最近半年,針對中東地區而來的攻擊行動變得更加頻繁,而在本日的資安新聞裡,使用後門程式Deadglyph、LuaDream駭客,都將該地區列為目標,其中又以Deadglyph最為詭譎。
為了躲避資安系統偵測,駭客採用多種罕見的方法進行活動,其中最特別的部分,就屬後門程式與C2伺服器之間連線的機制,竟是透過在記憶體內執行的附加模組來達成,而使得其運作更加難以捉摸。
【攻擊與威脅】
資安業者ESET揭露駭客組織Stealth Falcon(亦稱Project Raven、FruityArmor)最近的攻擊行動,駭客利用名為Deadglyph的後門程式,鎖定中東的政府實體下手,此軟體由64位元執行檔及.NET元件組合而成,並透過特定的金鑰進行加密保護,而植入電腦的後門程式與C2連線方式相當特殊,是透過在記憶體內運作的附加元件,來動態接收攻擊者下達的命令。
一旦此後門程式開始執行,會啟動Shell Code載入工具,做為初始化元件,攻擊者從登錄檔載入特定的Shell Code,從而開啟後門程式的64位元執行檔(研究人員稱為Executor元件),而該程式又會啟動名為Orchestrator的.NET元件,以便從C2接收命令,這些工作排程主要涵蓋3種類型,分別是由Executor執行的工作、Orchestrator執行的工作,以及上傳工作。
研究人員指出,他們尚未確定駭客如何散布此後門程式,但駭客透過兩種不同程式語言開發而成的元件,並透過附加元件接收C2的命令,並且具備自我刪除等特性,使得該後門程式難以被資安系統察覺。
駭客組織Sandman鎖定電信業者散布惡意軟體LuaDream
資安業者SentinelOne、QGroup聯手,調查駭客組織Sandman的攻擊行動,該組織主要針對中東、西歐、南亞次大陸的電信業者而來,利用Lua程式語言的即時編譯系統LuaJIT打造後門程式LuaDream,竊取系統及使用者資訊,以便發動更進階的精準攻擊。
一旦攻擊者成功入侵目標組織的網路環境,就會利用Pass-the-Hash攻擊手法,重用存放於記憶體內的NLTM雜湊值對遠端伺服器進行身分驗證。研究人員指出,遭到駭客鎖定的工作站電腦,皆會指派給駭客組織的管理階層。
而對於後門程式的分析,LuaDream由34個元件組織,其中有13個是核心元件,其餘為支援元件,其運作方式是透過ffi程式庫來呼叫LuaJIT的位元組碼(Bytecode)及Windows API。
資安業者Securonix揭露鎖定烏克蘭軍方而來的網路釣魚攻擊Stark#Vortex,駭客組織UAC-0154透過電子郵件挾帶Windows說明檔案(CHM),聲稱是提供軍隊無人機訓練資料,一旦收信人開啟附件檔案,就會看到以烏克蘭語編寫的DJI Mavic 3說明文件,然後電腦可能觸發CHM檔案裡的JavaScript程式碼,執行PowerShell命令,從C2伺服器下載惡意酬載,經解碼該惡意酬載就會產生惡意框架MerlinAgent的Beacon元件,從而讓攻擊者控制受害電腦。
研究人員指出,由於無人機、無人駕駛的飛行器(UAV)已成為烏克蘭軍方不可或缺的工具,使得謊稱具有操作訓練內容的誘餌檔案隨之出現,這類文件檔案也可能讓軍人容易掉以輕心。
美國衛生暨公共服務部所屬的網路安全協調中心(HHS HC3)指出,中國駭客組織APT41、北韓駭客組織APT43(亦稱Kimsuky、Thallium)與Lazarus針對該國的公共衛生部門與醫療系統造成重大威脅。
其中,APT41得到中國政府資助,使用的攻擊手法非常複雜、創新,對美國公衛部門下手的動機,往往是為了配合中國政府的5年發展政策,扶持該國的醫療產業研發而來,他們通常會對醫療裝置子公司所採用的軟體或資訊科技感興趣,並入侵與這些公司有關的系統,部署鍵盤側錄程式Gearshift。這些駭客也鎖定生技公司下手,透過遭竊的帳密入侵,盜取人力資源資訊、稅務資料、臨床測試、學術研究、研發相關資訊。
而對於來自北韓駭客的威脅,HHS HC3指出,APT43擅長鎖定醫療產業進行社交工程、網路釣魚、收集帳密資料,並從事加密貨幣洗錢來籌措攻擊行動資金,之所以鎖定健康相關部門下手,目的是援助北韓流行疾病的因應工作;另一個駭客組織Lazarus,則是從事間諜行動、盜取智慧財產資料,包含COVID-19疫苗及相關醫療資訊。
資安業者Check Point揭露近期的銀行木馬BBTok攻擊行動,駭客主要鎖定巴西與墨西哥等逾40家拉丁美洲的銀行用戶下手,該木馬複製網路銀行的系統使用介面,進而誘騙使用者輸入雙因素驗證碼(2FA)、支付卡的資料,然後將銀行用戶的戶頭洗劫一空。
攻擊者利用釣魚郵件,挾帶ZIP附件或惡意連接,一旦收信人開啟,就有可能執行PowerShell指令碼,從遠端伺服器下載惡意程式,同時向收信人顯示誘餌文件檔案。研究人員指出,為了迴避偵測,駭客運用多種攻擊手法,當中包含了寄生攻擊(LOLBins),並且針對Windows 7、Windows 10作業系統繞過反惡意程式碼掃描介面(AMSI)及防毒軟體,然後檢查受害電腦所在的地理位置。
值得留意的是,駭客的行動相當謹慎,所有盜取銀行帳戶存款的流程,都是由駭客透過C2下達命令,而非透過惡意程式自動化執行。
【資安防禦措施】
資訊服務採購作業指引9月25日正式上路,明訂公部門編列專屬資安預算
9月25日行政院公共工程委員會發布公告,為協助公部門更為即時、有效強化資訊安全,並辦理有關的資訊服務採購,他們與數位發展部規畫的「資訊服務採購作業指引」、「各類資訊(服務)採購之共通性資通安全基本要求參考一覽表」正式上路。此作業指引涵蓋四大重點:(一)機關需編列獨立資安預算、(二)擴大工程會採購諮詢機制並納入數位發展部、(三)資服採購以不訂底價最有利標為原則、(四)開發過程需設定查核點。
行政院公共工程委員會指出,考量機關按上述指引及表單辦理資訊服務採購,廠商也要配合調整,為使廠商能夠有充分時間因應,根據資料或系統的機敏程度,普級系統之資安要求訂於2024年3月1日正式施行,中、高等級則訂於2024年8月1日正式施行。
資料來源
1. https://www.ithome.com.tw/article/158898
2. https://planpe.pcc.gov.tw/prms/explainLetter/readPrmsExplainLetterContentDetail?pkPrmsRuleContent=75001760&_csrf=41c91031-1b1a-45e1-8814-ff2f59c93227
9月22日數位發展部預告將修正資通安全管理法,修法草案包含5大重點:(一)主管機關調整為數位部、(二)要求公務機關不可採購與使用危害國家資通安全產品、(三)強化公務機關資安,導入地方資安及分層管理、(四)強化關鍵基礎設施、公營事業或特定法人等特定非公務機關的資安管理,特定非公務機關應設置資安長、(五)政府機關資安人員採行一條鞭制度,重大資安事件資安署可調度各機關資安人員支援。
【其他新聞】
東南亞政府機關遭到駭客組織中國駭客Mustang Panda、Alloy Taurus、Gelsemium鎖定
CI/CD系統TeamCity存在能挾持伺服器的漏洞,已出現攻擊行動
駭客組織ShadowSyndicate運用7款勒索軟體從事攻擊行動
近期資安日報
【9月25日】 埃及總統候選人遭到鎖定,攻擊者利用iOS零時差漏洞在手機植入間諜軟體Predator
熱門新聞
2024-05-12
2024-05-13
2024-05-13
2024-05-13
2024-05-10