文/周峻佑 | 2023-09-15發表

這幾天,與勒索軟體攻擊有關的資安事故占據了不少新聞版面,其中又以美國大型賭場及旅館業者美高梅(MGM Resorts International)遭攻擊的事件受到最多關注,該公司週一(11日)發布公告,這幾天又有新的進展,資安研究機構與廠商表示,攻擊者可能是勒索軟體BlackCat旗下的駭客組織Scattered Spider,而該組織亦傳出對另一家賭場暨旅館業者凱撒娛樂(Caesars Entertainment)下手。

巧合的是,有研究人員揭露利用竊資軟體(Infostealer)對於旅館業者進行的勒索軟體攻擊行動,究竟是否與上述事件有關?有待進一步觀察。

 

【攻擊與威脅】

旅館集團MGM Resorts傳出遭到勒索軟體BlackCat旗下組織攻擊,VMware虛擬化平臺被加密而停擺

9月11日美高梅國際旅館集團(MGM Resorts International)公告發生網路攻擊事故,旗下旅館與賭場的網站皆停止服務,事隔數日有駭客組織坦承犯行。

根據資安新聞網站Bleeping Computer的報導,資安研究團隊VX-Underground於13日指出,發動攻擊的駭客組織是BlackCat(Alphv),對方從職場社群網站的LinkedIn找到一名員工,打電話給服務臺,不到10分鐘就成功入侵該集團。

資安業者WithSecure研究長Mikko Hypponen透露,BlackCat承認是旗下所屬的駭客團體犯案,並透露該組織於8日滲透美高梅的網路環境,該集團後來察覺駭客潛伏在Okta Agent伺服器並盜取使用者帳密資料,便關閉所有的Okta同步伺服器,但當時這些駭客已取得Okta系統的超級管理員權限、Azure租戶的全域管理權限。美高梅10日封鎖Okta系統的存取,並切斷基礎設施部分關鍵元件的網路。駭客在該集團尋求資安專家協助後,11日對該集團逾100臺VMware ESXi伺服器展開勒索軟體攻擊。

根據路透社、彭博社的報導,發動攻擊的駭客被稱為Scattered Spider(亦稱0ktapus、UNC3944),這些駭客也入侵另一家博奕集團凱撒娛樂(Caesars Entertainment)。

資料來源

1. https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/
2. https://twitter.com/vxunderground/status/1701758864390050145
3. https://twitter.com/mikko/status/1702421207738663281
4. https://www.reuters.com/technology/moodys-says-breach-mgm-is-credit-negative-disruption-lingers-2023-09-13/
5. https://www.bloomberg.com/news/articles/2023-09-13/mgm-caesars-hacked-by-scattered-spider-in-span-of-few-weeks

美國賭場業者Caesars證實遭網路攻擊,熟客資料庫外洩

繼美高梅國際酒店集團遭到駭客入侵,前身為Eldorado Resorts的美國連鎖賭場凱撒娛樂(Caesars Entertainment)亦傳出資安事故。9月7日凱撒娛樂向美國證券交易所(SEC)提交了8-K表單通報資安事故,表示他們近期察覺IT網路環境出現可疑活動,經調查是IT支援服務業者遭遇社交工程攻擊,駭客存取了會員忠誠計畫的資料庫,內含會員的駕照號碼與社會安全碼等個資,但根據目前的調查結果,尚未出現會員帳密資料或金融資訊被盜的證據。

雖然凱撒娛樂並未透露他們遭到攻擊的類型,但根據當地媒體的報導,該賭場很有可能遭遇勒索軟體攻擊。該集團透過討價還價方式協商,最終支付一半的金額;彭博社指出凱撒娛樂支付超過1千萬美元的贖金,攻擊者的身分為Scattered Spider。

資料來源

1. https://www.sec.gov/ix?doc=/Archives/edgar/data/0001590895/000119312523235015/d537840d8k.htm
2. https://www.wsj.com/business/hospitality/caesars-paid-ransom-after-suffering-cyberattack-7792c7f0
3. https://www.bloomberg.com/news/articles/2023-09-13/caesars-entertainment-paid-millions-in-ransom-in-recent-attack

英國曼徹斯特警局資料外洩,起因是外部供應商遭勒索軟體攻擊

9月14日英國大曼徹斯特警局(GMP)發布公告,指出他們的第三方供應商遭到勒索軟體攻擊,該供應商握有GMP的員工部分資料而可能遭到外洩。GMP認為,上述資料不包括財務資訊,但沒有透露那些類型的資料可能被洩露,也並未透露受影響的人數。

而這並非該國警方近期發生的資料外洩事故,北愛爾蘭警局(PSNI)、倫敦警察廳先後於8月8日與26日,表明因外部供應商遭到網路攻擊而資料外洩。

空中巴士著手調查資料外洩事故

網路威脅情報業者Hudson Rock於9月12日指出,駭客組織USDoD在網路犯罪論壇聲稱竊得空中巴士(Airbus)的內部資料,包含3,200名供應商相關人員的資料,包括姓名、職稱、地址、電子郵件信箱、電話號碼。這些駭客竊取資料的管道,是透過土耳其航空員工的帳號來存取空中巴士系統。研究人員指出,這名員工遭遇網路釣魚攻擊,駭客引誘下載.NET Framework惡意版本,然後在電腦上植入竊資軟體RedLine而得逞。

對此,空中巴士證實正在著手調查一起網路攻擊事故,與該公司客戶相關的帳號遭到攻擊,並被用於從空中巴士入口網站下載與業務相關的檔案。

竊資軟體RedLine、Vidar濫用EV憑證,以此對旅館業者發動勒索軟體攻擊

資安業者趨勢科技揭露竊資軟體RedLine、Vidar的新一波攻擊行動,今年初駭客將目標轉向旅館業,利用住宿與健康資訊為幌子,向使用者寄出釣魚郵件,這些郵件的附件檔案通常是可執行檔(EXE),但駭客設置雙重副檔名,讓大部分收信人誤以為開啟的資料是PDF文件或JPG圖檔。一旦收信人執行附件檔案,攻擊者便會利用捷徑檔案(LNK)執行惡意命令,從而繞過防毒軟體的偵測,並從雲端檔案共享服務Google Drive下載惡意酬載。

在其中一起攻擊行動裡,受害者收到假冒旅遊評論網站TripAdvisor的投訴郵件,並在開啟副檔名為.pdf.htm的附件檔案,最終電腦被勒索軟體加密檔案。特別的是,駭客為了迴避偵測,過程裡部署的竊資軟體含有擴充驗證憑證(EV)的簽章。

研究人員指出,由於這類憑證取得難度較一般的程式碼憑證來得高,必須透過實體組織申請,且要搭配硬體Token才能產生對應的私鑰,但究竟駭客如何取得這類憑證?研究人員推測,攻擊者已掌握能存取連線硬體Token的主機。

醫療院所數位支付工具醫指付傳出去年就發現身分驗證缺失,但遲遲未得到處理

本週醫療院所數位支付工具醫指付傳出盜刷事故,但現在有人指控,該支付平臺的身分驗證機制過於鬆散,很有可能就是這起事故的導火線。

根據關鍵評論網的報導,有名從事網站設計的使用者向他們投訴,去年6月台灣駭客協會(HITCON)漏洞通報平臺ZeroDay揭露醫指付的身分驗證機制極為薄弱,使用者帳號綁定手機,僅提供用戶設定4位數字的密碼,且沒有其他防護措施,或是異地登入的警告機制,使得攻擊者可在用戶不知情的狀況下進行暴力破解,存取用戶及其親友資料,以及信用卡資訊,4月底通報大洸醫院管理顧問公司沒有得到回應,而在6月揭露此事。

對此,大洸醫院管理顧問公司表示,他們在最近兩個月才獲報盜刷情事,並承諾2星期內找出漏洞向社會大眾說明。再者,則是醫指付今年底App將會改版,改採6位密碼,並加上登入成功、失敗的通知。

 

【漏洞與修補】

Kubernetes漏洞有可能被用於攻擊叢集裡的Windows端點

資安業者Akamai揭露容器與微服務管理系統Kubernetes出現的高風險漏洞,包括CVE-2023-3676、CVE-2023-3955、CVE-2023-3893,這些漏洞與不安全的功能呼叫、缺乏使用者輸入的清理有關,攻擊者若要觸發上述漏洞,可在Kubernetes環境套用惡意的YAML檔案,從而在所有Windows端點以SYSTEM的權限遠端執行任意程式碼(RCE),CVSS風險評分為8.8。

研究人員於7月13日進行通報,Kubernetes開發團隊於8月23日提供修補程式。此外,AWS、Google Cloud、微軟Azure均發布資安通告,指出這些漏洞存在於特定版本的kubelet元件。

開放原始碼分析服務Azure HDInsight Analytics存在XSS漏洞

資安業者Ocra Security公布他們向微軟通報的開放原始碼分析服務Azure HDInsight Analytics漏洞細節,這些皆為跨網站指令碼(XSS)漏洞,有6個為儲存型(Stored)XSS、2個為反射型(Reflected)XSS,一旦遭到利用,攻擊者就有可能用來執行未經授權的行為,例如存取資料、挾持連線階段、傳遞惡意酬載。

究竟研究人員發現這些漏洞?起因是他們注意到該系統的Apache Ambari後臺元件存在多個參數,且在預設的情況下能隨意修改,使得研究人員在找出其中一個儲存型XSS漏洞後,很快地於數天裡挖掘其他7個漏洞。微軟接獲通報後,於8月份的例行更新(Patch Tuesday)提供修補程式。

 

【其他新聞】

紐西蘭奧克蘭交通局傳出遭到勒索軟體攻擊,導致付款系統失效

伊朗駭客APT33發起密碼潑灑攻擊

惡意軟體BatLoader透過Google廣告散布

程式庫ncurses存在高風險漏洞,影響執行Linux、macOS作業系統的電腦

資安業者JFrog支援機器學習模型管理,強化AI應用開發安全

 

近期資安日報

【9月14日】 中國駭客組織Redfly鎖定亞洲國家的電網下手,散布惡意軟體ShadowPad

【9月13日】 手機醫療費用支付App醫指付傳出用戶信用卡遭盜刷,但個資外洩原因有待釐清

【9月12日】 越南駭客藉由Meta即時通訊軟體散布竊資軟體,意圖挾持企業的臉書帳號

iThome Security

熱門新聞

Advertisement