攻擊者利用Office檔案散布惡意程式的方式,算是相當常見,而過往最普遍的手法就是利用帶有巨集的Office檔案來進行,但隨著微軟這幾年封鎖惡意巨集的執行,駭客也尋求其他突圍手法。

例如,在近期的惡意軟體Agent Tesla攻擊當中,駭客利用的就是含有物件連結與嵌入(OLE)物件的Excel檔案,並宣稱使用者必須依照指示開啟,才能檢視完整內容。

 

【攻擊與威脅】

新版Agent Tesla惡意程式透過Excel檔案散布

資安業者Fortinet揭露最近一波的惡意軟體Agent Tesla攻擊行動,駭客先是透過釣魚郵件挾帶含有惡意Excel檔案,特別之處在於,該試算表檔案採用物件連結與嵌入(OLE)的格式,帶有偽造的方程式資料,但當中並未繼續透過巨集滲透與竄改系統,而是利用兩個5年前的漏洞CVE-2017-11882、CVE-2018-0802(CVSS風險評分皆為7.8)進行後續攻擊行動。

一旦收信人依照指示開啟上述的Excel檔案,就有可能觸發漏洞,從而導致方程式編輯器(EQNEDT32.EXE)處理程序發生了記憶體中斷的現象,使得攻擊者能透過處理程序挖空(Process Hollowing)手法,執行任意程式碼,然後透過Shell Code下載、執行Agent Tesla。

根據研究人員的觀察,他們每天看到約1,300臺存在上述弱點的電腦遭到鎖定,並出現3,000起攻擊行動。

英國國防機密資料恐遭俄羅斯駭客組織LockBit存取,起因是合作廠商遭到入侵

9月1日英國柵欄設備製造商Zaun發布資安通告,證實他們於8月5日至6日遭遇勒索軟體LockBit攻擊,駭客透過其中一臺用於製造產品的Windows 7電腦入侵,並竊得約10 GB的資料,占該公司總資料量的0.74%。所幸該公司的資安防護措施奏效,阻止伺服器檔案遭到加密,事發後他們也將上述遭到攻擊的電腦移除。該公司認為,駭客有可能已經取得部分電子郵件、訂單、設計圖、專案資料,並將其流入暗網,但強調機密資料並未出現外洩的跡象。

但根據當地媒體Mirror的報導,由於英國的軍事要塞採用該公司的產品,駭客流出的數千頁資料,有可能讓犯罪分子入侵克萊德海軍核子潛艇基地(HMNB Clyde)、化學武器實驗室Porton Down、政府通訊總部(GCHQ)。英國下議院國防特別委員會委員Kevan Jones認為,這起資安事故很可能對該國最敏感的軍事機構造成危害,政府必須對該公司IT系統防護不佳的情況提出說明。

該媒體指出,外洩文件包含了GCHQ的銷售訂單,以及皇家空軍基地RAF Waddington、電子作戰兵團第十四信號團(14th Signal Regiment)駐紮的考德軍營安全設施。不願具名的資安專家認為,這起事故對英國的國家安全基礎設施帶來毀滅性的打擊。

資料來源

1. https://www.zaun.co.uk/zaun-data-breach-update/
2. https://www.mirror.co.uk/news/uk-news/russia-linked-hackers-hit-uk-30850139

惡意軟體Kinsing鎖定Openfire漏洞而來

上個月資安業者VulCheck提出警告,超過3千臺開源即時通訊系統Openfire存在路徑穿越漏洞CVE-2023-32315(CVSS風險評分為8.6),如今有惡意軟體鎖定這項漏洞發起大規模攻擊行動。資安業者Aqua Security揭露惡意軟體Kinsing近期的攻擊行動,駭客在不到兩個月的時間,藉由上述高風險漏洞發動超過1千起攻擊,於目標伺服器部署該惡意程式與挖礦軟體,其中最常見的手法,是在伺服器上部署Web Shell,然後以此下載Kinsing及挖礦程式。

駭客先是利用漏洞建立新的管理員帳號,上傳名為cmd.jsp的外掛程式,之後攻擊者持續存取Openfire的主控臺並通過身分驗證,進而得到完整的存取權限,控制應用程式與伺服器主機。接著駭客利用ZIP壓縮檔上傳滲透測試工具Metasploit,觸發前述的cmd.jsp下載、執行Kinsing。該惡意程式與C2進行通訊,並下載第二階段酬載的Shell指令碼,以便攻擊者持續存取受害伺服器,並進一步部署門羅幣挖礦程式及執行其他攻擊行動。

研究人員指出,他們透過物聯網搜尋引擎Shodan進行搜尋,網路上有6,419臺Openfire伺服器,其中有984臺曝露在CVE-2023-32315的風險當中。

殭屍網路Mirai鎖定白牌安卓電視盒下手

防毒廠商Dr. Web揭露針對低價安卓電視盒的攻擊行動,駭客疑似透過供應鏈攻擊,在韌體更新的過程植入殭屍網路病毒Mirai,或是假借提供盜版影音內容的應用程式來對用戶發動攻擊,主要目標是搭載4核心處理器的電視盒,包含Tanix TX6、MX10 Pro 6K、H96 MAX X3。

一旦目標電視盒被植入此殭屍網路,就有可能遭到駭客控制,透過TCP或UDP通訊協定發動DDoS攻擊,發出SYN、ICMP、DNS洪水請求,或者,攻擊者也能藉此病毒執行反向Shell程式,竄改電視盒設備的檔案。

微軟調查中國駭客Storm-0558入侵25個組織電子郵件系統,他們發現導火線是2021年當機事故

微軟在今年7月透露,中國駭客組織Storm-0558藉由微軟帳號(MSA)的使用者簽章金鑰,偽造用於身分驗證的Token,進而存取歐洲、美國25個組織的Outlook Web Access in Exchange Online(OWA)或Outlook.com的電子郵件信箱。但究竟上述的簽章金鑰從何而來?最近有新的調查結果出爐。

9月6日微軟指出,很有可能是發生在2021年4月的當機事故所致,使用者簽章系統那時因當機發生,觸發相關處理程序的快照儲存作業(Crash Dump),然而因出現存取競爭狀況(race Condition)導致金錀不慎留存在快照裡面,卻未被察覺有異而沒處理,而流入了除錯環境,讓這些駭客有機可趁。後來駭客取得其中一名微軟工程師的帳號,從而引發這起攻擊事故。

 

【漏洞與修補】

Google發布9月份安卓更新,修補已出現攻擊行動的零時差漏洞

9月5日Google發布本月份的安卓例行更新,總共修補了33個漏洞,其中存在於該作業系統框架的高風險漏洞CVE-2023-35674,該公司表示已被用於攻擊部分用戶。

而根據漏洞的嚴重程度來看,本次他們修補了3項重大漏洞CVE-2023-35658、CVE-2023-35673、CVE-2023-35681,這些漏洞出現在系統層面,攻擊者可在尚未取得額外權限的情況下利用,並遠端執行任意程式碼(RCE),過程裡完全無須使用者互動。

 

【資安產業動態】

全球首批SEMI E187標準設備出爐

由臺灣主導的半導體產線設備資安標準規範SEMI E187,在2022年1月發布,抵達第一座里程碑,這一年半又有重大進展。

在2023國際半導體展期間舉行的SEMI E187合規設備發表會中,數位發展部數位產業署署長呂正華表示,最近已有兩家臺灣業者的設備通過驗證,分別是:均豪精密的自動光學檢測設備,以及東捷科技的空中行走式無人搬運系統。

呂正華認為,SEMI E187已經帶起了半導體產業上下遊供應鏈的資安意識,這樣的標準,未來若應用到面板、印刷電路板(PCB)、精密儀器,甚至進一步深入產業鏈裡面,會讓整個環境更重視資安。

 

【其他新聞】

烏克蘭關鍵基礎設施遭到俄羅斯駭客APT28攻擊

約會應用程式Coffee Meets Bagel傳出服務中斷,起因是遭到網路攻擊

SEL電源管理系統存在漏洞,有可能讓攻擊者發動RCE攻擊

內容管理系統PHPFusion存在漏洞,有可能讓攻擊者遠端執行任意程式碼

Google發布電腦版Chrome 116.0.5845.179,修補高風險漏洞

 

近期資安日報

【9月6日】 瀏覽器的開發工具元件成駭客竊取資料管道,研究人員揭露惡意軟體Chaes新一波攻擊行動

【9月5日】 瀏覽器的安全設計不良再加上網站漏洞讓惡意擴充程式有機可乘,挖掘用戶機密資料

【9月4日】 Adobe應用程式開發平臺ColdFusion重大漏洞被用於部署挖礦軟體、後門程式

熱門新聞

Advertisement