文/周峻佑 | 2023-04-19發表

駭客發布號稱可提供破解軟體下載的影片,藉機散播惡意網址,但為了要迴避偵測,他們在YouTube頻道列出的網址,可下載的是惡意程式載入工具,待受害者安裝之後,才開始進行後續的植入。

企業在淘汰網路設備的時候也要謹慎,務必清除設備存放的網路配置!有研究人員發現,他們從網路上購得、企業淘汰的二手設備竟儲存不少內部網路組態資料,而有可能成為駭客用於入侵組織的管道。

 

【攻擊與威脅】

駭客透過YouTube影片散布惡意程式載入程式的下載網址,目的是後續可植入竊資軟體Aurora

資安業者Morphisec揭露散布竊資軟體Aurora的攻擊行動,駭客利用知名的商業軟體開發工具Embarcadero RAD Studio,打造惡意程式載入工具in2al5d p3in4er,而能達到回避偵測的效果。然後,透過竊得的熱門YouTube帳號上架宣傳影片,聲稱提供破解版軟體的名義,來散布此惡意程式下載工具,進而於受害電腦植入上述竊資軟體。

比較特別的是,為了防堵研究人員利用虛擬機器進行分析,駭客運用dxgi.dll程式庫的功能函式CreateDXGIFactory,查詢電腦上顯示卡供應商的ID,若是ID不在白名單內(Nvidia、AMD、Intel),此下載工具就會停止攻擊行動,繼續將自己偽裝成正常應用程式。

遭企業廢棄不用的路由器,恐成危害網路安全因子,因為有可能殘留網路組態設定的敏感資訊,有徹底銷毀的必要

資安業者ESET提出警告,企業淘汰的網路設備有可能會洩露內部網路環境的敏感資訊。他們起初是在網路上購得Juniper二手路由器上,發現含有特定企業的網路環境資訊,為了驗證這並非單一個案,他們又購置數臺企業淘汰的網路設備進行分析。

結果發現,在16臺設備裡有9臺含有企業核心的網路組態資訊、公司帳密、公司應用程式的資料。研究人員指出,前述的應用程式包含了微軟的Exchange、Skype、SharePoint、SQL Server、Salesforce、VMware Horizon View、FTP伺服器、LDAP應用程式等。此外,這些網路設備也具有所屬組織的網路組態,例如邊界閘道協定(BGP)、路由資訊協定(RIP)、開放式最短路徑優先協定(OSPF)的配置。

研究人員指出,駭客購買初始存取受害組織的帳密資料價格平均為2,800美元,但購買淘汰的路由器設備僅需數百美元,很有可能成為駭客取得相關資料的手段。

網路設備大廠CommScope傳出遭勒索軟體Vice Society攻擊

根據科技新聞網站TechCrunch的報導,勒索軟體Vice Society聲稱入侵網路設備大廠CommScope,並竊得該公司的內部資料。該新聞網站取得部分資料進行分析,看到內容包含了內部文件、發票、工程製圖(technical drawing)。這些資料似乎也含有數千名員工的個資,包含完整姓名、郵政地址、電子郵件信箱、社會安全碼(SSN)、銀行帳號資訊。部分資料夾甚至有員工護照及簽證文件的掃描檔案。

對此,CommScope證實在3月27日察覺部分IT基礎設施遭到未經授權存取,並認為是勒索軟體攻擊。但對於是否有員工或客戶資料外洩,該公司沒有說明。

美國關鍵基礎設施遭到伊朗駭客Phosphorus報復性攻擊

微軟揭露鎖定美國關鍵基礎設施(CI)而來的伊朗駭客組織Phosphorus(亦稱Mint Sandstorm)攻擊行動,駭客從2021年底至2022年中旬,針對美國的港口、能源業者、交通運輸系統等公營事業而來,原因很可能是為了報復多起發生在伊朗的網路攻擊事件,例如,2020年5月主要港口的運輸中斷、2021年7月鐵路系統誤點,以及2021年底加油站支付系統遭駭的事故。

駭客透過已知漏洞或是已公布概念性驗證程式碼(PoC)的漏洞來入侵目標組織,然後使用PowerShell指令碼來收集環境資訊,進而確認是否為具有高度價值的攻擊目標。接著,駭客會使用滲透測試工具Impacket進行橫向移動,竊取AD的資料庫,或是部署後門程式Drokbk和Soldier。

思科路由器漏洞遭俄羅斯駭客APT29用於攻擊行動

英國國家網路安全中心(NCSC)、美國國安局(NSA)、美國網路安全暨基礎設施安全局(CISA)、美國聯邦調查局(FBI)聯手,針對俄羅斯駭客組織APT28的攻擊行動提出警告,這些駭客從2021年,鎖定思科網路設備作業系統IOS、IOS XE的漏洞CVE-2017-6742下手, 藉此入侵目標組織。在部分攻擊行動裡,駭客於受害裝置植入惡意程式Jaguar Tooth。

 

【其他新聞】

Oracle發布2023年第2季例行更新

資安業者ESET摧毀駭客的GitHub儲存庫,中斷竊資軟體RedLine運作

網路攻擊公司NSO Group利用零點擊漏洞對iOS裝置發動攻擊

遠端支援軟體SimpleHelp遭到伊朗駭客MuddyWater濫用,目的是持續存取受害電腦

勒索軟體駭客Black Basta傳出兜售英國IT業者Capita遭竊資料

 

近期資安日報

【4月18日】 駭客組織Conti與FIN7成員另起爐灶,打造惡意軟體Domino來散布竊資軟體

【4月17日】 ChatGPT付費帳號在駭客之間炙手可熱,相關買賣在地下論壇不斷出現

【4月14日】 駭客透過臉書廣告贊助貼文,假借提供ChatGPT、Google Bard聊天機器人程式的名義,散布竊資軟體

iThome Security

熱門新聞

Advertisement