自2021年12月到2022年1月,駭客組織利用Log4Shell漏洞,來攻擊VMware遠距工作平臺的情況,已至少發生5起,但這樣的攻擊行動竟在2月再度出現!資安業者揭露伊朗駭客組織TunnelVision近期的攻擊行動,並公布其繁複的手法。

隨著遠端工作的需求增加,協作平臺也變得受到歡迎,駭客針對這類平臺下手,用來散布惡意軟體。研究人員揭露駭客利用微軟Teams投放惡意軟體的手法,並指出近期每個月都會看到數千起攻擊行動,呼籲用戶要提高警覺。

【攻擊與威脅】

又是鎖定Log4Shell漏洞,對VMware遠距工作平臺的攻擊行動,這次動手的是伊朗駭客TunnelVision

國家級駭客利用Log4Shell漏洞,針對VMware Horizon遠距工作平臺的情況,近期又有新的攻擊行動出現。資安業者SentinelOne揭露伊朗駭客組織TunnelVision的攻擊行動,針對中東與美國而來,這些駭客擅長運用隧道工具建立連線,並利用甫被揭露的「1日」漏洞,如Fortinet SSL VPN漏洞CVE-2018-13379、微軟Exchange的ProxyShell漏洞等,近期該組織則是利用Log4Shell漏洞,來攻擊VMware Horizon。

駭客藉由該遠距工作平臺的Tomcat伺服器元件,執行PowerShell命令,並使用反向殼層(Reverse Shell)於受害組織植入後門程式。SentinelOne認為,他們本次追蹤的駭客組織,很可能與微軟揭露的Phosphorus、CrowdStrike揭露的Charming Kitten駭客組織有所關連。

駭客透過Teams討論群組散布惡意程式,恐能對數百萬人下手

每月擁有近3億活躍用戶的微軟協作平臺Teams,如今也變成駭客散布惡意軟體的管道。Check Point旗下的郵件安全業者Avanan,在2022年1月觀察到駭客利用Teams的攻擊行動,駭客疑似盜用Microsoft 365帳號,然後在Teams的討論群組裡投放惡意程式檔案,一旦受害者下載並執行,這個檔案就會在Windows登錄檔寫入資料,並植入DLL檔案,進而控制受害電腦。

研究人員每月看到數千起這類攻擊事件,並表示目前Teams對於惡意URL或檔案檢測機制仍有所不足,加上使用者很可能不甚熟悉該協作平臺,而讓攻擊者有機可趁。Avanan認為,駭客能輕易藉此對數百萬人下手,日後相關的攻擊行動將會顯著增加。

紅十字會遭駭調查結果出爐,疑似是國家級駭客鎖定Zoho密碼自助管理平臺漏洞下手

紅十字國際委員會(ICRC)於1月下旬遭到網路攻擊,使得51.5萬流離失所的難民資料外洩,而最近該組織公布他們的調查結果,認為攻擊者的身分應該是國家級駭客,於2021年11月9日入侵他們網路環境,並針對尚未修補漏洞的密碼自助管理平臺Zoho ManageEngine ADSelfService Plus下手,利用CVE-2021-40539而得逞。目前紅十字會無法確定攻擊者的身分,但也沒有收到勒索訊息,但表明願意與攻擊者進行溝通。

 

【漏洞與修補】

VMware虛擬化平臺存在漏洞,可被惡意軟體用於逃脫VM並攻擊主機

研究人員在漏洞挖掘競賽發現的嚴重漏洞,恐讓惡意程式用來攻擊虛擬化平臺的伺服器。VMware於2月15日,針對旗下的虛擬化平臺產品ESXi、Workstation、Fusion、Cloud Foundation,修補5項漏洞。其中,有4個漏洞是崑崙實驗室於去年的中國天府盃駭客大賽中找到,CVSS風險層級介於8.2至8.4分。其中的CVE-2021-22040、CVE-2021-22041,能讓具備VM管理權限的使用者,在虛擬化主機執行VMX處理程序;而CVE-2021-22042, CVE-2021-22043,則是可讓攻擊者用於擴張權限。VMware除了針對相關產品發布更新軟體,也表示尚未發現漏洞遭到利用的跡象。

非關聯式資料庫Apache Cassandra出現RCE漏洞

非關聯式資料庫(NoSQL)Apache Cassandra所提供的自定義函數(UDF)功能,竟出現能被輕易利用的漏洞,而引起研究人員關注。資安業者JFrog於2月15日,揭露非關聯式資料庫Apache Cassandra的漏洞,攻擊者一旦利用,將能進行RCE攻擊,漏洞編號為CVE-2021-44521,CVSS風險層級為8.4分。此漏洞只有在IT人員為Cassandra啟用了自定義函數功能,才有可能被觸發。但由於攻擊者想要利用這個漏洞極為容易,研究人員呼籲IT人員要儘速安裝更新軟體,或是完全停用UDF來緩解漏洞。

電商平臺Magento再傳重大漏洞,且已出現攻擊行動

繼Adobe於2月13日,針對電子商務平臺Magento(商業版本稱為Adobe Commerce)修補重大漏洞CVE-2022-24086後,研究人員再度發現,類似的攻擊手法可繞過已修補的Magento。資安業者Positive Technologies於2月17日揭露,他們能夠針對已完成修補的Magento,使用未經身分驗證的使用者身分,來進行RCE攻擊。

這項新的漏洞Adobe將其列管為CVE-2022-24087,CVSS風險層級為9.8分,且表明同樣已被駭客用於攻擊。Adobe已提供更新軟體,呼籲IT人員要儘速修補。

 

【資安防禦措施】

為防堵國家關鍵技術外流,行政院修正國安法祭出重罰,最高12年徒刑、併科罰金1億元

近年來臺灣員工企圖竊取公司機密,投靠中國公司的情況,已有數起事故傳出。針對這樣的情況,行政院於2月17日,公布國家安全法(國安法)與兩岸人民關係條例部分條文修正草案,其中,針對國安法的部分,新增國家核心關鍵技術經濟間諜罪,違反者可處5年至12年有期徒刑、得併科罰金500萬至1億元,並強調犯案未遂也會予以處罰。行政院長蘇貞昌表示,紅色供應鏈滲透臺灣產業的情況日益嚴峻,不斷挖角臺灣高科技人才,將對於臺灣的資訊安全、產業競爭力、國家安全造成嚴重危害,政府必須透過法律層面來加以管控。

但對於國家核心關鍵技術的定義為何?行政院發言人羅秉成表示,上述修法草案通過後,將由改組後的國科會負責制定子法來定義適用範圍,並由行政院公告。

 

近期資安日報

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement