從9月底最後一周的資安新聞來看,中國駭客APT41、TA413的攻擊行動相當值得留意,其中前者運用了具備多種檔案格式特徵的CHM檔案來發動攻擊,而使得將其透過不同的應用程式開啟,會出現完全不同的執行結果。

關於企業遭到入侵的事故,在這一周期間,澳洲大型電信業者Optus遭到攻擊,不過,事隔兩天,駭客聲稱因執法單位的壓力,刪除竊得的資料;Uber指控資料外洩的攻擊者是駭客組織Lapsus$,但現在有資安研究人員認為,英國警方逮捕的一名17歲青少年才是主謀。

本周駭客作案工具遭到外流的情況,也有越來越頻繁的現象!日前流出的勒索軟體LockBit 3.0產生器,如今有駭客將其製作名為Bl00dy的勒索軟體;再者,另一個引起研究人員關注,認為駭客很有可能拿來取代Cobalt Strike的滲透測試工具Brute Ratel C4(BRC4),現在傳出遭到破解且大肆在網路犯罪圈散布的情況。

在重大漏洞部分,Exchange Server這一周再度傳出零時差漏洞,並出現攻擊行動,微軟雖然提出了緩解措施,但尚未提供修補程式。

【9月26日】微軟SQL Server遭到勒索軟體Fargo鎖定、駭客假冒CI/CD平臺竊取開發者GitHub帳號

勒索軟體駭客鎖定特定的應用系統,做為入侵受害企業的管道,這樣的現象越來越頻繁。例如,有資安業者指出,名為Fargo的勒索軟體針對微軟SQL Server而來,駭客看上的就是這種資料庫系統可能沒有及時修補,或是使用弱密碼,而容易對其發動攻擊。

開發者遭到鎖定的情況近期也相當氾濫,但現在有人同時針對兩種系統的用戶發動攻擊。有人自9月中旬針對採用持續開發及持續整合平臺CircleCI、程式碼代管平臺GitHub的用戶發動釣魚郵件攻擊,並要求收信人透過CircleCI帳號存取GitHub,進而竊取受害者的程式碼。

協作平臺Atlassian Confluence的重大漏洞CVE-2022-26134再度遭駭客利用!研究人員發現將Confluence伺服器用於挖礦的攻擊行動,值得留意的是,這次駭客也運用了Linux漏洞PwnKit部署挖礦程式。

【9月27日】中國駭客TA413利用後門程式Lowzero攻擊圖博人士、Zoom用戶成駭客散布惡意程式的攻擊目標

又是針對圖博人士的攻擊行動!有研究人員發現中國資助的駭客組織TA413發動的攻擊行動,這些駭客入侵受害組織的管道,先後運用了Sophos防火牆漏洞、MSDT元件漏洞Follina,並使用後門程式Lowzero進行網路間諜行動。在此之前,也有名為RedAlpha的中國駭客組織鎖定圖博社群而來。

下載視訊會議軟體也要當心!資安業者揭露駭客以架設冒牌Zoom網站的方式,向受害者散布竊密軟體。這樣的情況,先前也有針對加密通訊軟體Telegram用戶的攻擊事故。

【9月28日】中國駭客APT41透過CHM檔案散布竊密軟體、北韓駭客Lazarus宣稱提供Crypto職缺散布惡意軟體

駭客傳遞惡意軟體到受害電腦的手法,不少很可能是透過惡意巨集文件,或是HTML檔案、光碟映像檔來進行,但最近有人製作了具備多種檔案格式特徵的CHM檔案來發動攻擊。這個CHM檔案可被當作Windows說明檔案執行,但後來駭客透過了MSHTA元件來啟動部署惡意軟體的流程。

PowerPoint的投影片模式也成為駭客濫用的對象!俄羅斯駭客組織APT28濫用這種功能觸發惡意PowerShell指令碼,而可能躲過資安防護系統的偵測。

北韓駭客Lazarus再度假借加密貨幣交易所的職缺發動網釣攻擊!但與過往事件不同的是,這次駭客似乎鎖定macOS使用者而來。

【9月29日】駭客假借政府機關名義散布Cobalt Strike、美國商業媒體Fast Company遭駭而推送種族仇恨訊息

攻擊者發動釣魚郵件攻擊的手法,大多是經由內含惡意巨集的Office文件檔案附件來進行,然而最近有人使用的是Word範本檔案來挾帶惡意程式碼,而使得郵件附件裡的Word文件能夠躲過資安系統檢測。

美國商業媒體Fast Company遭駭,但值得留意的是,駭客並非從中竊取機密,而是冒用該公司的名義散布種族仇恨訊息。

一週前勒索軟體LockBit產生器外流,現在又有滲透測試工具Brute Ratel C4(BRC4)破解版在駭客論壇散布。這種作案工具流出的情況越來越常出現,不只會有更多駭客拿來運用,也可能使得資安人員追查攻擊來源更加困難。

【9月30日】微軟Exchange伺服器又有零時差漏洞已被駭客鎖定、基於LNK散布惡意軟體的形式日益升溫

微軟Exchange伺服器2013/2016/2019用戶注意了!有資安業者提出警告,他們從攻擊活動中發現微軟Exchange伺服器又有新的零時差漏洞出現,目前已通報ZDI與微軟,用戶須注意後續修補情形,而該公司也已提供IoC供外界自行比對檢查。同時,微軟在29日也說明這次漏洞分別是CVE-2022-41040的SSRF漏洞,以及CVE-2022-41082的RCE漏洞,並公布暫時緩解方法供企業因應。

另一最近值得關注焦點,是網路犯罪者透過Quantum Builder透過LNK散布惡意軟體的趨勢。近三個月來,已有一些資安業者提醒Quantum Builder工具開始被廣泛應用的跡象,例如,資安業者cyble在6月先是揭露,網路犯罪者販售於暗網的Quantum Builder工具,是可用於產生.LNK、.HTA、.ISO與PowerShell腳本的工具,駭客會利用此工具散布Emotet、Bumblebee、Qbot、Iced等惡意程式。

熱門新聞

Advertisement