今天全球關注的焦點,就是俄羅斯總統普丁正式下令對烏克蘭出兵,且已傳出傷亡。但在昨天,就有網路攻擊的事故,鎖定烏克蘭的政府機關與2家主要銀行而來。而在俄羅斯與烏克蘭這幾個月關係極為緊張的情勢下,這種大規模網路攻擊在今年的1月上旬、2月中旬就出現2次,駭客試圖癱瘓這些機關的網站,並且使用資料破壞工具(Wiper)來抹除數百臺電腦的資料。研究人員認為,駭客這幾次的攻擊行動,主要目的還是在動搖烏克蘭民眾對於政府的信心。

鎖定中小企業與SOHO族的網路設備而來的殭屍網路,在2018年曾出現VPNFilter惡意軟體,不斷被用於感染路由器等網路設備。但英國和美國近期提出警告,名為Cyclops Blink的惡意軟體,很可能會接續VPNFilter的地位,且同樣疑似是由俄羅斯國家級駭客製作。但值得留意的是,VPNFilter鎖定的網路設備,多半是路由器,但Cyclops Blink卻是針對資安業者WatchGuard的防火牆下手。

駭客針對使用NPM套件的開發者下手,最近又有事故傳出,駭客在NPM的市集上傳25個惡意套件,目的是要挾持開發人員的Discord帳號。

【攻擊與威脅】

烏克蘭政府機關、兩大銀行再遭DDoS攻擊

俄羅斯與烏克蘭之間的情勢緊張,自今年1月上旬、2月中旬出現鎖定烏克蘭政府單位的網路攻擊事件後,最近又再傳出事故。烏克蘭國家特別通訊暨資訊保護局(SSSCIP)於2月23日指出,多個政府機構與銀行的網站遭到大規模DDoS攻擊,遭到攻擊的資訊系統被迫中斷服務,或是運作狀態時好時壞。

根據網路流量分析業者NetBlocks的調查,該國外交部、國防部、內政部、烏克蘭國家安全局(SSU)、內閣總理的網站,以及該國的兩大銀行PrivatBank與Oschadban,皆被迫中斷運作。

針對烏克蘭政府近日遭駭,研究人員揭露攻擊工具細節

在2月23日針對烏克蘭政府機官與主要銀行的攻擊事件中,駭客不只對於網站發動DDoS攻擊,還疑似使用資料破壞工具(Wiper)下手。資安業者ESET與賽門鐵克發現,這次的攻擊行動中,駭客使用了新的資料破壞工具,感染數百臺電腦。

ESET指出,這次攻擊採用的惡意軟體HermeticWiper,為2021年12月28日編譯,研判駭客很可能從2個月前開始策畫,且該軟體為盜用合法簽章的驅動程式,並以服務的型式於受害電腦執行。此資料破壞工具同時能針對電腦的主要開機磁區(MBR)下手,使得電腦無法進入作業系統。賽門鐵克亦公布此軟體的入侵指標(IoC),根據VirusTotal約70款防毒引擎的偵測,僅有不到30款識別為有害。

殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備,美國、英國提出警告

新興的殭屍網路病毒鎖定中小企業、SOHO族的網路設備而來,使得美國和英國政府提出警告。英國國家網路安全中心(NCSC)、美國聯邦調查局(FBI)、美國國家安全局(NSA)、美國網路安全暨基礎設施安全局(CISA)聯合指控,俄羅斯政府支持的駭客組織Sandworm,自2019年6月開始,使用名為Cyclops Blink的殭屍網路病毒,攻擊WatchGuard小型網路設備。

WatchGuard也對此發布公布指出,該廠牌約有1%防火牆遭到相關攻擊,但尚未出現客戶資料外洩的跡象。

25個NPM惡意套件偽裝成知名套件,意圖挾持受害者的Discord帳號

又有攻擊者上傳惡意Node Package Manager(NPM)套件,並鎖定受害者即時通訊平臺Discord帳號的情況。資安業者JFrog發現,NPM套件市集出現25個惡意套件,多數模仿熱門的colors.js等套件,而這些駭客散布惡意套件的目的,疑似是要取得Discord的Token,進而挾持受害者的帳號。

駭客透過惡意軟體Dridex發動勒索軟體攻擊

使用惡意軟體Dridex的駭客組織,也疑似開始研發勒索軟體並用於攻擊。資安業者Sophos揭露2起勒索軟體Entropy的攻擊事故,兩起事故的共通之處,在於駭客使用了Cobalt Strike的Beacon與惡意軟體Dridex建立後門。

研究人員比對Dridex和Entropy的程式碼結構與混淆手法,認為兩者與另一款勒索軟體DoppelPaymer可能系出同源。由於上述的攻擊行動中,駭客都是透過應用系統或作業系統的漏洞入侵受害組織,研究人員再度呼籲修補漏洞的重要性。

伺服器監控工具Zabbix的RCE漏洞已被用於攻擊行動

甫被揭露細節的漏洞,很快就成為駭客利用的對象。伺服器監控工具Zabbix於2021年底修補CVE-2022-23131、CVE-2022-23134等2個嚴重漏洞,相關細節研究人員於今年2月16日公布。但美國網路安全暨基礎架構安全局(CISA)於2月22日提出警告,指出這些漏洞已經被用於攻擊行動,並要求聯邦機構要於3月8日前完成修補。

美國國家安全局製作Linux後門程式,暗中行動長達10年

駭客組織影子掮客(Shadow Brokers)於2016至2017年,拍賣網路攻擊組織Equation Group的攻擊工具,工具的來源疑似與美國國家安全局(NSA)有關而引起軒然大波,到了最近又有研究人員公布新的監控工具。

中國資安業者盤古實驗室(Pangu Lab)揭露名為Bvp47的Linux後門程式,攻擊者鎖定電信、軍事、教育、經濟、科學領域的組織,此後門程式已被用於攻擊45個國家、287個組織。開發者以RSA非對稱加密演算法保護此後門程式,必須輸入私鑰才能執行,研究人員近期在影子掮客洩露的資料中,找到可用私鑰而能夠進一步分析,進而認定該後門程式與NSA有關。

 

近期資安日報

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement