近期歐美國家取締網路犯罪組織的執法行動大有斬獲,例如,1月破壞勒索軟體Hive的基礎設施,8月摧毀70萬臺電腦組成的QBot殭屍網路等,駭客因此元氣大傷、消聲匿跡一段時日。
12月19日再度傳出美國FBI宣布奪下勒索軟體駭客組織BlackCat網站,但對方在一天內又取回網站,顯然這次執法行動受到阻礙。駭客表示,只要是在獨立國家國協以外的企業組織,都可能是他們的目標。
【攻擊與威脅】
美國宣布破獲勒索軟體BlackCat的網站,但功敗垂成,駭客似乎奪回控制權
根據Bleeping Computer、Security Affairs等資安新聞網站的報導,12月7日有多組研究人員發現,勒索軟體駭客組織BlackCat(Alphv)的Tor網站離線,10日傳出是執法行動所致。
12月19日美國司法部宣布,聯邦調查局(FBI)在丹麥、德國、英國、荷蘭、德國、澳洲、西班牙、奧地利執法單位,以及歐洲刑警組織的國際合作下,他們成功對此勒索軟體組織進行破壞,FBI開發了檔案復原工具,估計能讓超過500個受害組織無須支付贖金就能還原資料,省下約6,800萬美元的贖金。根據多家新聞網站取得本次行動的搜索令,FBI取得946組Tor網站的公鑰、私鑰,並將資料進行備份。
然而,駭客也不是省油的燈,司法部公告發出後,沒隔多久,這些資安新聞媒體再度連到該網站,發現這個網站的頂部加上綠底黑字的標題,表明該網站沒有被司法單位拿下。網頁下半部提到,FBI確實從該組織的部落格取得相關金鑰,原因是他們代管部分主機的資料中心被FBI所控制,但FBI只拿到最近一個半月的資料,也就是約400家受害公司解密的金鑰,但實際上他們還握有逾3千家公司的金鑰,而這些公司將永遠無法復原檔案。另外,這個顯然被駭客奪回的網站也提到,他們對旗下的打手放寬攻擊限制,原本不攻擊的醫院、核電廠現在都可能是目標,唯一的規定就不能攻擊獨立國家國協(CIS)的成員國(包含俄羅斯、白俄羅斯等)。
資料來源
1. https://www.bleepingcomputer.com/news/security/alphv-ransomware-site-outage-rumored-to-be-caused-by-law-enforcement/
2. https://www.justice.gov/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant
3. https://www.documentcloud.org/documents/24231386-blackcat-alphv-search-warrant
4. https://twitter.com/vxunderground/status/1737167608997097839
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、澳洲網路安全中心(ACSC)聯手,針對勒索軟體Play的攻擊態勢提出警告,指出自駭客2022年6月從事攻擊行動以來,約有300個企業組織遇害。
這些駭客之所以能入侵受害組織,通常利用外流的帳密資料,或者曝露於網際網路的應用程式系統等管道,來達到目的,其中駭客利用的漏洞,包含了Fortinet的SSL VPN系統漏洞CVE-2018-13379、CVE-2020-12812,以及微軟Exchange漏洞ProxyNotShell(CVE-2022-41040和CVE-2022-41082)。
成功入侵後駭客利用AdFind、Grixba來進行偵察,並透過GMER、IOBit、PowerTool停用防毒軟體(在某些攻擊行動裡,駭客使用了PowerShell指令碼停用Microsoft Defender),接著駭客利用Cobalt Strike或SystemBC,來進行橫向移動及檔案執行。最終使用WinRAR等壓縮軟體打包竊得資料,並透過WinSCP外流,再採用間歇性加密的方式來破壞檔案。
資安業者Akamai揭露他們向微軟通報的漏洞CVE-2023-35384、CVE-2023-36710細節,並指出攻擊者一旦將兩者串連,就有機會對收信軟體Outlook進行零點擊攻擊,從遠端連至受害電腦執行任意程式碼(RCE)。
研究人員指出,CVE-2023-35384存在於MapUrlToZone功能函數解析路徑的過程,因此可繞過微軟在3月修補的重大等級Outlook漏洞CVE-2023-23397(CVSS風險評分為9.8),攻擊者若要觸發前述的問題,可寄送特製的電子郵件,一旦收信人透過Outlook接收,電腦就有可能從攻擊者的伺服器下載特殊的聲音檔案,CVSS風險評分為5.4。另一個漏洞CVE-2023-36710,則與名為Audio Compression Manager(ACM)的Windows元件有關,當電腦自動播放上述的聲音檔案,就有可能觸發,使得攻擊者可在受害電腦執行任意程式碼,CVSS風險評分為7.8。
為了驗證這兩個漏洞的串連攻擊,研究人員透過IMA ADP編碼器觸發第2個漏洞,過程中使用的聲音檔案大小為1.8 GB,他們根據計算的結果,推測要觸發ACM漏洞所需的檔案,容量至少要1 GB起跳。雖然上述漏洞微軟先後於8月、10月完成修補,但由於CVE-2023-23397已被駭客組織Forest Blizzard廣泛利用,研究人員認為,企業組織需要謹慎防範上述漏洞利用攻擊鏈。
資料來源
1. https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one
2. https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-two
為了迴避資安系統偵測,駭客利用合法的雲端服務,如:Dropbox、Google Drive、Discord來存放惡意程式的做法,相當常見,但現在一改過往採用檔案共享服務的方式,有越來越多駭客改用程式碼儲存庫來從事攻擊行動。
資安業者ReversingLabs指出,駭客透過GitHub代管惡意軟體的情況越來越頻繁,他們看到兩種新的手法,一種是濫用程式碼片段分享工具GitHub Gists,原因是駭客藉此代管惡意程式,並不會顯示作者的身分,而能當作另一種文字共享服務Pastebin加以濫用。
另一種新手法,則是透過git commit的訊息發送命令,駭客濫用版本控制系統,在受害者電腦安裝惡意程式後,此惡意軟體便會從GitHub複製指定的儲存庫,並檢查該儲存庫的開頭提交訊息是否存在特定字串,從而將其用於解碼Base64演算法處理的訊息,並透過新的處理程序執行Python命令。
12月8日金門租車業者金豐租車提出警告,有客戶接到來自國外的電話,假冒該租車業者進行詐騙,他們隨即請資安人員著手調查,結果發現該公司遭到國外駭客攻擊,並竊取客戶資料。金豐隨即關閉所有網路權限並確認駭客的足跡,並對客戶提出警告、報警查緝來源IP位址。該公司亦彙整客戶通報的詐騙話術,像是付費會員升等、異常大量訂車、扣錯款項等,並強調若是有任何匯款要求就直接拒絕,因為他們收款的方式只有兩種,一是透過綠界的平臺刷卡,另一種則是門市收取現金。
根據金門日報的報導,這起事故發生的原因,是該公司的電腦遭到中國駭客入侵,他們委託工程師進行調查,發現電腦遭到木馬入侵,研判就是客戶資料外洩的原因。金豐表示,截至目前尚未有客戶受害,並表明若有客戶受騙上當,他們會集體向加害者求償。
資料來源
1. https://www.facebook.com/kmfun.tw/posts/338947135535287
2. https://kmfun.tw/?route=information/page&news_id=11
【其他新聞】
Oracle WebLogic伺服器漏洞遭到駭客組織8220鎖定,用於散布惡意程式
伊朗駭客MuddyWater利用C2基礎設施架構MuddyC2Go對電信業者發動攻擊
近期資安日報
【12月19日】 金融木馬威脅在2023年爆增,惡意程式家族較去年多出接近一倍,600款行動應用程式用戶成駭客鎖定的目標
【12月18日】 新型態惡意軟體NKAbuse濫用區塊鏈進行傳輸資料、接收C2命令的工作,鎖定墨西哥、哥倫比亞、越南而來
【12月15日】 小型路由器成中國駭客組織Volt Typhoon下手目標,駭客植入殭屍網路病毒,入侵受害組織進行間諜行動
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22