勒索軟體駭客採用雙重勒索的手法,在加密檔案之前竊取資料來要脅受害者可說是不時傳出,但現在攻擊者也試圖從中找到其他有價值的資料。例如,有資安業者發現,勒索軟體BlackCat在加密檔案前不只會竊取電腦檔案,還會從備份系統試圖盜取帳密資料。

與程式語言有關的漏洞很可能影響廣泛。資安業者發現存在於Python長達15年的漏洞,迄今尚未修補,他們估計至少有35萬個開源軟體專案存在相關風險。

【攻擊與威脅】

備份資料成為駭客竊取使用者帳密的新目標,勒索軟體BlackCat鎖定Veeam備份軟體竊取資料

資安業者賽門鐵克指出,今年8月勒索軟體駭客BlackCat所使用的攻擊工具,針對雙重勒索的做法上出現變化。該組織使用的資料外洩模組Exmatter,限縮只針對17種格式的檔案下手,並具備破壞檔案的能力;再者,這些駭客也採用名為Eamfo的惡意程式,來竊取Veeam備份資料裡面的帳密。

研究人員指出,駭客為了避免防毒軟體干擾攻擊行動,他們將Exmatter的程式碼重新改寫,而能躲過偵測;同時,駭客也運用名為GMER的Rootkit掃描工具刪除特定的處理程序。

出現命名模仿特定CSS框架的冒牌NPM套件,夾帶指令碼以散布惡意軟體

資安業者ReversingLabs發現惡意NPM套件material-tailwindcss,這個套件約自9月15日出現,一旦受害者將其安裝到開發環境,電腦就會下載以密碼保護的ZIP檔案,內容是能夠執行PowerShell指令碼的可執行檔,目前已被下載320次。

這個套件的名稱,是模仿名為Material Tailwind的CSS框架,而很有可能讓開發者上當。為了避免研究人員分析,駭客還在指令碼內加入休眠的機制,並在執行時先檢查能否連線到Google.com等合法網域。

摩根史坦利廢棄硬碟與伺服器洩露客戶資料,遭罰3,500萬美元

摩根史坦利旗下部門因報銷公司的舊資料系統不當,導致高達近1,500萬名客戶資料曝險,主管機關美國證券交易委員會(SEC)將祭出3,500萬美元罰款。

本案源於2015年該公司關閉財富管理部門MSSB時,未能妥善處理包含客戶重要個資的系統。當時他們聘請不具資料銷毀能力的清運公司,來處理報銷的數千個硬碟和伺服器,卻沒有監督此清運業者的執行過程,使得上述存放客戶個資的設備遭到轉賣,相關資料也隨之曝險。MSSB並未證實上述的調查結果,但將會向支付SEC罰款。

 

【漏洞與修補】

存在15年的Python漏洞恐影響35萬個開源專案

資安業者Trellix提出警告,程式語言Python的Tarfile模組裡存在CVE-2007-4559,此為目錄遍歷(Directory Traversal)漏洞,已存在長達15年,當時認為CVSS風險評分僅有6.8分而沒有得到修補。

但研究人員指出,攻擊者很容易利用此漏洞來執行任意程式,甚至是控制受害裝置。研究人員初步挑選257個專案進行調查,結果約有6成存在相關漏洞,所有使用Tarfile的開源專案有588,840個,粗估有逾35萬個專案曝險。該公司提供能檢測此漏洞的程式碼Creosote,供專案團隊確認是否受到影響。

Chrome瀏覽器傳出原型污染漏洞,恐導致特定防護API被繞過

資安研究員Michał Bentkowski發現,Chormium專案的程式碼裡存在原型污染(Prototype Pollution)漏洞,而有機會讓攻擊者繞過名為Sanitizer的API。這個API是內建於此瀏覽器的程式庫,用途是在使用者控制的輸入來源中,移除潛在的惡意程式碼,研究人員指出,此API在8月發布Chrome 105預設啟用,使得此漏洞影響的範圍變得相當廣。

該名研究員以特製的SVG圖檔來進行概念性驗證,一旦瀏覽器載入此圖檔物件,就會執行研究人員的JavaScript程式碼。此漏洞在研究人員揭露後引起Chromium社群的熱烈討論,並探討著手緩解的做法。

 

【其他資安新聞】

微軟Exchange伺服器遭植入惡意OAuth應用程式,並被用於散布垃圾郵件

電商平臺Magento重大漏洞CVE-2022-24086遭到利用,被用於植入木馬程式

駭客組織匿名者癱瘓伊朗政府網站,目的是抗議警方對婦女執法過當

 

近期資安日報

【2022年9月22日】  駭客以LinkedIn的付費版功能散布惡意連結、勒索軟體LockBit的製作工具遭到外洩

【2022年9月21日】  資安業者Imperva緩解持續長達4小時的大規模DDoS攻擊、駭客鎖定Oracle WebLogic伺服器挖礦

【2022年9月20日】  臺灣資安大會Cybersec 2022隆重登場、Uber遭駭疑為駭客組織Lapsus$所為

熱門新聞

Advertisement