上週出現資安業者Mandiant的X(推特)帳號遭駭的事故,駭客得逞後將其帳號改名,並聲稱提供加密貨幣錢包應用程式,但若是照做、安裝對方提供的軟體,他們的錢包就會被洗劫一空。
事隔數日,另一家資安業者的X帳號也出現遭到挾持的情況,但值得留意的是,這次攻擊者特別針對專精區塊鏈領域的業者下手,並宣稱可利用他們的工具「保護」資產。
【攻擊與威脅】
區塊鏈資安業者CertiK的X帳號遭駭,被用於散布惡意程式,榨乾用戶的加密貨幣
根據資安新聞網站Bleeping Computer的報導,區塊鏈資安業者CertiK的X(推特)帳號在1月5日遭到挾持,該公司利用另一個專門提供威脅情報資訊的帳號CertiKAlert證實此事,並表示他們正在著手調查,要求用戶暫時不要與駭客發出的推文進行互動。
專門調查加密貨幣詐欺的資安團隊ZachXBT指出,駭客挾持其中一名記者的帳號來發送釣魚訊息,而這個帳號擁有超過100萬名粉絲,但自2020年就處於停止活動的狀態。駭客利用上述記者的帳號聯繫Certik,假借對研究人員在富比士發表的文章進行提問,並安排採訪,從而將該公司員工引導連至釣魚網站,竊取其帳密資料。
這些駭客得逞後,利用Certik的X帳號散布假消息,意圖引導使用者連往冒牌的RevokeCash網站,聲稱加密貨幣持有者可藉此撤銷有問題的交易授權,但若是投資人照做,他們的加密貨幣將會被惡意程式盜領一空。CertiK在駭客發布推文的15分鐘後,將其刪除,並公布事件發生的過程。
資料來源
1. https://twitter.com/CertiKAlert/status/1743202025771327740
2. https://twitter.com/RevokeCash/status/1743195962082775098
3. https://twitter.com/CertiK/status/1743252309662912937
4. https://twitter.com/CertiK/status/1743278606569083344
荷蘭IT業者與電信公司遭土耳其駭客Sea Turtle滲透,潛入內部從事網路間諜行動
資安業者Hunt & Hackett揭露土耳其駭客組織Sea Turtle(亦稱Teal Kurma、Cosmic Wolf)針對荷蘭從事的網路間諜行動,主要目標是當地的電信業者、媒體、網路服務供應商(ISP)。
駭客在2023年的其中一起攻擊當中,先是透過VPN連線,並以外流的帳號存取特定的cPanel管理主控臺,但究竟駭客如何入侵這個帳號仍不得而知。事隔數日,上述的帳號建立了網頁信箱的連線階段(Session),且有人使用相同的來源IP位址進行SSH連線,然後投放以C語言編寫而成的SnappyTCP原始碼(此程式為反向Shell),接著攻擊者利用GCC編譯上述的原始碼,但特別的是,研究人員發現駭客也在GitHub存放相同的程式碼(現已移除)。接著攻擊者利用NoHup命令執行SnappyTCP,並以TCP連線至C2。
數週後駭客透過cPanel在網路磁碟部署資料庫管理工具Adminer,最終利用SnappyTCP對受害伺服器發出命令,並產生電子郵件備份檔案,駭客疑似藉此外流伺服器的機敏資料。
阿爾巴尼亞遭伊朗駭客透過資料破壞軟體No-Justice攻擊
資安業者ClearSky揭露伊朗駭客組織Homeland Justice近期的的攻擊行動,這些駭客在12月24日,針對阿爾巴尼亞電信業者One Albania、Eagle Mobile Albania、航空業者Air Albania,以及該國的議會而來,聲稱要消滅支援恐怖分子的支持者。
而在這起攻擊行動裡,駭客主要使用的工具有2個,分別是名為No-Justice的資料破壞軟體(Wiper),以及PowerShell指令碼。駭客先從主開機磁區(MBR)刪除特定簽章資料,並透過管理者權限執行資料破壞軟體,然後藉由前述的指令碼啟動Windows遠端管理功能(WinRM),將No-Justice散布到其他電腦。
研究人員揭露Mac後門程式SpectralBlur,疑為惡意程式KandyKorn的前身
資安研究員Greg Lesnewich揭露用於攻擊Mac電腦的後門程式SpectralBlur,北韓駭客組織BlueNoroff(亦稱TA444、Sapphire Sleet)約從去年8月將其用於攻擊行動,此後門程式可根據C2下達的命令,進行檔案的上傳或是下載、執行Shell程式碼、刪除檔案,或是啟動休眠、睡眠埋藏行蹤。
研究人員指出,此後門程式很可能就是KandyKorn(亦稱SockRacket)的前身,這兩款惡意程式疑似由該組織的不同開發團隊打造而成。當時資安業者SentinelOne發現,駭客先是利用惡意程式載入工具RustBucket,散布SwiftLoader、KandyKorn,然後在受害電腦部署RustBucket、ObjCShellz等惡意酬載。
【漏洞與修補】
臺灣NAS廠商威聯通修補QTS、Video Station、QuMagie等多項產品高風險漏洞
1月6日NAS廠商威聯通(QNAP)發布7則資安公告,修補QTS及QuTS hero作業系統,以及Video Station、QuMagie、Netatalk等元件的漏洞。
其中該公司針對NAS作業系統修補了原型汙染漏洞CVE-2023-39296,一旦遭利用,攻擊者就有機會遠端將屬性竄改為不相容的類型,從而導致系統當機,CVSS風險評分為7.5。而在應用程式的部分,他們針對影片管理軟體Video Station修補了作業系統命令注入漏洞CVE-2023-41288,攻擊者若是觸發該漏洞,就有機會透過網路執行命令,CVSS風險評分為8.8;至於AI相簿程式QuMagie的部分,他們修補了另一個作業系統命令注入漏洞CVE-2023-47560,CVSS風險評分為7.4。
值得留意的是,本次威聯通也對於netatalk元件提供更新,修補去年被揭露的重大漏洞CVE-2022-43634,攻擊者可在無需通過身分驗證的情況下,遠端執行任意程式碼,CVSS風險評分達到9.8。該公司表示,截至他們發布公告,尚未察覺上述漏洞遭到利用的跡象。
資料來源
1. https://www.qnap.com/en/security-advisory/qsa-23-64
2. https://www.qnap.com/en/security-advisory/qsa-23-55
3. https://www.qnap.com/en/security-advisory/qsa-23-23
4. https://www.qnap.com/en/security-advisory/qsa-23-22
【其他新聞】
沙烏地阿拉伯工業暨礦產資源部環境配置檔案曝光,攻擊者有機會在其內部網路環境進行橫向移動
加拿大動物園證實遭到勒索軟體攻擊,並強調動物健康狀態不受影響
近期資安日報
【1月8日】 分散式訊息串流資料平臺Apache RocketMQ存在修補不全的重大漏洞
熱門新聞
2024-05-03
2024-05-03
2024-05-03
2024-05-03
2024-05-03