在今天的資安新聞裡,網路間諜行動可說是相當引人注目,其中中國駭客APT41、APT10的手段非常罕見,因為他們發動了勒索軟體攻擊,但根據研究人員的調查,這些攻擊行動並非是主要目的,而很可能是駭客想要掩蓋網路間諜的行動。

而在漏洞的利用攻擊也相當值得注意。在利用Log4Shell漏洞的攻擊行動裡,有不少是針對VMware遠距工作平臺而來,而這樣的情況從前述漏洞揭露至今,仍不時有攻擊事故發生,而使得美國政府近期再度提出警告。

思科於6月22日發布的資安通告中,指出他們旗下的防火牆產品存在CVSS風險評分達9.1分的漏洞,並針對部分元件開始提供修補程式。

【攻擊與威脅】

中國駭客透過勒索軟體攻擊掩人耳目,在受害組織植入木馬程式

駭客發動勒索軟體攻擊的動機千奇百怪,但最近有人目的竟是為了轉移焦點,讓受害組織忽略他們真正的攻擊意圖。資安業者Secureworks發現,中國駭客組織APT10(該公司稱為Bronze Starlight)、APT41(Bronze Riverside)於去年初,開始利用惡意軟體載入器HUI Loader,入侵受害組織後開始投放勒索軟體,而該組織使用的勒索軟體相當多元,包含了LockFile、AtomSilo、Rook、Night Sky,以及Pandora。

但詭異的是,這些勒索軟體在受害組織活動的時間都很短,像是Night Sky僅有一天,而時間最長的是AtomSilo,但不超過3個月;再者,則是駭客攻擊的受害組織不算多,一年多總共加起來僅有21個。

經研究人員的調查,有四分之三的攻擊行動與中國政府的利益相關,且這些駭客所使用的工具與基礎設施疑似也來自中國政府資助,他們推測該組織發動勒索軟體攻擊的目的並非向受害組織要錢,而是打算利用這樣的攻擊事故掩蓋網路間諜行動。研究人員指出,對於駭客來說,發動勒索軟體攻擊不只能誤導受害組織因應攻擊事件的方向,還可以藉由這類工具湮滅相關證據。

網路間諜公司疑似與ISP狼狽為奸,攻擊義大利與哈薩克手機用戶,但背後原因很可能是當地政府主導

網路間諜公司無所不用其極想要為客戶監控特定人士的行蹤,但現在傳出有網路服務業者(ISP)參與其中,誘導受害者下載惡意程式。Google旗下的威脅情報小組,最近揭露了義大利網路間諜公司RCS Labs涉案的攻擊行動,該行動鎖定義大利與哈薩克的手機用戶展開攻擊,但研究人員發現,駭客針對iPhone用戶攻擊的過程裡,ISP竟然參與了部分行動,這些ISP疑似關閉受害者的行動網路服務,而能讓駭客假借恢復電信網路的名義,引誘受害者下載惡意程式。

根據研究人員的分析,受害者下載的檔案含有6款攻擊程式,這些惡意軟體利用了4個已知漏洞與2個零時差漏洞(CVE-2021-30883與CVE-2021-30983),一旦成功植入受害手機,駭客將能存取記憶體、安裝程式,或是建立檔案。由於iOS使用者只能透過App Store下載軟體,RCS Labs濫用了Apple Developer Enterprise Program簽章來繞過相關限制。

而針對安卓手機的部分,研究人員看到駭客假借提供三星應用程式的名義,來散布RCS Labs的間諜程式Hermit,這樣的發現與資安業者Lookout相同。但為何ISP會配合駭客從事網路間諜行為?研究人員認為,義大利與哈薩克的網路間諜攻擊行動很有可能是當地政府主導,而使得這些業者必須配合。

鎖定立陶宛政府的DDoS攻擊大幅增加,疑為俄羅斯的報復行動

自歐美多個國家於4月底提出警告,俄羅斯駭客不再只是集中火力攻擊烏克蘭,而是將範圍擴及曾經幫助烏克蘭的盟友,此後義大利在5月陸續遭到俄羅斯駭客組織Killnet的DDoS攻擊,但現在又有其他國家疑似遭到鎖定。

立陶宛國家網路安全中心(NKSC)於6月23日提出警告,指出針對該國政府單位的DDoS攻擊急劇增加,當地的運輸單位、金融機構,以及其他大型組織一度出現服務暫時中斷的現象,他們呼籲關鍵基礎設施要遵循NKSC的防護建議,來因應相關攻擊行動。

但攻擊者的身分為何?根據資安新聞網站Bleeping Computer的報導,名為Legion – Cyber Spetsnaz RF的俄羅斯駭客組織,透過Telegram頻道宣稱要對許多立陶宛組織發動攻擊,這些組織包含了大型銀行、物流業者、機場、能源業者等。該新聞網站認為,此駭客組織疑似因立陶宛政府封鎖部分俄羅斯的運輸管道,而打算藉此採取報復行動。

日本汽機車零件製造商Nichirin遭勒索軟體攻擊

最近半年,駭客鎖定日本的汽車零件供應商發動勒索軟體攻擊,已有數起事故,現在又再度出現有相關業者受害。根據資安新聞網站Bleeping Computer的報導,生產多種汽機車軟管零件的Nichirin,於6月22日發布聲明指出,他們的美國子公司Nichirin-Flex USA於14日遭到勒索軟體攻擊,導致相關訂單的出貨可能會受到影響,美國分公司網站一度於17日早上發生故障而無法存取。該公司表示,他們正在調查駭客如何入侵,並警告員工或是客戶有可能會收到假冒該公司的惡意郵件。

駭客持續利用Log4Shell漏洞攻擊VMware遠距工作系統

自去年12月Log4Shell漏洞公布後,不時傳出有駭客用來攻擊攻擊VMware Horizon遠距工作系統,這樣的情況目前仍在持續當中,而使得美國政府提出警告。美國網路安全暨基礎設施安全局(CISA)、美國海岸警衛隊網路司令部(CGCYBER)聯手,提出警告指出,駭客迄今仍針對尚未修補Log4Shell漏洞的VMware Horzion、Unified Access Gateway伺服器下手,進而取得受害組織網路的初始存取權限,CISA與CGCYBER提供相關攻擊細節,並呼籲組織應儘速安裝更新軟體,同時也要儘可能避免該系統直接曝露於網際網路上。

 

【漏洞與修補】

思科公布防火牆產品線重大漏洞

思科近期針對旗下產品發布資安通告,這些漏洞存在於防火牆與郵件安全系統。其中,CVSS風險評分最高的是CVE-2022-20829,該漏洞存在於思科旗下的ASA防火牆產品,評分高達9.1分,一旦取得管理者權限的攻擊者利用這項漏洞,可上傳含有惡意程式碼的ASDM映像檔到前述的防火牆系統,該公司指出,防火牆必須執行ASA軟體9.18.2、ASDM軟體7.8.1.150,以及包含ASDM-IDM載入器1.9版的ASDM映像檔,才能完全防堵這項漏洞,且沒有安裝修補程式以外的緩解措施。目前思科已推出了ASDM軟體7.8.1.150版,但ASA軟體的修補程式可能要到8月才能提供。

 

【其他資安新聞】

紅帽RHEL宣布支援物聯網裝置安全規範FDO

SMA流程自動化系統OpCon修補重大漏洞,攻擊者恐用於取得root權限

 

近期資安日報

【2022年6月23日】  威聯通NAS設備恐受到PHP漏洞波及、Icefall漏洞恐導致10個廠牌的OT裝置曝險

【2022年6月22日】  駭客組織ToddyCat鎖定臺灣等國政府機關發動攻擊、駭客可竄改Office 365配置來發動勒索軟體攻擊

【2022年6月21日】  駭客意圖竊取美國企業的Microsoft 365帳密、研究人員揭露新的NTLM中繼攻擊手法

熱門新聞

Advertisement