曾遭到圍剿而銷聲匿跡的駭客組織,待風頭一過東山再起的情況再度傳出,而且還是不同組織之間的合作。例如,最近IBM的研究人員發現,前駭客組織Conti及FIN7的成員聯手開發了惡意程式Domino,並用於收集受害電腦的系統資訊,以便進行後續的攻擊行動。

針對網頁瀏覽器而來的竊資軟體攻擊,也同樣值得我們留意──資安業者Uptycs揭露俄羅斯駭客流傳的竊資軟體Zaraza Bot,並指出該惡意程式能針對38款瀏覽器的使用者組態檔案進行解密,進而竊取存放的各式帳密資料。

除了竊資軟體的攻擊行動,駭客散布惡意程式的手法也變得更加複雜,例如,研究人員發現,有人同時運用惡意PDF檔案及Windows指令碼來散布惡意軟體QBot,若收件者為了要檢視PDF文件內容而未及早察覺有異,即有可能依照指示執行指令碼而中標。

 

【攻擊與威脅】

前Conti成員與FIN7聯手,散布惡意軟體Domino

IBM旗下的威脅情報團隊X-Force揭露名為Domino的惡意軟體,他們在追蹤利用Dave Loader惡意程式載入器的攻擊行動裡,發現駭客從2023年2月下旬,投放過往沒有記錄的惡意軟體,研究人員將其命名為Domino。

該惡意程式由Domino Backdoor、Domino Loader等兩個元件組成,前者會收集受害電腦的系統資訊,將其回傳攻擊者的C2伺服器之後,再將Domino Loader下載至使用者電腦;而Domino Loader則被用於部署竊資軟體Nemesis Project,在部分攻擊行動裡,駭客還會植入Cobalt Strike來維持在受害電腦運作。

究竟這場攻擊行動的幕後主使身分為何?根據程式碼的比對,研究人員推測是前勒索軟體駭客組織Conti,以及FIN7成員所為。

近40款網頁瀏覽器遭到竊資軟體Zaraza Bot鎖定,目標是當中存放的使用者密碼

資安業者Uptycs揭露名為Zaraza Bot的竊資軟體,駭客透過俄羅斯駭客的Telegram頻道吸引用戶上門,此竊資軟體以C#打造而成,主要的攻擊目標是網頁瀏覽器,範圍包含了Chrome、Edge、Firefox、Brave、Vivaldi、Opera、Yandex等38款軟體。

研究人員指出,該竊資軟體鎖定上述瀏覽器的特定配置檔案下手,並能解開瀏覽器存放帳號密碼預設使用的兩種加密格式,再將這些資訊回傳攻擊者的Telegram頻道,讓駭客掌握受害者儲存於瀏覽器的帳密資料。此外,Zaraza Bot也具備截取螢幕畫面的能力。

惡意軟體QBot透過PDF檔案與Windows指令碼來偷渡攻擊指令,進而植入電腦當中

資安研究團隊Cryptolaemus近日看到惡意軟體QBot新的攻擊行動,駭客先是透過釣魚郵件來挾帶PDF檔案,為了降低收信人戒心,這封信的內容是以回覆其他信件的形式打造。

一旦收信人開啟附件的PDF檔案,就會顯示此文件包含受到保護的內容,要求按下開啟按鈕。然而收信人照做,電腦就會下載含有Windows指令碼的ZIP檔案。若是收信人執行這個指令碼,攻擊者就會透過PowerShell指令碼在受害電腦部署QBot。

遠端管理工具Action1遭勒索軟體駭客濫用

研究人員Kostas提出警告,駭客開始在攻擊行動裡濫用名為Action1的遠端管理平臺(RMM),並指出駭客可藉此得知受害組織網路環境裡的電腦詳細資訊,如作業系統版本、硬體配置、安裝的應用程式,以及尚未安裝的更新程式等,進而找到能夠滲透的管道。

資安新聞網站Bleeping Computer進一步追查,發現至少有3起勒索軟體攻擊行動裡,駭客利用了Action1來入侵受害組織。針對該遠端管理系統被用於攻擊行動的情況,Action1表示,他們去年開始利用人工智慧系統來檢測異常使用行為,來遏止這類惡意用途。然而,該公司顯然仍有很大進步空間,因為若真能有效攔阻,研究人員應該很難有機會發現這項工具遭濫用。

駭客假借查看薪資單的名義發動網釣攻擊,目的是挾持使用者的微軟帳號

新聞網站Cyberwarzone揭露新的網路釣魚攻擊手法,駭客鎖定需要透過微軟Teams來查看薪資單的人士下手,他們設置貌似能以微軟帳號登入的釣魚網站,企圖竊取他們的微軟帳號資料。

比較特別的是,為了騙取受害者信任,在他們存取這個釣魚網站的時候,駭客還裝模作樣地設置了reCAPTCHA的真人操作驗證機制,企圖阻止資安掃描機制,使其無法將其辨識為釣魚網頁。

安卓惡意軟體Chameleon偽裝銀行、政府機關、加密貨幣App

資安業者Cyble揭露名為Chameleon的安卓惡意軟體,駭客將其偽裝成澳洲政府經營的加密貨幣交易所CoinSpot、波蘭銀行IKO的App,鎖定澳洲及波蘭使用者而來。

值得留意的是,駭客為了回避研究人員的分析,此惡意程式會先檢查目標裝置是否被奪走root最高權限、除錯模式是否啟用,若無上述功能開啟的情況,此惡意軟體才會向請求受害者開放Android輔助功能的權限,進而停用Google PlayProtect、防止使用者移除,並藉此擴張可運用的權限。

POS設備供應商NCR傳出遭到勒索軟體BlackCat攻擊

生產自動櫃員機(ATM)聞名的製造商NCR於4月12日,傳出旗下資料中心發生異常的情況,並於15日表示是勒索軟體攻擊所致,部分使用雲端PoS系統Aloha服務的飯店用戶受到影響,該公司進一步調查發現,另一款針對零售業提供的PoS系統Counterpoint也可能受到波及。不過,他們強調沒有客戶的系統或是網路受到影響。

而對於攻擊者的身分,研究人員Dominic Alvieri於4月14日發現,勒索軟體BlackCat(Alphv)聲稱成功入侵NCR,並表示取得該公司用戶環境的帳密資料,但很快就移除網站上的相關資訊。資安新聞網站SecurityWeek推測,很有可能雙方已經展開交涉。

Volvo巴西經銷商傳出資料外洩,曝露應用程式框架金鑰,恐導致用戶帳號遭挾持

資安新聞網站Cybernews的研究人員發現,汽車製造商Volvo的巴西經銷商Dimas Volvo在網站上曝露敏感資料,其中研究人員認為影響最嚴重的部分,是PHP網頁應用程式框架Laravel的金鑰,因為該金鑰可被用於解開加密的使用者Cookie,進而得知該經銷商用戶的帳密資料及連線階段(Session)ID,並挾持他們的帳號。

此外,該網站也曝露此經銷商的MySQL與Redis資料庫的主機IP位址、連接埠、帳號及密碼,而有可能讓更多人取得該公司的使用者資料。研究人員通報Dimas Volvo與Volvo總部,上述情況已獲得處理。

 

【其他新聞】

德國戰車武器配件製造商Rheinmetall遭到網路攻擊

美國五角大廈傳出洩密案,疑為21歲網紅所為

2022年俄羅斯聲稱遭美國及北約國家網路攻擊達5千起

Windows更新出現臭蟲,恐影響密碼管理工具運作

 

近期資安日報

【4月17日】 ChatGPT付費帳號在駭客之間炙手可熱,相關買賣在地下論壇不斷出現

【4月14日】 駭客透過臉書廣告贊助貼文,假借提供ChatGPT、Google Bard聊天機器人程式的名義,散布竊資軟體

【4月13日】 駭客挾持合法網站,向使用者宣稱需要更新Chrome瀏覽器的名義,散布挖礦程式

熱門新聞

Advertisement