北韓駭客Lazarus近期的動作頻頻,不時傳出對於臨近的韓國,以及位於地球另一端的歐洲國家發動攻擊,而最近研究人員揭露的新一波攻擊行動,是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是,駭客在漏洞公布的數天後,就將其用於攻擊行動,而讓尚未修補的企業組織措手不及。
另一方面,研究人員發現駭客也改良了作案工具,使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。
【攻擊與威脅】
Zoho ManageEngine服務臺系統漏洞遭到北韓駭客Lazarus鎖定,用於散布惡意程式QuiteRAT、CollectionRAT
思科威脅情報團隊Talos發現,北韓駭客組織Lazarus鎖定IT服務臺系統Zoho ManageEngine ServiceDesk而來,他們利用重大漏洞CVE-2022-47966(CVSS風險評分為9.8)發動攻擊,目標是歐洲及美國的網際網路基礎設施供應商、醫療保健機構。
研究人員在今年初看到駭客入侵歐洲網際網路基礎設施供應商,並成功於受害組織部署惡意程式QuiteRAT,後續他們調查駭客的基礎設施,發現這個攻擊團體同時打造另一款惡意程式CollectionRAT。
分析它們的特性之後,研究人員指出,QuiteRAT可能是MagicRAT的改良版本,功能大致相同但程式碼較為精簡,且縮減使用的Qt程式庫,使得本體從18 MB降為4 MB;CollectionRAT則是從EarlyRAT衍生而來,其特色是整併了Microsoft Foundation Class(MFC)程式庫,而能動態解密並執行程式碼,進而迴避資安系統偵測。
資料來源
1. https://blog.talosintelligence.com/lazarus-quiterat/
2. https://blog.talosintelligence.com/lazarus-collectionrat/
惡意軟體Whiffy Recon透過Wi-Fi無線網路追蹤受害者
資安業者Secureworks揭露名為Whiffy Recon的惡意程式,他們發現建置殭屍網路Smoke Loader的駭客,約自8月8日開始向感染病毒的電腦投放此Wi-Fi掃描工具,藉由電腦附近的Wi-Fi節點,並將相關資料透過Google的地理位置追蹤API進行定位。
一旦電腦被植入Whiffy Recon,就會先偵測是否存在名為WLANSVC的服務,然後透過機器人程式向C2伺服器註冊,接著每分鐘執行一次Wi-Fi無線網路的掃描,濫用Windows作業系統的WLAN API收集所需資料,並向Google的地理位置定位API發送HTTPS POST請求,提供Wi-Fi節點的資料。待Google回傳對應的坐標位置後,該惡意程式會向C2回傳受害電腦的無線網路與地理位置資訊。
駭客透過惡意廣告及SEO中毒攻擊,散布惡意程式DarkGate
資安業者Malwarebytes揭露新一波的惡意軟體DarkGate攻擊行動,駭客透過惡意廣告及搜尋引擎最佳化中毒(SEO Poisoning)手法,假借提供網管工具Advanced IP Scanner的名義來散布DarkGate。
一旦使用者從駭客的網站下載安裝程式並執行,就有可能在安安前述的網管工具過程中,電腦也被植入惡意程式。研究人員後來又看到數起DarkGate的攻擊行動,其共通點是駭客所提供的安裝程式當中,皆包含了Autoit指令碼,並將惡意酬載進行混淆處理而能迴避防毒軟體偵測。
俄羅斯駭客利用Telegram機器Telekopye發動網釣攻擊
資安業者ESET揭露名為Telekopye的Telegram機器人,駭客將其用於發動自動化的網路釣魚攻擊,透過範本檔案產生釣魚網頁,然後寄送URL給目標使用者。
研究人員找到多個版本的Telekopye,駭客很可能從2015年就開始使用這套機器人工具,捏造eBay、BlaBlaCar 、YULA、OLX的購物網頁,一旦使用者上鉤,在駭客的付款網頁上輸入信用卡或借記卡的資料,此機器人就會將其用來洗劫被害人,然後透過加密貨幣洗錢,最終統籌贓款。另一種釣魚手法則是鎖定賣家而來,說服他們必須支付押金才能收到貨款來行騙。
美國針對Barracuda郵件安全閘道用戶提出警告,已修補漏洞的設備仍可能遭到攻擊,因此呼籲用戶更換
資安業者Barracuda於5月20日派送更新程式,遠端修補郵件安全閘道ESG的重大漏洞CVE-2023-2868(CVSS風險評為10分),後來在6月7日呼籲用戶更換設備,現在美國政府也提出類似的看法。
美國聯邦調查局(FBI)於8月23日發布資安通告,指出由於迄今中國駭客積極利用上述漏洞發動攻擊,再加上Barracuda提供的更新程式無法助緩解已遭到攻擊的系統,他們呼籲用戶應儘速隔離並更換所有受到影響的ESG系統,並掃描網路環境是否出現遭到入侵的跡象。
【漏洞與修補】
Rockwell的Thin Client設備管理系統被揭露漏洞,恐暴露工控環境的人機介面
資安業者Tenalbe在Rockwell Automation的精簡用戶端設備管理系統ThinManager上,發現CVE-2023-2914、CVE-2023-2915、CVE-2023-2917,CVSS風險評分介於7.5至9.8。這些漏洞出現在遠端桌面連線(RDP)伺服器的管理元件ThinServer上,由於未進行正確的輸入驗證,而可能導致該系統發生記憶體整數溢位,或是造成路徑穿越的情形,攻擊者有可能藉此來發動阻斷服務攻擊,或是利用系統權限刪除任意檔案,或是上傳檔案到部署ThinServer的磁碟。
研究人員指出,利用這些漏洞必備條件是存取目標伺服器所在的網路環境,之後就有機會完全控制ThinServer。由於這套系統通常被用於監控OT環境的人機介面(HMI),攻擊者很有可能藉著漏洞入侵HMI,甚至進一步攻擊網路環境裡其他的設備。對此,美國網路安全暨基礎設施安全局(CISA)於8月22日發出警告,呼籲企業組織應儘速套用緩解措施。
資料來源
1. https://www.tenable.com/security/research/tra-2023-28
2. https://www.cisa.gov/news-events/ics-advisories/icsa-23-234-03
【其他新聞】
近期資安日報
【8月24日】 DuoLingo用戶個資傳出在駭客論壇兜售,疑似因API臭蟲而外洩
熱門新聞
2024-05-06
2024-05-10
2024-05-06
2024-05-06
2024-05-07
2024-05-06