駭客透過臉書廣告來散布惡意程式的情況,在今天有數則與此相關,值得注意的是,除了資安業者的警告,Meta資安團隊也證實這類攻擊行動升溫的現象,他們看到多起攻擊行動裡,駭客都運用了臉書等社群網站來為惡意軟體「宣傳」。其中,駭客打著大型語言模型(LLM)ChatGPT的名號來發動網路攻擊裡,研究人員在今年3月就看到10個惡意軟體家族的攻擊行動,而且,過程中會濫用社群網站和搜尋引擎廣告。
攻擊者運用臉書帳號、惡意廣告的情況,也相當值得留意。資安業者Groupt-IB發現,駭客利用假冒臉書或Meta的客戶,濫用臉書個人檔案、廣告貼文來進行網釣攻擊的情況,於今年2月開始顯著增加,而他們的目標是從名人帳號下手,進而挾持更多使用者的臉書帳號。
VMware桌面虛擬化平臺再度傳出成為攻擊目標!資安業者AhnLab揭露鎖定南韓能源產業而來的挖礦攻擊,駭客利用的弱點,很可能就是這些虛擬化平臺Tomcat元件的Log4Shell漏洞。
【攻擊與威脅】
偽裝ChatGPT或類似AI工具的網路攻擊頻傳,Meta發現3月就有10個惡意軟體以此作為誘餌
駭客利用時下熱門的ChatGPT話題來散布惡意軟體,近期有越來越頻繁的現象,但這樣的情況有多嚴重?
Meta的資安團隊指出,他們光是在2023年3月,就發現約有10個惡意軟體家族打著這類名號來發動攻擊,在其中1起事故當中,研究人員看到駭客建立了惡意瀏覽器擴充套件並上架於官方市集,聲稱提供ChatGPT打造的工具,然後透過社群網站及搜尋引擎的廣告引誘使用者上當。
針對這樣的現象,臉書已封鎖超過1千個以ChatGPT為誘餌的惡意URL,並將相關情資與其他同業分享。此外,研究人員看到這些駭客不光是使用ChatGPT,也有利用Google Bard、抖音市場行銷客服等名義的攻擊行動。
冒充Meta技術支援團隊的釣魚攻擊暴增,資安業者查獲3,200個臉書網頁、個人檔案以此行騙
資安業者Group-IB提出警告,他們在今年2月、3月,看到駭客大肆設置假的臉書帳號或是貼文,假借Meta或是臉書的客戶服務進行詐騙,目的是存取公眾人物、名人、企業的臉書帳號。
他們看到3,200個用於此種詐騙的臉書帳號或是貼文(其中在3月發現1,200個臉書帳號),並找到約220個仿冒Meta或臉書網頁的釣魚網站,為了因應駭客從前述的臉書個人資料及貼文發動攻擊,Meta的技術團隊已設法防堵使用者於釣魚網站輸入帳密資料,避免這些用戶的連線階段(Session)及Cookie資料遭到挾持,進而保護他們的臉書帳號。
竊資軟體NodeStealer鎖定臉書、Gmail、Outlook帳密而來
Meta的資安團隊於2023年1月下旬發現竊資軟體NodeStealer的攻擊行動,該惡意程式鎖定Windows電腦的網頁瀏覽器,目的是竊取Cookie來擷取用戶的帳號密碼,其中的主要目標是受害者的臉書、Gmail、Outlook帳號。
根據研究人員的分析,此竊資軟體是採用JavaScript編寫而成,且捆綁了Node.js環境,背後的駭客組織疑似來自越南。駭客通常將此惡意程式偽裝成PDF或XLSX檔案,檔案大小介於46 MB至51 MB。
研究人員指出,此惡意程式檔案容量如此龐大的原因,在於駭客一併打包了整個Node.js環境與所有的第三方相依套件。
資安業者Cyble揭露名為AresLoader的惡意程式載入器,駭客將其用於散布多種惡意軟體,在其中一起攻擊行動裡,駭客透過名為citrixproject的GitHub儲存庫,散布此惡意程式載入器,一旦此軟體入侵受害電腦,就有可能在電腦植入LummaStealer、IcedID等惡意程式。
研究人員認為,駭客的GitHub儲存庫如此命名應該不是巧合,很有可能是因為他們的目標是Citrix用戶。
南韓能源組織的VMware桌面虛擬化平臺、Oracle Weblogic伺服器遭駭客組織8220鎖定,散布挖礦程式XMRig
資安業者AhnLab揭露駭客組織8220的攻擊行動,此組織專門針對南韓能源產業而來,利用Log4Shell漏洞入侵VMware Horizon伺服器,然後部署挖礦軟體XMRig,他們根據事件記錄資料,駭客透過此虛擬化系統的處理程序ws_tomcatservice.exe,執行PowerShell命令碼。
研究人員指出,這些駭客也會對於其他漏洞發動攻擊,例如,今年的1月至2月,8220也針對Oracle Weblogic的漏洞下手,並於目標伺服器植入惡意程式ScrubCrypt,最終也將其用於挖礦。
密碼管理系統1Password服務出現異常,該公司表示並非資安漏洞造成
密碼管理系統1Password的用戶最近發現一些奇怪現象,引發是否出現資安事故的爭議,因為當這些人登入自己的帳號時,突然出現意外的錯誤訊息,指出使用者的密鑰或是密碼近期出現變更,要求他們輸入新的資料才能存取。上述怪異情況,導致用戶懷疑該系統遭駭而恐慌。
對此,該公司表示這些異常與4月27日的例行資料庫維護有關,於美國東部時間(EST)上午9時3分至26分,造成其服務中斷,而前述的錯誤訊息來自該公司位於美國的伺服器,起因是他們遷移後端資料庫,造成同步請求大幅增加而出現拒絕登入的現象。該公司技術長Pedro Canahuati強調,這起事故並非資安事件,使用者的資料也沒有受到影響。
駭客運用5年前的TBK Vision視訊監控畫面側錄設備漏洞發動攻擊
資安業者Fortinet針對TBK Vision視訊監控畫面側錄設備(DVR)提出警告,近期駭客透過已經公開的概念性驗證(PoC)攻擊程式碼,攻擊存在漏洞CVE-2018-9995的視訊監視器,駭客發出惡意的Cookie,使得這些設備會透過JSON格式的管理員帳密進行回應,攻擊者得以繞過身分驗證流程並取得受害裝置的管理者權限,進而能夠存取監視器影像來源,CVSS風險評分為9.8,影響DVR4104、DVR4216等型號的機種,以及透過Novo、Cenova、QSee等廠牌銷售的同款設備。
研究人員在今年4月,看到超過5萬次嘗試利用上述漏洞的攻擊行為。值得留意的是,截至目前為止,TBK Vision是否發布了修補程式仍不明朗,使得研究人員呼籲企業應考慮更換仍受到支援的機種,或是將這些DVR與網際網路隔離。
塔吉克政府高層、電信業者、公共服務基礎設施遭俄羅斯駭客攻擊,至少有499個系統遭設置後門,發起Paperbug網路間諜攻擊
資安業者Prodaft揭露俄羅斯駭客組織Nomadic Octopus(亦稱DustSquad)攻擊行動Paperbug,駭客約自2020年開始,鎖定塔吉克的政府高層、電信業者、公共服務基礎設施下手,假借提供加密通訊軟體Telegram安裝程式的名義,對OT設備散布Windows惡意軟體Octopus、Paperbug。
駭客先是設法得到電信業者的網路存取權限,然後橫向移動到政府機關,或是其他含有漏洞的OT設備。截至2022年1月,此駭客組織入侵了499個系統並設置後門,這些系統包含了政府機關的網路設備、加油站、收銀機等。
DNS惡意軟體工具包Decoy Dog鎖定組織的網路設備而來
資安業者Infoblox揭露名為Decoy Dog的RAT木馬程式工具包,駭客利用此工具包於美國、歐洲、南美洲、亞洲國家發動攻擊,目標涵蓋了科技、醫療照護、能源、金融等產業(其中1個目標是美國國防部),在部分攻擊行動裡,該工具包能夠與駭客位於俄羅斯的C2主機進行通訊。
研究人員自4月上旬,在數個企業網路裡發現木馬程式Pupy的攻擊行動,此木馬程式是針對防火牆等網路設備而來,受到感染的企業會發出特定的DNS查詢,而該木馬程式正是來自工具包Decoy Dog。研究人員指出,此工具包具有獨特的DNS簽章,DNS請求的執行有固定的週期且不甚頻繁等特性。
他們針對Decoy Dog所使用的網域進行分析,發現可根據DNS供應商、名稱伺服器、註冊商進行歸納,研判背後發起攻擊的駭客很可能陸續改變策略,或是有多個駭客組織在利用該工具包發動攻擊。
根據新聞網站NBC News的報導,美國明尼蘇達州明尼亞波里斯學區(Minneapolis Public Schools)今年年初遭到網路攻擊,在該學區證實遭到勒索軟體攻擊之後,3月駭客開始公布竊得的檔案。該新聞網站總共從駭客的Telegram頻道取得約20萬個檔案,並檢視其中的500個,值得留意的是,當中疑似包含了學生與教師的高度敏感文件,像是老師濫權的指控、學生的心理報告等。
【資安防禦措施】
Google於4月26日宣布,他們取得法院的許可,封鎖用於散布竊資軟體CryptBot的網域。該公司指出,此竊資軟體主要針對Chrome瀏覽器的使用者而來,駭客假借提供Google Earth Pro、Chrome等應用程式的名義,引誘使用者下載遭到竄改的安裝程式,一旦使用者依照指示啟動安裝流程,電腦就會被植入惡意軟體,該公司估計去年約有67萬臺電腦受到感染。而對於攻擊者的身分,Google認為很可能來自巴基斯坦,且這些駭客經營跨國犯罪企業。
【其他新聞】
Netgear網路管理系統漏洞恐被用於提升權限、洩露帳密資料
兒童心理健康諮商業者Brightline證實檔案共用系統GoAnywhere遭零時差漏洞攻擊,78萬人資料洩露
德國IT服務業者Bitmarck遭到網路攻擊,關閉內部網路、客戶的系統
研究人員挾持14個熱門Packagist套件,目的是為了求職
近期資安日報
【5月4日】 NIST CSF網路安全框架2.0草案釋出,原五大功能構面有新變化,新增「治理」一項
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-05
2024-10-04
2024-10-04
2024-10-04
2024-10-05