的計畫
日前美國政府召集大型IT業者商討開源軟體安全議題,但具體而言要如何強化這類軟體的安全?開源軟體安全基金會(OpenSSF)於2月1日宣布成立Alpha-Omega專案,將協助尋找並修補1萬項開源軟體的漏洞。而這項專案,就是上述會議討論的結果,OpenSSF將與軟體專案負責單位合作,運用自動檢測工具來促進開源軟體供應鏈的安全。其中,在專案的第一階段,微軟和Google會投入500萬美元。
針對網頁側錄攻擊,美國零售業者Target公開自行開發的檢測工具
網頁交易資料側錄(Web Skimming)攻擊的事故頻傳,有大型零售業者為求自保,自行開發相關的檢測工具,來檢查電商網站是否存在側錄程式碼,如今他們決定公開造福其他業者。美國大型零售業者Target於2月1日,以開放原始碼的方式,於GitHub提供名為Merry Maker的側錄攻擊檢測工具,該工具會模擬存取電商網站的用戶,瀏覽網頁、執行交易和購買,同時蒐集網路呼叫、JavaScript程式碼等各式資訊,以分析網站是否出現相關的可疑活動。
勒索軟體鎖定關鍵基礎設施(CI)下手的情況,最近幾個月不時有事故傳出。美國聯邦調查局(FBI)、美國網路安全暨基礎設施安全局(CISA)、英國國家安全局(NSA)、英國國家網路安全中心(NCSC)、澳洲網路安全中心(ACSC)於2月9日聯合提出警告,根據2021年的勒索軟體攻擊態勢,他們認為鎖定全球關鍵基礎設施的勒索軟體攻擊,手法將會變得更加複雜,影響程度也會更加嚴重,他們也提供相關業者加強防範的建議措施。
在這份勒索軟體攻擊的分析中,特別提及駭客對於攻擊目標規模轉移的現象,原因是自油品運輸業者Colonial Pipeline、大型肉品業者JBS、IT管理解決方案業者Kaseya遭到勒索軟體後,美國政府盯上這些發動攻擊的駭客組織進行圍剿,而使得有些駭客為了避免被美國政府追殺,改以針對中型組織下手。這樣的情況與近年來駭客為了將攻擊的利益最大化,偏好針對大型組織的策略有所不同。不過,針對英國、澳洲組織的駭客,則是廣泛攻擊不同大小規模的組織。
【資安產業動態】
彭博社於2月8日引述消息人士的說法指出,微軟考慮買下網路安全業者Mandiant,可能是受到這項傳聞的影響,當日Mandiant股價上漲17.86%,以17.75美元作收,微軟收盤亦漲1.2%,以304.56美元作收。該報導指出,微軟若是成功併購Mandiant,將有助於擴大該公司的資安防護產品版圖。微軟與Mandiant皆拒絕對於此事回應。
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-18
2024-04-15
2024-04-15