中國駭客組織的攻擊行動不時傳出,最近有研究人員揭露駭客組織Evasive Panda針對非政府組織(NGO)人士而來的惡意程式攻擊行動,駭客藉由當地常見的即時通訊軟體QQ更新的名義來進行,但由於研究人員取得的證據不足,他們初步認為是供應鏈攻擊,但也不排除了對手中間人攻擊(AiTM)的可能。
駭客利用軟體廠商已推出更新程式的漏洞發動攻擊的事故,也相當值得留意,其中又以針對列印管理伺服器PaperCut而來的攻擊行動特別引起研究人員關注,自PaperCut提出警告後,現在有研究人員指出,相關漏洞已被用於勒索軟體攻擊。
因IT業者遭駭而波及其代管服務的用戶,這樣的情況很可能引起用戶恐慌。美國電信業者AT&T證實內部網路遭到入侵,導致駭客能冒用使用者的權限存取電子郵件信箱,不過,AT&T目前尚未公開說明受害範圍。
【攻擊與威脅】
中國駭客組織Evasive Panda疑似透過騰訊即時通訊軟體更新的管道,鎖定國際NGO組織人員散布後門程式
資安業者ESET揭露中國駭客組織Evasive Panda散布後門程式MsgBot的攻擊行動,研究人員自2022年1月發現,這些駭客針對國際非政府組織(NGO)人士下手,於中國甘肅、廣東、江蘇等省份發動攻擊,透過騰訊即時通訊軟體QQ的更新機制,藉由該軟體開發商的URL與IP位址,將後門程式MsgBot傳送至受害電腦。
研究人員認為,駭客攻擊手法有2種可能。其中一種是駭客發動供應鏈攻擊,入侵了QQ的更新伺服器,以軟體更新的名義來散布MsgBot;另一種則是藉由對手中間人攻擊(AiTM)手法來進行。
但由於研究人員尚未取得更新伺服器的XML檔案,也無法向騰訊進行確認,難以判斷駭客採用的手法。
Linux系統成為中國駭客組織Alloy Taurus目標之一,他們開發出專用的後門程式PingPull
資安業者Palo Alto Networks揭露中國駭客組織Alloy Taurus近期的攻擊行動,駭客在Windows電腦之餘,也開始對Linux開發後門程式PingPull,以及另一個名為Sword2033的惡意程式(ELF執行檔)。
前者透過Base64編碼的資料與C2連線,並採用AES演算法加密傳輸的資料;後者可針對受害電腦執行命令,或是外洩資料。
出現更多駭客濫用PaperCut漏洞,勒索軟體駭客Clop、LockBit以此進行竊密
列印管理系統供應商PaperCut於4月19日提出警告,他們在3月修補的漏洞CVE-2023-27350、CVE-2023-27351已出現攻擊行動,如今有資安業者揭露更多細節。
微軟的威脅情報團隊指出,他們看到勒索軟體Clop旗下的Lace Tempest駭客組織,自4月13日將漏洞用於散布勒索軟體Clop,一旦得到列印管理伺服器的存取權限,駭客就會部署惡意程式TrueBot,並透過Cobalt Strike進行橫向感染,然後運用檔案共用服務MegaSync洩露竊得的資料。此外,研究人員也看到利用前述漏洞散布勒索軟體LockBit的攻擊行動。
資安業者WithSecure於今年3月,發現駭客組織FIN7的攻擊行動,攻擊者透過Veeam備份系統的處理程序執行Shell命令,下載、執行PowerShell指令碼,該指令碼便是FIN7慣用的記憶體內(In-memory)惡意程式載入程式,駭客用來執行名為Diceloader的後門程式,以便進行後續的攻擊。
究竟駭客如何執行Shell命令?研究人員認為很可能是利用Veeam於3月修補的漏洞CVE-2023-27532(CVSS風險評分為7.5)。
電信業者AT&T傳出遭駭,他們代管的多個電子郵件服務受到挾持
根據科技新聞網站TechCrunch的報導,美國電信業者AT&T傳出遭駭,導致代管的電子郵件服務曝險,駭客入侵甚至接管,範圍包括att.net、sbcglobal.net、bellsouth.net等。
知情人士透露,駭客先存取電信業者內部網路部分系統,之後能以任意使用者身分來建立郵件金鑰,因此可在不需知道用戶密碼的情況下,透過Outlook、Thunderbird等收信軟體存取郵件帳號。
根據聲稱已掌握受害者名單的知情人士表示,有2名用戶證實遇害,其中1名受害者向TechCrunch透露,駭客已從他的Coinbase帳戶竊得13.4萬美元加密貨幣。
對此,AT&T表示他們發現了未經授權建立的安全郵件金鑰,並要求部分用戶重設密碼,但並未透露受害人數。
駭客於Docker環境部署TrafficStealer,將流量導向特定網站進行牟利
資安業者趨勢科技設下的誘捕系統,最近發現有人利用雲端Docker環境來牟利的攻擊行動。他們發現駭客先入侵位於雲端服務的Docker環境,再從Docker Hub拉取特定的容器映像檔,而這個映像檔含有名為TrafficStealer的可疑軟體,其目的是將網路流量導向特定網站供他人運用,進而產生收入。
研究人員指出,駭客透過YAML配置文件,大量、自動化部署上述惡意程式。而這個攻擊誘捕系統的映像檔,已從Docker Hub被拉取了50萬次,每秒下載15 MB的資料。雖然這次駭客的目標是Docker,但研究人員認為,Kubernetes與Amazon Elastic Container Server(ECS)日後也有可能遭遇相關攻擊。
資安業者Check Point針對今年第1季的網路釣魚攻擊態勢公布調查結果,他們表示,駭客偏好冒用的品牌出現了洗牌的現象。
大型零售業者Walmart從去年底的13名,本季一舉躍居榜首,冒用該品牌行騙的釣魚信占總數的16%,其次是DHL、微軟,分別有13%、12%。不過,整體而言,駭客最常冒用的還是科技業的品牌,其次是運輸及零售業。
但研究人員特別提及,名列前10大的瑞福森銀行(Raiffeisen Bank)是第一次上榜,相當值得留意,因為這代表駭客可能透過金融組織竊取使用者的帳號資料。
【資安產業動態】
Gogolook推出Roo AI,以生成式AI技術打造AI智能問答服務,能根據提問提醒用戶小心詐騙
3年前,Gogolook推出了名為貸鼠先生的金融諮詢服務,可協助消費者辨識網路上各種真假難辨的金融商品資訊,減少詐貸等問題。為了提供更多元金融商品諮詢服務,該公司於4月25日宣布推出全新AI智慧問答服務Roo AI,該系統以ChatGPT的生成式AI技術為基礎打造,目的是提供貼近臺灣消費者的金融知識與正確資訊,值得一提的是,該系統能從用戶提出的問題中,找出可能導致受騙的資訊,並提醒用戶提高警覺,減少上當受騙的情況。
Google在多項安全解決方案整合AI大型語言模型Sec-PaLM
由於技術的進展,大型語言模型(LLM)的應用範圍如今變得更加廣泛,資安業者也著手將其用於相關防護。例如,Google開發名為Sec-PaLM的大型語言模型,並將其應用於Security AI Workbench威脅情報平臺、惡意軟體程式碼分析系統VirusTotal Code Insight、漏洞檢測系統Mandiant Breach Analytics for Chronicle等。
此外,Google安全指揮中心(Security Command Center)亦運用此大型語言模型,將複雜的攻擊關聯圖,轉換成人類容易解譯的資訊。除上述應用,該公司亦於Assured OSS服務使用Sec-PaLM,協助驗證開源軟體套件的工作。
AWS擴大GuardDuty安全防守範圍,可偵測容器、資料庫與無伺服器應用安全威脅
4月24日AWS宣布,旗下的威脅偵測服務Amazon GuardDuty將提供3項新功能,將防護範圍延伸至容器、資料庫、無伺服器應用。本次的新功能包括容器化工作負載威脅偵測功能EKS Runtime Monitoring、Aurora資料庫資料潛在威脅偵測功能RDS Protection、Lambda應用程式相關惡意行為分析功能Lambda Protection。
上述能力是以Amazon GuardDuty現有的數百種偵測功能為基礎進行強化,而能夠將應用範圍擴及多種類型的雲端核心環境,使用者無須執行額外的部署、維護,或是更新作業,就能啟用前述新功能。
【其他新聞】
伊朗駭客組織Charming Kitten散布惡意軟體BellaCiao
電子商務平臺PrestaShop出現能讓後臺使用者刪除資料庫的漏洞
開源資料視覺化工具Apache Superset存在RCE漏洞
近期資安日報
【4月26日】 法務部調查局資通安全處失火,疑為電腦設備負載過大造成
【4月25日】 PaperCut列印管理系統傳出漏洞被用於攻擊消息,但完成修補的系統只有1成
【4月24日】 美國、歐洲組織遭到惡意軟體EvilExtractor攻擊,駭客不只從瀏覽器Cookie竊密,還會加密檔案
熱門新聞
2024-05-12
2024-05-13
2024-05-13
2024-05-13
2024-05-13
