又是Java生態系相關的軟體出現漏洞,而引起許多資安人員的關注。研究人員發現Java框架Spring Core存在極為嚴重的漏洞,並認為其嚴重程度很可能與去年12月公布的Log4Shell不相上下,而將這項尚未取得CVE編號的漏洞稱為SpringShell(或Spring4Shell)。

駭客組織Lapsus$甫於上週宣稱入侵微軟、Okta之後,本週又聲稱攻擊IT業者軟體開發承包商Globant,取得許多大型企業的軟體專案資料,Globant也證實他們遭到入侵。但即使已有成員傳出遭到逮捕,Lapsus$仍然不斷公布受害企業的資料。

烏克蘭戰爭開戰之後,美國衛星通訊服務業者Viasat隨即傳出遭駭的消息,影響歐洲許多衛星網路的用戶,後來也使得美國政府提出警告。而該公司在事發一個月後公布調查結果,指出駭客是透過VPN設備存取他們衛星網路的管理者網段而得逞。

【攻擊與威脅】

駭客組織Lapsus$入侵IT業者軟體開發承包商Globant,並得到證實

繼傳出部分成員遭到逮捕而曝露身分後,駭客組織Lapsus$再度外洩新的資料,而且是專門承接大型IT公司開發案的廠商。Lapsus$駭客於3月29日宣稱入侵了IT業者Globant,且公布該公司部分客戶的名稱,包括亞培(Abbott)、DHL、Facebook等都名列其中,駭客亦公布Globant的DevOps平臺相關資料,當中包含了Jira、Confluence、GitHub、Crucible等系統的管理員密碼。

Globant於3月30日發布聲明證實遭到入侵,並表示有少部分程式庫遭到未經授權存取,這些資料是極少數客戶的部分原始碼與專案文件,目前沒有證據該公司基礎架構的其他部分受到影響,也沒有客戶遭到波及的跡象。

蘋果、Meta傳出不慎將用戶資料交給假的執法單位

彭博社(Bloomberg)於3月31日引述多名消息人士的說法指出,駭客自2021年起,偽裝成執法人員,以「緊急資料請求」(EDR)的名義,向蘋果、Meta等多個IT業者索取用戶個資,然後加以濫用或是盜賣,駭客疑似先入侵數個國家的執法機關,從電子郵件系統翻出EDR文件範圍,並偽造官員的簽名,來向網路服務供應商(ISP)、電信業者、IT業者或社交平臺請求特定用戶的個資,接著駭客再用來進行社交攻擊或是暴力破解,進而得到受害者的帳密。

資安部落格Krebs on Security指出,最近1個月不斷公布IT業者資料的駭客Lapsus$,ID為WhiteDoxbin的主嫌先前曾參與另一個名為Recursion Team的網路犯罪集團,該集團專門出售執法機關的資料,而可能被用於上述的偽造EDR攻擊,該部落格認為,這很可能是Lapsus$入侵部分受害企業的管道。

烏克蘭戰爭開打即遭駭,美國衛星通訊服務業者Viasat公布調查結果

美國衛星通訊服務業者Viasat於2月24日遭駭,而導致Ka-Sat衛星網路服務受到影響,波及歐洲數個國家的用戶,此網路攻擊事故發生的時間點,正好就是俄羅斯正式向烏克蘭開始發動戰爭的當日,由於烏克蘭軍方也是該衛星網路的用戶,也使得外界猜測這次事故很可能與戰爭有關。

事隔一個月後,Viasat公布了初步的調查結果與處理進度。該公司指出,此起事故導致數千個烏克蘭用戶與數萬歐洲用戶受到影響,他們是原本是Euro Broadband Infrastructure Sàrl被併購前的用戶,並使用Tooway數據機。此次事故沒有波及政府機關與其他直接由Viasat管理的行動用戶,以及其他地區的使用者。根據該公司協同資安業者Mandiant與相關執行機關進行調查的結果,駭客可能是透過不當組態的VPN設備,入侵Ka-Sat網路的管理網段而得逞,進而關閉受害者的數據機,導致這些用戶無法重新連上網際網路。

Viasat認為,駭客的目的是中斷服務的運作,目前亦沒有證據顯示有用戶的資料遭到異常存取或是洩露,Ka-Sat網路與基礎設施也沒有遭到破壞,該公司將陸續對於尚未恢復服務的用戶,提供新的數據機設備使他們能夠重新連上網路。

駭客以提供進階身分驗證工具的名義,鎖定印度政府員工發動攻擊

政府機關遭駭客鎖定發動攻擊的情況時有所聞,但如今攻擊者有可能假借提供公部門軟體的名義下手,讓受害者難以察覺異狀。思科揭露由巴基斯坦駭客APT36(亦稱Transparent Tribe、Mythic Leopard)近期發動的網路間諜攻擊行動,這些駭客長期針對印度政府員工而來,但在最近的攻擊中,引起研究人員注意的是,駭客以散布該國政府開發的身分驗證應用程式Kavach Authentication做為幌子,對這些政府員工下手,一旦受害者執行安裝程式,會同時在電腦上部署前述的驗證工具與CrimsonRAT木馬程式,由於安裝了上述的身分驗證應用程式且能正常使用,受害者不易發現駭客的行徑。

而這個木馬程式所具備的功能,包含能從瀏覽器竊取各式帳密、列出電腦正在執行的處理程序等,而研究人員發現,在近期的版本裡,駭客還加入了側錄鍵盤、讀取及刪除檔案、執行任意命令等能力。

竊密軟體Mars Stealer透過Google搜尋廣告散布

利用Google搜尋廣告來散布惡意軟體的作法,近期又有新的攻擊行動出現。資安業者Morphisec揭露名為Mars Stealer的竊密軟體,該惡意程式約自2021年6月開始出現,並於多個地下論壇兜售,此竊密軟體具備截取各種瀏覽器與數款加密貨幣錢包用戶帳密的能力,駭客取得這項工具後,便透過垃圾郵件或是其他社交工程的方式散布。已有逾50個網域使用者的電腦遭感染此竊密程式,進而導致公司網域的密碼外洩,受害者的身分多半是學生、教職員,以及內容創作者,Morphisec亦發現加拿大醫療基礎設施供應商與企業遭駭。

值得留意的是,不少使用此竊密程式的駭客,疑似購買了Google搜尋引擎的廣告(Google Ads),並以提供常見應用程式(如開源文書處理軟體OpenOffice)的名義,來散布Mars Stealer,這也與許多受害者是因為上網搜尋應用程式,而導致電腦遭到此惡意軟體感染的情況互相呼應。

使用惡意軟體Purple Fox的駭客正在散布木馬程式FatalRAT

惡意軟體Purple Fox自2018年首度出現以來,如今已發展成為功能更為強大的惡意軟體載入器,駭客藉此進一步在受害電腦投放更多的攻擊工具。趨勢科技發現,駭客在1月使用假的Telegram安裝程式散布Purple Fox之後,這些駭客近期以更多的應用程式名義,如Chrome、Adobe Flash Player、WhatsApp等,引誘受害者下載安裝,一旦執行安裝之後,就會從C2中繼站下載第2階段的惡意軟體FatalRAT。

研究人員指出,駭客用來規避偵測的手法,包含了盜用合法的簽章簽署Purple Fox的Rootkit武器庫,以及濫用帶有簽章的驅動程式等,而能夠繞過防毒軟體的檢測。

惡意軟體載入器Verblecon被用於投放挖礦軟體

攻擊者用來投放挖礦軟體的工具,很有可能未來也被用於散布間諜軟體、勒索軟體,而引起研究人員的注意。賽門鐵克揭露他們從今年1月觀察到的惡意軟體Verblecon,駭客主要利用此惡意軟體在受害電腦植入挖礦工具牟利,且似乎打算竊取受害者的即時通訊軟體Discord帳密。研究人員指出,該惡意軟體透過加密和混淆機制,而使得其每次下載的酬載皆有所不同,進而成功逃避防毒軟體的偵測,除此之外,駭客亦加入了偵測是否在虛擬機器執行的能力。研究人員將取得的惡意軟體檔案上傳到惡意軟體分析網站VirusTotal,結果大部分的防毒引擎都視為無害。

對於這個惡意軟體採用相當複雜的規避偵測手法,攻擊者卻只是用於挖礦攻擊的現象,研究人員認為,很有可能只是使用它的駭客不甚了解此惡意軟體的能力,若是老練的網路罪犯取得,將能用來發動勒索軟體攻擊,或是從事網路間諜行動。

以程式語言Python開發的勒索軟體鎖定Jupyter Notebooks而來

駭客使用程式語言Python開發勒索軟體,並鎖定特定應用系統下手的現象,日前有人針對VMware虛擬化平臺發動攻擊,但近期有駭客針對自動化程式碼執行系統Jupyter Notebook而來。資安業者Aqua Security揭露近期發現的Python勒索軟體攻擊行動,駭客針對組態配置不當的Jupyter Notebook發動攻擊,下載攻擊所需的程式庫與工具,然後加密了所有檔案後再將自己刪除。研究人員指出,駭客沒有留下勒索訊息,研判該勒索軟體很可能還在開發階段,攻擊者的目的只是測試相關功能是否能發揮作用。

說好的不攻擊醫療院所破功了!美國俄克拉荷馬州診所遭到Suncrypt勒索軟體攻擊

美國的醫療機構陸續有攻擊事件傳出,而最近有針對當地原住民提供服務的醫院下手的事故,且疑似是宣稱不對醫療院所下手的駭客所為。資安新聞網站DataBreaches指出,美國俄克拉荷馬市印地安診所(OKCIC)於3月21日遭到網路攻擊,而導致部分電腦系統無法存取,該院隨即進行調查。

而針對其攻擊者的身分,勒索軟體Suncrypt聲稱是他們所為,並宣稱取得逾350 GB資料,內含病人的電子健康資料庫,以及該院財務資料等。由於勒索軟體Suncrypt曾於2020年9月宣稱不再攻擊醫療單位,此起攻擊的後續發展可能會引起資安人員的關注。

 

【漏洞與修補】

Java框架Spring驚傳RCE漏洞,危險程度恐直逼Log4Shell

又是與Java有關的嚴重軟體漏洞,而可能影響相當廣泛。臺灣資安業者TeamT5於3月30日發布資安通告,指出他們於29日得知Java框架Spring Core存在零時差漏洞SpringShell(亦有資安新聞網站稱為Spring4Shell),攻擊者很可能將其用於RCE攻擊,此漏洞存在於同時使用Spring框架與Java開發套件(JDK)9.0以上版本的開發環境,且當中運用了Spring衍生框架spring-beans-*.jar,或是含有CachedIntrospectionResults.class等元件。研究人員認為,這項漏洞的危險程度,很可能與去年12月公布的Log4Shell相當接近。

而對於SpirngShell的危險程度,另一家資安業者Flashpoint指出,此漏洞的CVSS第3版風險層級為9.8分,且根據資安新聞網站Bleeping Computer的報導,此漏洞已出現概念性驗證(PoC)攻擊程式,並被攻擊者者積極利用。由於Spring尚未提供修補程式,TeamT5建議用戶先透過網頁應用程式防火牆(WAF)的規則來防範相關攻擊。

威聯通警告NAS設備恐受到OpenSSL無限迴圈漏洞波及

加密通訊程式庫OpenSSL於3月15日發布安全性更新,修補CVE-2022-0778無限迴圈漏洞,臺灣NAS廠商威聯通(QNAP)於3月29日發布資安通告指出,執行特定版本QTS、QuTS hero,或QuTScloud作業系統的NAS設備,恐受到上述的OpenSSL漏洞波及,攻擊者能發動阻斷服務(DoS)攻擊來癱瘓NAS運作。該公司正在徹底調查,並將會提供安全性更新。

Wyze視訊鏡頭存在漏洞,攻擊者可存取錄下的畫面

物聯網(IoT)裝置的開發者很有可能只求產品功能正常,而沒有考量資訊安全,使得其產品多年曝露於相關漏洞的風險之中。防毒廠商Bitdefender指出,他們自20219年3月開始,發現Wyze Cam視訊鏡頭產品存在嚴重漏洞,攻擊者可在未經身分驗證的情況下,藉由網頁伺服器監聽網路連接埠80埠,進而存取安裝在視訊鏡頭裡的SD卡資料,且這樣的漏洞存在於此產品線的第1代至第3代機種。Wyze於今年1月29日,針對第2及第3代Wyze Cam發布新版韌體修補相關漏洞。

研究人員認為,使用者應重視家用物聯網裝置的安全,最好提供這些設備專用的無線網路SSID,並選用具備資安防護功能的路由器設備。

 

近期資安日報

【2022年3月30日】  NFT網路遊戲Axie Infinity的加密貨幣交易平臺遭駭、烏克蘭拆除散布戰爭假消息的Bot農場

【2022年3月29日】  惡意NPM套件鎖定特定領域開發者下手、駭客藉由WordPress網站向烏克蘭發動DDoS攻擊

【2022年3月28日】  Okta坦承延誤通報Lapsus$攻擊事件、Honda汽車的遙控器訊號可被複製並用來發動車輛

【2022年3月25日】  駭客組織Lapsus$部分成員遭警方逮捕而身分曝光、食品大廠雀巢疑遭匿名者入侵但予以否認

【2022年3月24日】  WPS Office漏洞被用於攻擊臺港菲彩券行、勒索軟體DeadBolt攻擊威聯通NAS的情況再度升溫

【2022年3月23日】  研究人員揭露駭客組織Lapsus$的攻擊手法、蘇格蘭心理諮商機構SAMH驚傳遭勒索軟體攻擊

【2022年3月22日】  勒索軟體駭客Lapsus$聲稱竊得微軟部分原始碼、軟體管理系統Chocolatey被用於攻擊法國組織

【2022年3月21日】  消費者信用業者環聯疑因管理者使用弱密碼驚傳資料外洩、AvosLocker鎖定臺灣等多國關鍵基礎設施而來

【2022年3月18日】  近20款華碩家用路由器產品遭到Cyclops Blink殭屍網路鎖定、駭客組織UNC2891鎖定ATM系統下手

【2022年3月17日】  Emotet鎖定美國報稅季發動攻擊、加密通訊程式庫OpenSSL存在憑證解析漏洞

【2022年3月16日】  新的殭屍網路病毒利用Log4Shell漏洞散布、俄羅斯駭客繞過雙因素驗證機制取得使用者權限

【2022年3月15日】  公視新聞備份出包導致勒索軟體攻擊事故曝光、汽車電氣零件供應商Denso遭勒索軟體攻擊

【2022年3月14日】  勒索軟體LockBit攻擊輪胎大廠普利司通、勒索軟體Lapsus$對遊戲公司下手

【2022年3月11日】  勒索軟體Conti宣稱在3個月內攻陷逾50個大型組織,GKE自動化管理工具Autopilot驚傳漏洞

【2022年3月10日】  俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞

【2022年3月9日】  APC不斷電系統驚傳可被挾持的漏洞、微軟發布3月份Patch Tuesday

【2022年3月8日】  Linux驚傳檔案竄改漏洞Dirty Pipe、駭客鎖定石油公司發動攻擊

【2022年3月7日】  駭客以俄烏戰爭名義散布木馬程式、勒索軟體Lapsus$洩露三星程式碼

【2022年3月4日】  駭客入侵烏克蘭政府網站散布該國宣布投降的假消息、勒索軟體Conti與Karma攻擊相同醫療機構

【2022年3月3日】  網釣攻擊鎖定幫助烏克蘭難民的國家、逾30所烏克蘭大學網站遭駭

【2022年3月2日】  駭客在俄烏戰爭持續發動網路攻擊、中國駭客運用後門程式Daxin長達10年

【2022年3月1日】  俄羅斯出兵烏克蘭,引發不同立場的駭客集團發動攻擊、汽車大廠Toyota疑因零件供應商遭駭停工

【2022年2月25日】  SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement