在今天的資安新聞中,駭客鎖定關鍵基礎設施(CI)發動攻擊事故,在9則新聞裡就有4則。這些事故包含了針對美國國防業者的後門程式SockDetour攻擊,以及伊朗駭客MuddyWater針對全球電信、國防、能源產業出手的情況。

在這兩天受到全球矚目,俄羅斯出兵烏克蘭的軍事行動,也傳出美國打算攻擊俄羅斯的關鍵基礎設施,希望以切斷軍隊後援的方式來阻止武裝衝突而引起外界關注。此項傳聞遭到白宮否認,但後續發展值得觀察。

而鎖定Exchange Server的攻擊行動中,有資安業者甫於前天揭露駭客使用滲透測試工具Cobalt Strike的事故,今天則有研究人員揭露勒索軟體Cuba,也透過這樣的管道入侵受害組織,發動勒索軟體攻擊。若是組織還沒有修補ProxyLogon、ProxyShell等重大漏洞,很有可能就會成為這些駭客的攻擊目標。

【攻擊與威脅】

SockDetour後門程式攻擊美國國防業者

美國國防產業遭駭客鎖定的情況,最近有研究人員發現埋藏超過2年的攻擊行動。資安業者Palo Alto Networks揭露在名為TiltedTemple的攻擊行動裡,駭客所運用的後門程式SockDetour,鎖定4家以上的美國國防業者下手,且至少有其中一家受害。駭客疑似從2019年7月開始利用此款後門程式,並藉由挾持網路連線的方式,在受感染的Windows伺服器上,以無檔案(Fileless)與無網路介面(Socketless)的方式靜悄稍地運作,而使得資安防護系統難以察覺異狀。

值得留意的是,駭客傳送這個後門程式的媒介,疑似是透過威聯通NAS設備,且很可能利用CVE-2021-28799等多個漏洞來入侵這些設備而得逞。對此,研究人員呼籲NAS用戶,要儘速安裝廠商提供的更新軟體,以免自己的NAS設備成為駭客作案工具。

伊朗駭客MuddyWatter鎖定全球關鍵基礎設施下手,美國、英國公布駭客使用的惡意程式

繼美國日前警告俄羅斯駭客針對關鍵基礎設施(CI)的攻擊行動後,伊朗撐腰的駭客組織也對這類設施出手。美國聯邦調查局(FBI)、網路安全暨基礎設施安全局(CISA)、美國網路司令部國家派遣部隊(CNMF)、英國國家網路安全中心(NCSC)聯合發出公告,表示他們觀察到伊朗駭客組織MuddyWater(亦稱Static Kitten、TEMP.Zagros),近期針對亞洲、非洲、歐洲、北美的政府與企業進行網路間諜行動,這些遭到鎖定的組織類型,涵蓋了電信、國防、能源產業,以及地方政府。

美國和英國指出,駭客運用多種惡意軟體發動攻擊,包含了PowGoop、Small Sieve、Canopy、Mori、Powerstats等,這些單位也公布上述惡意軟體的特徵,供相關組織防範。

美國傳出考慮對俄羅斯關鍵基礎設施進行網路攻擊,遭白宮否認

俄羅斯於2月24日對烏克蘭宣戰並發動攻擊,美國與歐盟多國嚴厲譴責,但傳出美國可能會透過網路攻擊來重創俄羅斯的國力,讓俄羅斯及早撤軍。NBC News取得4名知情人士(包含2名美國情報員、1名西方情報員,以及另一名未透露身分的人士)的說法指出,美國正在打算俄羅斯發動大規模的網路攻擊,美國總統拜登正在與相關人士討論如何出手,知情人士透露,這些攻擊目標包含了中斷俄羅斯的網路、停止電力供應,或是操控鐵路等策略,來阻絕俄羅斯對於軍隊的後勤補給能力。

消息人士指出,美國政府很可能會暗中發動攻擊,而不會承認他們正在籌畫此事。針對上述報導,美國國家安全會議發言人Emily Horne予以否認,認為報導內容偏離事實,未反映任何白宮所討論的事項。

俄羅斯駭客APT29鎖定土耳其大使館相關人員,發動釣魚郵件攻擊

國家級駭客組織近期動作頻頻,最近也意圖對於外交單位下手,意圖發動HTML挾帶攻擊(HTML Smuggling)。資安業者Fortinet發現,俄羅斯駭客組織APT29(亦稱Cozy Bear、Nobelium),近期假冒與土耳其大使館有關人士,以武漢肺炎的名義發送釣魚郵件,郵件內含HTML檔案的附件,一旦收信人開啟附件檔案,此HTML檔案就會透過惡意程式投放器EnvyScout,產生名為Covid.iso的ISO映像檔,收信人若是開啟ISO映像檔,就有可能讓電腦被植入滲透測試軟體Cobalt Strike,而讓駭客能進行監控。

勒索軟體Cuba鎖定Exchange Server而來

又是Exchange Server遭到鎖定的攻擊行動!資安業者Mandiant揭露駭客組織UNC2596的攻擊行動,這些駭客鎖定尚未修補重大漏洞的Exchange Server,如ProxyLogon、ProxyShell,入侵受害組織散播勒索軟體Cuba(亦稱Colddraw),主要是針對政府組織與公營事業單位而來,約有8成的受害者位於北美。

研究人員指出,UNC2596入侵受害組織的方式,從過往的垃圾郵件、惡意程式,如今偏好藉由應用系統的漏洞下手。因為,相較於透過釣魚郵件,利用應用程式的漏洞入侵受害組織較為容易成功,加上近年來被公布的漏洞數量大幅增加,使得許多駭客組織也傾向針對這些漏洞出手──特別是已經公布、但企業尚未修補的漏洞。研究人員認為,駭客透過這些已知漏洞的入侵受害組織的手法,未來將會更為頻繁。

惡意軟體Electron Bot偽裝成遊戲程式發布到微軟市集,意圖以被感染的電腦點擊特定網站,操弄社群網站的流量

駭客濫用應用程式市集來散布惡意軟體的情況,過往多半針對Google Play和蘋果App Store,但近期也有鎖定微軟市集而來的攻擊行動。資安業者Check Point揭露名為Electron Bot的惡意軟體,駭客將其偽裝成地鐵跑酷(Subway Surfer)、神廟逃亡(Temple Run)等遊戲,上架到微軟市集吸引Windows用戶下載安裝,一旦安裝這些遊戲,受害者的電腦就會被Electron Bot控制。研究人員至少發現超過5千臺電腦遭到感染,多數受害電腦位於瑞典、保加利亞、俄羅斯、百慕達、西班牙。

駭客的目標是用來操弄Facebook、Google、YouTube、Sound Cloud等社群網路平臺的流量,以這些電腦發動網站最佳化排名(SEO)中毒攻擊、廣告點擊,或是將網路流量導向特定網頁等。研究人員警告,攻擊者很有可能日後也會透過Electron Bot來投放其他惡意軟體。

 

【漏洞與修補】

三星手機存在加密缺陷,1億手機恐曝險

手機製造商所導入的加密機制存在設計瑕疵,很可能影響甚廣。以色列臺拉維夫大學(Tel Aviv University)的研究人員揭露,三星在安卓手機的TrustZone金鑰管理規畫上存在漏洞CVE-2021-25444、CVE-2021-25490,駭客可用於截取由硬體保護的金鑰機密資料。

這些漏洞影響三星自2017年至2021年推出的旗艦手機,包含S8、S9、S10、S20、S21系列機種,粗估有1億支手機受到波及。三星在去年獲報後已修補相關漏洞。

開源網頁郵件管理系統Horde存在XSS漏洞,恐導致用戶帳號遭挾持

網頁郵件管理系統存在的漏洞,很有可能導致用戶的電子郵件帳號受到波及。資安業者SonarSource指出,他們在開源的網頁郵件管理系統Horde Webmail上,發現存在長達9年的XSS漏洞,攻擊者一旦利用這項漏洞,就能藉由特製的OpenOffice文件,在收件人透過預覽模式檢視時,執行惡意JavaScript程式碼,進而存取使用者電子郵件信箱裡的所有敏感資料,而有可能找到存取受害組織內部應用系統的管道。

上述漏洞通報後已得到開發者的確認,但尚未有修補程式,研究人員呼籲管理者應停用OpenOffice文件的預覽功能。

 

【資安產業動態】

Cloudflare以1.62億美元買下雲端郵件安全業者Area 1 Security

雲端服務業者Cloudflare於2月23日宣布,將以1.62億美元的價格,買下雲端郵件安全服務業者Area 1 Security,並預告會將其郵件安全技術與Cloudflare的零信任安全平臺整合。而這是Cloudflare自2021年首度推出郵件安全解決方案之後,強化該領域產品線的併購案,期望能強化有關釣魚郵件的防護能力。

 

近期資安日報

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement