文/周峻佑 | 2023-04-24發表

駭客在惡意軟體整合不同領域的功能可說是越來越常見,例如,最近研究人員揭露惡意軟體EvilExtractor,攻擊者不只將它用於竊取受害電腦的資料,也將其用於加密檔案,並向受害者勒索。

網路電話系統製造商3CX傳出供應鏈攻擊的情況,日前傳出該公司遭駭的原因,是還有另一個軟體供應鏈攻擊引起,而且,研究人員表示還有其他組織受害。現在有另一家資安業者證實這樣的說法,並指出至少有4個關鍵基礎設施(CI)遭受相關攻擊。

 

【攻擊與威脅】

美國與歐洲組織遭到惡意軟體EvilExtractor攻擊

資安業者Fortinet揭露惡意軟體EvilExtractor的攻擊行動,駭客先是假借帳號確認請求為由寄送釣魚郵件,附件為gzip壓縮檔案,壓縮檔內容含有看起來像PDF文件的檔案,但實際為Python可執行檔案。

一旦受害者執行此可執行檔,將會啟動PyInstaller程式並執行惡意程式載入工具,透過Base64編碼的PowerShell指令碼啟動EvilExtractor。此惡意程式首度執行的時候,會先檢查系統的時間與主機名稱,來確認是否在虛擬電腦環境,若為真實電腦系統,該惡意程式才會繼續執行,下載3個額外的模組,用途是從瀏覽器的Cookie收集上網記錄及帳密資料,以及側錄鍵盤輸入的資料、控制視訊鏡頭及截取影像的能力。

此外,該惡意程式也具備加密檔案的勒索軟體功能Kodex Ransomware,此功能利用7-Zip將電腦的檔案轉換為受到密碼保護的壓縮檔,並索討價值1千美元的比特幣。

駭客組織利用Google廣告散布BumbleBee

資安業者Secureworks揭露近期惡意軟體載入器Bumblebee的攻擊行動,駭客透過Google廣告,引誘使用者從釣魚網站下載思科AnyConnect Secure Mobility用戶端軟體,一旦使用者依照指示下載並執行此安裝程式,電腦就會被植入Bumblebee,為了避免讓使用者察覺異狀,該安裝程式亦會部署真正的AnyConnect Secure Mobility軟體。

研究人員在其中一起攻擊行動裡,看到攻擊者在成功入侵後的3個小時,開始在受害組織內部網路進行橫向移動,進而部署滲透測試工具Cobalt Strike、遠端桌面連線工具AnyDesk及DameWare、網路掃描工具、AD資料庫轉存工具、Kerberos帳密資料挖掘程式等。

北歐銀行用戶遭到網釣簡訊鎖定

資安業者Heimdal揭露針對北歐銀行用戶而來的釣魚簡訊(Smishing)攻擊行動,他們在4月20日,看到尚未確定身分的APT駭客組織發動攻擊,駭客發送簡訊,宣稱使用者必須更新手機上的數位身分驗證服務MitID的應用程式,否則有可能影響北歐銀行的App運作。一旦使用者點選簡訊裡的URL進行更新,就有可能上當。

安卓木馬Fakecalls濫用合法簽章迴避檢測

資安業者McAfee從去年8月,追蹤名為Fakecalls的安卓惡意程式,其中1個版本濫用了韓國應用程式開發商的簽章,發出此簽章的公司業務遍及IT、電玩、行動支付、廣告等領域。不過,大部分的Fakecalls都是偽裝成銀行應用程式,目的很有可能是要騙走用戶的存款。

研究人員分析此惡意程式,發現駭客不只透過加殼來迴避分析,當他們解密後,看到攻擊者又從HTML檔案取得安卓套件(APK檔案)的資訊,讓研究人員難以調查。

一旦使用者執行上述惡意程式,此軟體就會要求安裝另一個App的訊息,若依照當中的指示進行之後,能讓惡意程式存取存放於特定資料夾的APK檔案introduction.html,並要求使用者開放9項存取權限,像是麥克風、電話記錄、地理位置、簡訊等。

美國、歐洲關鍵基礎設施也傳出受到網路電話系統供應商3CX供應連攻擊波及

3月底網路電話系統製造商3CX傳出供應鏈攻擊,日前有資安業者發現源頭還有另一個X_Trader軟體供應鏈的事故,並指出在3CX之外還有其他組織也可能受到影響,但究竟有那些受害組織?

資安業者賽門鐵克指出,他們至少發現有4個關鍵基礎設施(CI)遭到攻擊,其中有2個是能源領域(美國、歐洲各有1個),另外2個是金融產業的組織。研究人員透露駭客入侵受害組織的手法,先是利用帶有數位簽章的安裝程式散布,然後於受害電腦部署後門程式。

 

【資安產業動態】

供資安人員通報GitHub儲存庫漏洞的功能正式上線

去年11月GitHub測試名為Private Vulnerability Reporting的漏洞通報功能,目的是讓資安研究員更容易向維護團隊通報儲存庫的弱點,該公司於4月19日正式開放上述功能,專案管理者可在儲存庫設定的程式碼安全與分析(Code Security and Analysis)項目啟用。

此外,GitHub也一併提供了儲存庫資安通告的API,以便資安研究員能將相同的漏洞資訊通報多個儲存庫。自上述功能開放測試,已有逾3千個組織、18萬個儲存庫試用上述功能。

 

【其他新聞】

Google Cloud平臺存在漏洞GhostToken,恐導致用戶帳號遭到挾持

阿里雲PostgreSQL資料庫出現2個重大漏洞

Kubernetes的API被用於植入後門程式

惡意軟體代打服務Faceless向網路罪犯出售匿名身分

思科修補工控系統的重大漏洞

 

近期資安日報

【4月21日】 久未發布軟體更新的網站平臺外掛可能淪為防禦破口,一支WordPress外掛慘遭濫用,被人用於植入後門程式

【4月20日】 Oracle發布2023年第2季例行更新,修補433個漏洞

【4月19日】 駭客挾持YouTube頻道散布竊資軟體Aurora,過程中利用惡意程式載入工具迴避資安系統偵測

iThome Security

熱門新聞

Advertisement