鎖定NPM套件攻擊行動時有所聞,駭客上傳惡意套件引誘開發人員下載,進而入侵開發環境,但為何開發人員會上當?原因很可能與NPM網站上的套件資訊可能與實際內容不符有關。

又有勒索軟體駭客鎖定VMware虛擬化平臺而來,但與其他同類型的Linux勒索軟體不同的是,這個勒索軟體Akira導入了新功能,而有可能讓加密檔案的速度更快,讓受害組織難以反應。

Linux作業系統提供的軟體出現漏洞,也值得留意。有資安業者揭露Gentoo Linux作業系統套件Soko的重大漏洞,並指出可被用於SQL注入攻擊。

 

【攻擊與威脅】

VMware虛擬化平臺遭勒索軟體Akira鎖定

資安新聞網站Bleeping Computer針對勒索軟體Akira的最近一波攻擊提出警告,這款勒索軟體在今年3月被發現的時候,主要是針對Windows電腦下手,但現在駭客也打造Linux版本,目的是加密VMware ESXi虛擬機器的檔案。

該新聞網站取得勒索軟體檔案進行分析,發現駭客罕見地提供了加密檔案比例的選項,目的可能是讓攻擊者調整,以控制加快執行的速度。

而對於受害範圍,資安業者Cyble表示,自他們首度於4月揭露此駭客組織,迄今已有46個組織受害,大部分位於美國。

資料來源

1. https://www.bleepingcomputer.com/news/security/linux-version-of-akira-ransomware-targets-vmware-esxi-servers/
2. https://blog.cyble.com/2023/06/28/akira-ransomware-extends-reach-to-linux-platform/

惡意軟體下載器PindOS被用於散布Bumblebee、IcedID

資安業者DeepInstinct揭露名為PindOS的惡意程式下載工具,此為JavaScript打造而成的指令碼,功能極為單純,攻擊者可透過參數指定使用者代理字串(User Agent)、下載的URL、載入惡意軟體的DLL程式庫,攻擊者藉由此載入工具來散布惡意程式載入工具Bumblebee、IcedID。

研究人員指出,雖然PindOS會在受害電腦的磁碟上運作,但因為其指令採用了高度混淆手法,在最初現身時,大部分防毒引擎無法將其視為有害。

大樓保全利用職務之便蒐集40個社區的住戶個資,架設網站轉賣供房仲使用

根據ETtoday、聯合新聞網、三立新聞等媒體的報導,居住於臺中市的38歲陳姓男子,擔任物業管理職務的期間,得知房屋仲介使用俗稱「小白機」的住戶個資資料庫,他利用職務之便蒐集住戶資料,然後購買小白機並將兩者的資料整合,架設付費查詢網站,以日租、月租、永久會員的方式,向房仲兜售個資牟利,會員人數近百人,不法獲利約100萬元,臺中約有40個社區受害。

這起事件曝光的原因,是因為有民眾頻繁接到房仲業者的電話,詢問名下房屋是否要出售,懷疑個資遭外洩向警方報案,臺中市警察局刑事警察大隊科技犯罪偵查隊介入偵辦,發現個資來源是名為「房仲開發系統」的網站,警方查扣伺服器主機、隨身碟、現金等證物並下架網站,將陳姓男子以違反個人資料保護法第41條起訴,法院判刑10個月。

資料來源

1. https://www.ettoday.net/news/20230628/2529093.htm
2. https://udn.com/news/story/7321/7263332
3. https://www.setn.com/News.aspx?NewsID=1315460

 

【漏洞與修補】

NPM套件庫曝露於Manifest Confusion攻擊的風險當中

前GitHub工程師Darcy Clarke提出警告,NPM套件庫存在可被用於供應鏈攻擊的弱點Manifest Confusion,原因是套件在NPM網站上呈現的資訊,與tarball壓縮檔裡的安裝資訊package.json不盡相同,而且,此套件庫系統本身並不比對兩者的內容是否一致,而使得攻擊者可藉此誤導開發人員。

在套件的網站上,發布軟體的駭客作者故意顯示沒有相依的其他套件資訊,但開發者實際安裝套件的過程裡,這些套件卻依照package.json的指令,下載惡意相依套件,或是執行惡意指令碼,此時,開發人員無論使用NPM的命令列工具,或是其他第三方工具來部署套件,都無法避免這類狀況,而有可能受害。

Darcy Clarke指出,上述弱點GitHub早在2022年就知情,他也在今年3月透過HackerOne通報,但迄今GitHub仍未修補。

Gentoo Linux作業系統元件存在重大SQL注入漏洞,攻擊者可將其用於RCE攻擊

資安業者SonarSource揭露Gentoo Linux作業系統套件Soko的重大漏洞CVE-2023-28424,一旦有心人士想要利用,就有可能發動SQL注入攻擊,CVSS風險評分為9.1。研究人員從Soko的搜尋功能找到這些漏洞,開發團隊已於3月17日接獲通報,並在24小時之內完成修補。

這些漏洞發生的原因,與資料庫的組態配置不當有關,即使在套用了物件關係映射(Object-Relational Mapping,ORM)程式庫的情況下,攻擊者仍能利用上述的漏洞進行SQL注入,從而遠端於目標系統執行任意程式碼(RCE)。不過,由於Soko的元件與其他軟體服務隔離,研究人員認為,使用 Gentoo Linux的用戶不會因此遭遇供應鏈攻擊。

 

【資安防禦措施】

加密通訊網路EncroChat被破解3年,逾6千名嫌犯遭到逮捕

法國與荷蘭警方在歐洲刑警組織(Europol)與歐洲司法組織(Eurojust)的協助下,於2020年破解、摧毀受到犯罪集團青睞的加密通訊網路EncroChat,他們分析該網路1.15億則訊息之後,3年來逮捕了6,658名嫌犯,扣押或凍結近9億歐元的不法所得。

這起執法行動起因是法國憲兵隊2017年發現犯罪集團經常利用EncroChat手機通訊,隨後法國尋求荷蘭、Eurojust、Europol合作,並在2020年4月於法國境內的EncroChat伺服器進行監控,該公司6月察覺遭到滲透而終止營運。

 

【資安產業動態】

Windows 11將納入Passkey產生與使用,可望帶動新一波無密碼身分驗證應用

微軟在6月22日推出的Windows 11開發版本Build 23486當中,首度納入Passkey的身分驗證功能,讓用戶可以透過Windows Hello製作Passkey,未來用戶即可以設定的臉部、指紋或PIN碼的方式,登入網站及應用程式。此外,用戶也可以透過手機完成登入流程。

 

【其他新聞】

備份軟體Arcserve UDP出現身分驗證繞過漏洞

網路系統協會修補DNS軟體套件BIND9的DoS漏洞

美國聯邦機構數百臺設備的管理介面曝露於網際網路

竊資軟體ThirdEye鎖定俄語用戶而來

資安業者Fortinet揭露臺灣近7成企業導入零信任架構

 

近期資安日報

【6月28日】 兩大工業控制系統解決方案業者傳出遭遇MOVEit Transfer零時差漏洞攻擊

【6月27日】 駭客散布植入木馬程式的瑪利歐電玩安裝軟體,目的將玩家電腦高性能的CPU與GPU運算資源用於挖礦

【6月26日】 殭屍網路Mirai變種鎖定D-Link、Zyxel、Netgear網路設備而來

熱門新聞

Advertisement