勒索軟體BlackCat再度傳出新的攻擊行動,但值得留意的是,駭客運用的作案工具當中,包含了去年年底被揭露的惡意驅動程式Poortry,而有機會停用電腦防毒軟體的處理程序,免於遭到偵測。
於上週末發生資料外洩事故的共享單車服務YouBike,現在又有新的發展,桃園市政府交通局指出,該公司在公布資安事故後二度遭到攻擊,受影響人數也增加快一倍。
【攻擊與威脅】
勒索軟體BlackCat利用惡意驅動程式Poortry繞過防毒軟體偵測
資安業者Mandiant、Sophos、SentinelOne去年底揭露,有人透過微軟的硬體開發人員帳號,打造了含有微軟簽章(現在已註銷)的惡意驅動程式Poortry並用於攻擊行動,現在傳出駭客再度將其用於勒索軟體攻擊。
資安業者趨勢科技指出,他們在今年2月看到勒索軟體BlackCat的攻擊行動裡,駭客利用惡意驅動程式Poortry(檔案名稱為ktgn.sys),並將其部署於目標電腦的暫存資料夾(%Temp%),再透過tjr.exe可執行檔載入,最終執行勒索軟體BlackCat。
研究人員Yelisey Bohuslavskiy發現,勒索軟體駭客組織Royal改變其攻擊手法,著手開發自己專屬的惡意程式載入工具,其主要特徵是檔案很小(不到250 KB),以及僅具備部署Cobalt Strike的單一用途。研究人員指出,駭客將入侵目標電腦的工具獨立於勒索軟體之外,主要目的就是能讓駭客在攻擊行動中,自由搭配自己偏好的勒索軟體來進行。
而對於該惡意程式載入工具與其他駭客之前的關連,研究人員指出該工具當中含有另一款惡意程式Anubis的主要功能,而Anubis是勒索軟體駭客Conti打造的IcedID變種。
美國達拉斯市遭勒索軟體Royal攻擊,駭客要脅要公布竊得的員工個資及法院資料
美國德州第3大城市達拉斯於5月初,傳出遭到勒索軟體Royal攻擊,導致市政府的部分業務中斷,當地法庭休庭、警察局網站出現503錯誤訊息。現在傳出駭客打算公布竊得的資料,他們聲稱握有達拉斯大量市政府員工個資,以及法庭案件的資料,並指出員工個資包括了社會安全碼(SSN)、護照資料、信用卡號碼、聯絡方式等;而法庭資料的部分則則含有被監禁人士的個資、醫療資訊、用戶資料,此外,還有數以千計的政府文件。
對此,達拉斯市政府於19日表示,他們得知駭客組織要脅要公布相關資料的情況,但沒有資料外洩的跡象,他們將進行監控。到了22日,市政府指出法院將在30日重新開放。
暴力破解手法不僅用於密碼猜測,有人找出可用於破解手機指紋驗證的作法
騰訊實驗室與浙江大學的研究人員揭露名為BrutePrint的攻擊手法,藉由暴力破解的方式通過智慧型手機的指紋辨識,進而控制手機。研究人員發現2個可被用於上述攻擊的零時差漏洞,他們將其命名為Cancel-After-Match-Fail(CAMF),以及Match-After-Lock(MAL),並指出這類手法可針對所有的安卓、HarmonyOS、iOS裝置發動攻擊。
攻擊者事先取得用於學術的指紋資料庫及相關設備,就有機會利用上述的2個漏洞,持續比對指紋資料,且不會記錄失敗的情況而不致遭到封鎖。
值得留意的是,如果使用者註冊了多個指紋,暴力破解所需的時間會大幅降低,從1個指紋需2.9至13.9個小時,降至0.66至2.78個小時。研究人員指出,這種手法雖然需要長時間接觸手機,但小偷和執法單位很可能藉此破解指紋辨識機制而控制目標裝置。
資安業者卡巴斯基揭露駭客組織Bad Magic(亦稱Red Stinger)的攻擊行動,此駭客組織原本的主要目標,是烏克蘭境內的頓內茨克、盧甘斯克、克里米亞半島,但現在範圍擴及烏克蘭的西部及中部,針對其個人、外交單位、研究機構而來。
研究人員指出,這些駭客攻擊行動的特徵,就是使用模組化的惡意框架CloudWizard,而能截取受害電腦螢幕截圖、錄下麥克風聲音、側錄鍵盤輸入的內容、截取帳密資料、收集Gmail信箱的能力。
在他們進一步針對CloudWizard進行分析後,發現利用此工具發動攻擊的駭客,也曾參與Operation Groundbait和Operation BugDrop攻擊行動,並曾經使用名為Prikormka的惡意程式,研判這些駭客至少從2008年就開始活動。
加密貨幣網釣攻擊也出現服務化的現象,Inferno Drainer從近5千人盜取加密貨幣
資安業者Scam Sniffer指出,他們看到有人自今年2月,提供名為Inferno Drainer的加密貨幣網釣工具服務,該服務自3月27日開始,建置了約689個可用於攻擊的冒牌網站,這些網站模仿229個加密貨幣業者,如 Pepe、Bob、MetaMask、OpenSea,供買家向使用者進行網路釣魚或是詐騙。
研究人員指出,提供該服務的賣家以抽成的方式向買家收費,他們在買家成功竊得加密貨幣後收取2至3成的傭金,截至目標為止,研究人員總共發現有4,888人受害,約有590萬美元的加密貨幣被盜。
上週末共享單車服務YouBike遭到境外網路攻擊,該公司亦暫時停用會員登入系統,並傳出約有2.1萬交易資料遭竊,但如今這起事故的受害範圍恐有擴大的趨勢。
桃園市政府交通局於5月22日會同臺北市政府、新北市政府對YouBike進行查核並進行初步了解,得知該公司分別於19日及21日,先後遭到境外及境內的網路攻擊,總共約有4萬多名會員的交易資料遭竊。對此,桃園市政府要求YouBike於26日前完成加強網路管制措施及改善事項,並提出會員通案性的賠償方案。
【資安防禦措施】
職場社群網站LinkedIn於5月22日宣布,他們將正式推出職位驗證工具和反詐騙機制,目的是提升該平臺安全,並保護用戶免於徵才詐騙的情況。該公司也針對使用者收到的工作邀請或私人訊息,透過機器學習的技術進行自動辨識,若是發現疑似不安全的情況,就會顯示紅色警示文字。
而對於該公司採取上述措施的動機,科技新聞網站Engadget認為,很有可能與近期發布的透明度報告有關──該公司於2022年下半封鎖5,800萬個詐騙帳號,較上半年的2,200萬個翻倍,此外,該公司也看到利用AI產生的假照片及個人資料。
【其他新聞】
勒索軟體Qilin改以程式語言Rust開發,鎖定教育、醫療、金融產業而來
駭客透過AI產生五角大廈爆炸影片,假冒知名媒體散布訊息,導致美國股市應聲下跌
研究人員打造大型語言機器學習模型DarkBERT,可自動化從暗網收集威脅情報
近期資安日報
【5月22日】 YouBike證實遭到網路攻擊,2.1萬用戶資料外洩
熱門新聞
2024-05-03
2024-05-06
2024-05-03
2024-05-03
2024-05-03