駭客組織利用Follina漏洞(CVE-2022-30190)發動攻擊的情況,也出現於烏克蘭戰爭的網路攻防中。烏克蘭電腦緊急應變小組(CERT-UA)曾於6月初偵測到相關攻擊行動,但當時並不確定攻擊者身分,該組織最近再度發布資安通告,指出俄羅斯駭客組織Sandworm疑似運用該漏洞發動攻擊,且至少2個月前就開始。
針對Linux主機的攻擊行動也相當值得留意。研究人員發現名為Syslogk的惡意程式,會將模式載入Linux核心執行而難以察覺其行蹤,駭客使用此惡意程式的目的,就是要用來控制後門程式運作而不致被發現。
【攻擊與威脅】
俄羅斯駭客Sandworm疑在2個月前開始利用Follina漏洞攻擊烏克蘭
與Windows診斷支援工具(MSDT)有關的零時差漏洞CVE-2022-30190(亦稱Follina),6月初已傳出被用於攻擊烏克蘭,但實際上在2個月前可能就有相關攻擊行動。烏克蘭電腦緊急應變小組(CERT-UA)於6月10日發布資安通告指出,俄羅斯駭客組織Sandworm疑似自4月開始,利用Follina發動攻擊。
攻擊者鎖定超過500名廣播電臺與報紙的從業人員,以提供互動式地圖服務的網址名單為由,發送帶有Word檔案為附件的釣魚郵件。收信人一旦開此附件檔案,電腦將會執行檔名為2.txt的JavaScript程式碼,進而載入惡意程式CrescentImp。CERT-UA提供了入侵指標(IoC)供組織偵測相關攻擊行為。
Linux蠕蟲程式Syslogk於受害主機載入後門程式
駭客透過開源專案,針對Linux開發攻擊程式的情況,最近已有數起事故。例如,防毒業者Avast揭露名為Syslogk的惡意程式,這是駭客透過開源的Rootkit程式Adore-Ng開發而來的攻擊工具,能將其模組載入Linux核心,從而隱藏特定的檔案資料夾與網路流量,並在受害主機植入後門程式Rekoobe。
研究人員指出,該Rootkit程式第一次載入到Linux核心後,便會將自己從已經安裝的軟體模組清單裡刪除,來規避管理人員檢查,而在後續部署後門程式之後,此後門程式會處於休眠狀態而不會有任何行動,直到上述Rootkit收到攻擊者特定的魔術封包(Magic Packet),後門程式才會開始運作,此後Syslogk依照攻擊者指示啟動或暫停後門程式運作,來降低被發現的機會。研究人員呼籲IT人員要提高警覺,來防範相關攻擊行動。
勒索軟體BlackCat透過ProxyLogon漏洞入侵受害組織
勒索軟體BlackCat(亦稱Alphv)疑似與之前攻擊美國大型油料輸送業者的另一個駭客Darkside有關,而引起研究人員的關注,最近又有相關的動態揭露。微軟近期公布他們對於BlackCat的發現,這群駭客在部分攻擊行動中,對於Exchange伺服器漏洞ProxyLogon下手,而成功進入受害組織的網路環境,進而掌握網域伺服器、管理員帳號,以及網路裡所有的電腦等相關資訊,過了約兩天半,攻擊者藉由PowerShell程式碼ADRecon,收集AD環境的各式資料,然後使用SMB協定或遠端桌面連線(RDP)存取受害電腦,並竊取組織的內部機密資料,最終使用PsExec散布並執行勒索軟體。
而對於攻擊者的身分,研究人員至少確定有兩個駭客組織使用BlackCat,分別是DEV-0237(亦稱FIN12)與DEV-0504,前者是從先前使用的攻擊工具為Hive,轉換成BlackCat的用戶,後者則是往往會利用駭客組織LockBit提供的竊密工具StealBit,在加密檔案前下載受害電腦裡的檔案。
中國駭客Gallium利用木馬程式PingPull攻擊電信業者、金融與政府單位
美國日前針對中國駭客攻擊電信業者的行動提出警告,最近又有研究人員發現,駭客使用難以發現的木馬程式,攻擊電信業。資安業者Palo Alto Networks指出,中國駭客組織Gallium(亦稱Softcell),以攻擊東南亞、歐洲、非洲電信業者在網路犯罪者之間闖出名號,但最近一年該組織擴大其攻擊範圍,也開始對於金融機構與政府單位出手,同時駭客運用了名為PingPull的木馬程式,這個木馬程式提供反向Shell的功能,讓駭客能遠端下達命令。
研究人員針對其中3個版本的PingPull進行分析,其共通點是木馬程式都是冒統系統服務的方式運作,但攻擊者疑似規避特定的資安防護系統,這些木馬程式與C2連線的過程中,使用了不同的網路通訊協定:ICMP、HTTPS、TCP。研究人員確定該組織在最近一年內,至少鎖定了9個國家下手。
【其他資安新聞】
Mitel旗下IP電話存在漏洞,攻擊者恐用於取得root權限
近期資安日報
【2022年6月13日】 勒索軟體Hello XD加密電腦檔案同時會植入後門、駭客組織鎖定WordPress電商網站發動側錄攻擊
【2022年6月10日】 惡意軟體Symbiote濫用BPF流量隱匿攻擊意圖、已修補的SAP漏洞遭到濫用
【2022年6月9日】 殭屍網路Emotet企圖竊取Chrome用戶的信用卡資料、美國針對中國駭客攻擊網路設備的漏洞提出警告
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-03
2024-12-02