駭客在釣魚攻擊行動裡,利用多種檔案格式的附件來迴避資安系統偵測的情況,包含了運用光碟映像檔(ISO、IMG、CDR),或是壓縮檔(ZIP、RAR)。但現在出現了另一種較為特別的檔案格式「RPMSG」,這是受到微軟權限管理服務(RMS)保護的檔案類型,只允許特定使用者存取,這樣的釣魚郵件攻擊顯得相當有針對性。
另一個很可能被用於網釣攻擊的手法,則是與Google開放ZIP頂級網域名稱(TLD)有關。最近有研究人員公布了在瀏覽器裡打造解壓縮軟體WinRAR視窗的概念性驗證攻擊手法,並指出這樣的網頁若是搭配特定的ZIP網域,很有可能讓使用者以為自己在開啟WinRAR程式而上當。
Google Cloud Platform(GCP)資料庫代管服務CloudSQL出現的漏洞也值得留意,這項漏洞與代管微軟SQL Server的部分配置不當有關,而使得攻擊者可取得SQL Server管理員權限並進行控制。
【攻擊與威脅】
駭客挾持Microsoft 365帳號並濫用RPMSG附件竊密
資安業者Trustwave揭露濫用微軟加密附件RPMSG的釣魚郵件攻擊行動,駭客先是利用遭竊的Microsoft 365帳號,假冒支付處理業者Talus Pay的名義,向目標公司的收費部門寄送帶有RPMSG附件的電子郵件,收信人必須透過自己的微軟帳號或是動態密碼才能存取。
一旦收信人照做,就會看到駭客提供的電子郵件內容,要求收信人存取置放於Adobe Indesign雲端服務當中SharePoint假文件,要求點選連接檢視文件內容,然而要是收信人依照指示下載、開啟,電腦就會執行惡意指令碼收集系統資訊,完成後還會再開啟偽造的Microsoft 365登入視窗,並將竊得資訊傳送到攻擊者的伺服器。
研究人員指出,使用RPMSG附件的攻擊數量目前並不多見,可說是相當具有針對性,而且,企業想要察覺這類攻擊並不容易。
間諜軟體Pegasus鎖定納戈爾諾卡拉巴赫戰爭而來,攻擊亞美尼亞人士
加拿大公民實驗室(Citizen Lab)與非營利組織Access Now、CyberHUB-AM、Amnesty International,以及行動裝置資安研究員Ruben Muradyan聯手,公布亞美尼亞人士手機曾遭到間諜軟體Pegasus攻擊的細節,並指出起因是蘋果在2021年向部分使用者發出通知,表示他們可能遭到國家級駭客攻擊。結果有不少亞美尼亞人向Access Now、CyberHUB-AM通報,懷疑自己的手機遭到攻擊。
在這些非營利組織聯手進行調查後,結果確認有12人的蘋果裝置,在2020年10月至2022年12月遭到Pegasus入侵,且和2020年發生的納戈爾諾卡拉巴赫戰爭有關,推測使用這類間諜軟體的背後主使,可能是亞美尼亞及亞塞拜然政府。
承包美國政府IT業務的跨國業者ABB公司傳出於5月7日遭到勒索軟體Black Basta攻擊,導致營運中斷、專案進度延期,現在該公司透露進一步的調查結果。
資安研究人員Kevin Beaumont取得該公司向客戶寄送的通知信,當中提及此起事故為勒索軟體攻擊,駭客部署了不會自我複製的勒索軟體,並外洩了特定的內部資料。
該公司尚在調查受影響範圍,並強調截至目前為止尚無客戶資料外洩的跡象,也並未對該公司的產品安全造成影響。
駭客可假裝在瀏覽器視窗「顯示」壓縮檔內容,引誘受害者下載惡意軟體
自Google開放註冊名為ZIP的頂級網域名稱(TLD)後,有資安專家警告可能會被用於攻擊行動,如今這樣的情況已出現相關工具。
資安研究員mr.d0x公布了濫用這種網域的網釣概念性驗證攻擊程式,駭客先註冊特定名稱的ZIP頂級網域(研究人員以mrd0x.zip為例),然後設置看起來像WinRAR畫面的網頁。
為了讓使用者誤以為真的在操作解壓縮程式降低戒心,網頁上的按鈕都確實有其作用,而能引誘受害者點選特定的檔案,「解壓縮」視窗裡面的文件檔案,進而讓受害者下載惡意檔案,或是將他們重新導向到另一個網頁,要求輸入帳密資料才能檢視檔案,進而側錄及竊密。
資安業者趨勢科技揭露名為Bandit的竊資軟體,此惡意程式是由Go語言開發而成,主要是透過命令列工具Runas來執行,而能在駭客取得具備足夠權限的帳號之下,以非現在登入的使用者帳號執行惡意程式。
一旦執行,此竊資軟體就會針對9種虛擬化環境的特徵進行檢查,確認是否在沙箱環境運作。駭客藉由此竊資軟體盜取受害電腦上的網頁瀏覽器組態,以及加密貨幣錢包的帳密。
研究人員指出,雖然這款竊資軟體針對Windows電腦而來,但他們在當中發現了Linux的檔案路徑,研判駭客可能也打算開發對於這類作業系統的竊資軟體。
針對資料外洩事件,YouBike擬賠償受害者每人500元騎乘券
共享單車業者YouBike自5月17日起,網站遭到2次攻擊導致資料外洩,4萬名用戶的騎乘資料曝光。該公司在上週末公布用戶的補償方案。針對所有騎乘資料外洩的使用者,該公司將提供500元的YouBike 2.0騎乘券,並計畫在9月底前發放、存入使用者的App;而對於已遭到詐騙的用戶,該公司打算受理提供賠償,補償內容為遭騙金額的50%,但上限為新臺幣2萬元。
【漏洞與修補】
GCP的資料庫代管服務CloudSQL出現嚴重漏洞,恐曝露機密資料
資安業者Dig揭露Google Cloud Platform(GCP)資料庫代管服務CloudSQL的嚴重漏洞(未登記CVE編號),研究人員先是在其代管的微軟SQL Server上,找到能將初始權限提升到名為DbRootRole群組的GCP管理員角色,再找到另一個組態錯誤配置的漏洞,取得Sysadmin權限,進而完全控制代管的SQL Server伺服器。
攻擊者一旦利用相關漏洞,就有可能存取作業系統底層代管的所有檔案,並且挖掘相關帳密資料,而能用於接下來的跳板攻擊。研究人員於2月向Google通報,該公司於4月完成修補,並根據Vulnerability Reward Program(VRP)給予研究人員獎金。
【其他新聞】
前員工向德國媒體洩露特斯拉內部機密,包含過往自動駕駛Autopilot的投訴資料
惡意軟體QBot濫用Windows內建的記事本應用程式側載執行
研究人員揭露Hot Pixels攻擊手法,藉由偵測處理器溫度、功率變化竊取電腦瀏覽器資料
近期資安日報
【5月26日】 模擬紅隊演練的工具傳出遭到濫用,駭客拿來攻擊電網的工控設備
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-18
2024-04-15