烏克蘭戰爭已經進行快5個月,俄羅斯駭客的網路攻擊行動也持續進行,今天有不少新聞是與俄羅斯駭客的攻擊行動有關。其中,又以駭客組織APT29針對外交使館的攻擊手法相當引人注目,因為這些駭客在過程中利用了兩個檔案共享服務Dropbox、Google Drive,來進行不同階段的攻擊行動。

鎖定Mac電腦的惡意軟體CloudMensis也相當值得留意,駭客濫用了檔案共享服務Dropbox、Yandex、pClould來架設C2,並搭配macOS已知漏洞來發動攻擊。研究人員認為,攻擊者還有可能利用其他漏洞來繞過macOS的防護機制,呼籲用戶要將作業系統升級到最新版本。

駭客組織8220的動作頻頻,而最近有資安業者指出,駭客建置的殭屍網路規模,較一年前增加15倍,研究人員認為,此舉與加密貨幣價格不斷下跌有關,使得駭客要擴大規模來維持營收。

【攻擊與威脅】

俄羅斯駭客APT29濫用檔案共享服務Dropbox、Google Drive來規避偵測

為了隱匿攻擊行動,駭客組織濫用檔案共享服務的情況越來越頻繁。資安業者Palo Alto Networks 指出,俄羅斯駭客APT29(亦稱Nobelium、Cozy Bear)今年5月初至6月針對西方外交使團、全球駐外大使館的攻擊行動裡,濫用了Google Drive與Dropbox,散布惡意HTML檔案EnvyScout,並進一步在受害電腦投放Cobalt Strike與其他惡意軟體。研究人員向Google、Dropbox通報,兩家業者已封鎖相關攻擊行動。

俄羅斯駭客Turla以提供DDoS攻擊工具為由,對親烏克蘭人士的安卓手機下手

在烏克蘭戰爭裡,力挺烏克蘭的人士會想要利用DDoS攻擊工具,來癱瘓俄羅斯的網路,意圖牽制該國的軍事行動。對此,俄羅斯駭客曾經以散布DDoS攻擊工具為由,鎖定聲援烏克蘭人士的電腦植入惡意軟體,而現在駭客也針對這些人士的手機下手。

Google發現俄羅斯駭客組織Turla,近期以提供Cyber Azov安卓手機DDoS攻擊工具的名義,對想要癱瘓俄羅斯網路基礎設施的人士下手。而Turla製作Cyber Azov的模仿對象,很可能就是名為StopWar的安卓App。

比利時政府指控遭到多個中國駭客組織攻擊

中國駭客疑似大肆針對西方國家進行攻擊的情況,最近再度上演。比利時外交部於7月18日控訴,中國政府支持的多個駭客組織:Gallium、APT27、APT30、APT31,鎖定該國的國防部與內政部下手,並要求中國政府出面處理,但除此之外並未對網路攻擊事故進一步說明。對此,中國駐比利時大使館予以否認,認為這是比利時的不實指控。

間諜軟體CloudMensis鎖定Mac電腦而來

駭客鎖定Mac電腦開發後門程式,並繞過了macOS作業系統的防護機制來洩露資料。資安業者ESET在今年4月發現名為CloudMensis的惡意軟體,駭客主要將其用於從Mac電腦竊密,此惡意軟體具備截圖螢幕畫面、列出電子郵件與附件內容、列出外接儲存裝置檔案,並能透過Shell命令將資料上傳到雲端檔案共享服務。此外,駭客透過Dropbox、Yandex、pClould等檔案共享服務架設C2,而難以追蹤攻擊來源。

研究人員發現,此惡意程式藉由CoreFoundation漏洞CVE-2020-9934,能繞過macOS的Transparency Consent and Control(TCC)機制,而能在不需使用者授權的情況下,取得螢幕截圖與鍵盤輸入的資料。研究人員指出,雖然CVE-2020-9934已得到修補,但駭客還有可能利用其他漏洞來繞過TCC,呼籲用戶使用最新版本的macOS來降低風險。

遊戲業者Roblox內部資料遭到公開,起因是駭客索討贖金不成

駭客鎖定遊戲產業下手的情況,可說是越來越常見。根據新聞網站Motherboard的報導,有駭客公開了4 GB的文件檔案,內容疑似是電玩遊戲Roblox創作者的電子郵件信箱、身分證明文件,以及表單。Roblox向該新聞網站表示,這些資料很可能是因為他們拒絕了駭客的勒索而被公開,他們已尋求外部資安專家進行合作,並強化他們的系統來防堵相關攻擊。而對於Roblox遭到入侵的原因,該公司表示很可能是其中一名員工遭到網路釣魚攻擊所致。

駭客組織8220已控制逾3萬臺雲端伺服器組成殭屍網路

駭客組織8220因日前利用Atlassian Confluence零時差漏洞,來將此種協作平臺伺服器用於挖礦而引起研究人員關注,這個組織架設的殭屍網路規模大幅增長,帶來的威脅可說是更加險峻。資安業者SentinelOne提出警告,他們觀察到駭客組織8220所建置的殭屍網路,規模從去年中旬的2千臺伺服器,現在已控制超過3萬臺伺服器。研究人員指出,駭客很可能是因為加密貨幣價格大幅下跌,為了能保有相同的利潤,而增加殭屍網路挖礦伺服器的數量。

中國政府要求阿里巴巴高層調查10億個資外洩事故

在7月初,自稱ChinaDan的駭客兜售含有10億人民個資的資料庫,並聲稱資料來自上海國家警察,這起事件傳出在媒體報導之前,中國政府和雲端服務業者阿里巴巴早就知情。根據華爾街日報(WSJ)在7月14日的報導,阿里巴巴在媒體揭露之前就得知資料外洩情事,並於7月1日召開內部緊急會議,暫時關閉資料庫檢查相關程式碼,隨後中國監控機構就開始約談該公司的高階主管。

資安業者LeakXI也針對此事公布進一步的調查結果,該公司表示,駭客疑似在6月26日動手偷走資料庫,外洩的資料來源是未受保護的Kibana實例,而使得Elasticsearch叢集採用了預設的使用者名稱及密碼,也沒有其他身分驗證機制來保護資料,而能讓駭客輕易將資料偷走。

 

【資安防禦措施】

群創光電加入FIRST國際資安應變組織,成國內高科技製造業首例

面板大廠群創光電在6月25日,正式加入國際資安事件緊急應變小組論壇(Forum of Incident Response and Security Team,FIRST),是臺灣第12個加入這個聯盟的單位,值得一提的是,該公司是臺灣首家高科技製造業加入FIRST的成員。事實上,近期國際間也不乏高科技製造業加入的例子,像是艾司摩爾(ASML)在2020年12月加入,AMD在2021年7月加入。

 

【其他資安新聞】

針對俄羅斯頻繁對歐洲國家發動DDoS攻擊,歐盟予以譴責,並呼籲成員國要強化網路韌性

建材廠商Knauf遭勒索軟體Black Basta攻擊

印度證券交易所坦承遭到網路攻擊,但聲稱這是「小」事故,且沒有資料遺失

圖片處理工具ImageGear存在漏洞,恐被用於執行程式碼

資安業者Zscaler揭露安卓銀行木馬Joker、Facestealer、Coper透過Google Play市集散布

 

近期資安日報

【2022年7月19日】  可成科技營業秘密遭員工外洩、研究人員警告NFS漏洞極為容易利用

【2022年7月18日】  近160萬WordPress網站遭到外掛程式漏洞攻擊、多家企業級系統軟體廠商著手修補Retbleed

【2022年7月15日】  駭客利用網釣工具包竊取PayPal用戶個資、惡意軟體ChromeLoader以瀏覽器外掛來入侵受害電腦


熱門新聞

Advertisement