鎖定手機的金融木馬攻擊不時傳出,最近研究人員揭露名為Brokewell的惡意程式,並指出該惡意程式能繞過Android 13的防護機制,進而透過側載的方式執行其他作案工具。
值得留意的是,Brokewell並非首款能繞過上述防護機制的安卓惡意軟體,但研究人員認為,攻擊者未來應該會透過租賃服務提供其他網路犯罪份子利用,使得該惡意軟體危害範圍進一步擴大。
【攻擊與威脅】
金融木馬Brokewell挾持安卓裝置,從而竊取機敏資料、洗劫金融帳戶
資安業者ThreatFabric發現名為Brokewell的安卓金融木馬,並指出該惡意程式具備廣泛的設備接管功能,攻擊者也開發了名為Brokewell Android Loader的惡意程式載入元件,從而繞過Google在Android 13加入輔助服務(Accessibility Service)管制,而能側載應用程式。
這個惡意程式被發現的原因,是研究人員看到冒牌的Google Chrome更新網頁,與正牌網頁極為相似,不同之處在於:正牌網頁同時提供「取得Chrome」和「我想更新Chrome」的連結,冒牌網頁只有「更新Chrome」的按鈕。但這種差異,恐怕多數使用者都無法輕易察覺。
根據研究人員的觀察,Brokewell幾乎每天都有更新,顯示駭客相當勤勞,他們也推測,未來這項攻擊模式很有可能朝向租賃服務發展,從而吸引其他網路犯罪份子,以此對更多地區發動相關攻擊。
德國媒體ZDFheute及明鏡(Spiegel)指出,他們取得汽車大廠福斯(Volkswagen)針對網路攻擊的調查文件,從而揭露一起未曾揭露的資安事故。
根據這份文件,福斯從2010年至2015年遭駭客入侵,包含智慧財產相關的檔案遭到外洩。對方疑似從2010年調查該公司的IT基礎架構,尋找可用漏洞,並於隔年成功存取,之後在2014年多次將機密資料傳至外部伺服器,這些駭客犯案後亦清除作案跡證。
後來資安專家調查發現,對方共發起3波攻擊,竊得汽油引擎、變速箱研發資料,而近年受到熱烈關注的電動車,相關開發資料也慘遭毒手,估計總共超過1.9萬份文件外流。根據對方的IP位址,作案工具及時區,推測攻擊者來自中國,相關證據指向中國政府及解放軍。
身分驗證解決方案業者Okta提出警告,鎖定該公司用戶的帳號填充攻擊爆增
4月27日身分驗證解決方案業者Okta的資安團隊提出警告,繼思科從3月下旬發現鎖定多個廠牌的SSL VPN系統的大規模暴力破解攻擊,他們也在本月19日至26日,發現針對客戶的帳號填充(Credential Stuffing)攻擊大幅增加,而且,攻擊來源疑似是幾乎相同的攻擊基礎設施。但究竟有多少用戶受害?該公司並未說明。
究竟對方如何取得使用者的帳密資料?該公司認為,駭客很可能是透過其他資料外洩事故,或是藉由網路釣魚及惡意軟體攻擊取得。
值得留意的是,這些攻擊具有相同的特徵,那就是駭客仰賴隱身服務Tor來發出請求,而且,數以百萬的請求過程,也都透過濫用基於合法裝置而成的代理伺服器(Residential Proxies)進行。
資安業者Akamai指出,他們員工收到許多聲稱美國郵局(United States Postal Service,USPS)發送的詐騙簡訊,從而調查發現,從去年10月至今年2月,用戶DNS查詢僅有51%導向正牌的美國郵局網站,其餘都被導向釣魚網站,而且,每逢特定節日,釣魚網站的DNS查詢次數就會遠大於正牌網站。
根據研究人員的調查,全球至少有超過68萬個含有USPS字串的釣魚網域名稱,其中約有27萬個採用.com、27萬個採用.top、5.8萬個採用.shop、3萬個採用.xyz、1.6萬個採用.org。
雖然他們在調查期間,觀察到正牌網站的DNS查詢量略多於釣魚網站,但研究人員指出,這樣的結果是因過濾資料的方式造成,實際上惡意流量顯然超過了合法流量,這也突顯網域名稱搶註與網釣攻擊泛濫的現象。
其他攻擊與威脅
◆烏克蘭遭遇Office已知漏洞攻擊,對方利用PowerPoint檔案散布Cobalt Strike
◆瑞典物流業者Skanlog傳出遭遇勒索軟體攻擊,導致當地酒品供應受到衝擊
◆加拿大連鎖藥局London Drugs遭遇網路攻擊,被迫暫停營業
◆印度銀行ICICI行動應用程式配置錯誤,導致逾1.7萬張信用卡資料曝光
【漏洞與修補】
針對防火牆危急漏洞CVE-2024-3400,Palo Alto Networks證實攻擊者有可能藉此持續存取受害裝置
4月12日資安業者Palo Alto Networks發布資安公告,指出旗下防火牆存在危急漏洞CVE-2024-3400,CVSS風險評分達到10分,此漏洞存在於防火牆作業系統PAN-OS的GlobalProtect功能,未經授權的攻擊者有機會使用root權限,在防火牆上執行任意程式碼。
當時通報此事的資安業者Volexity指出,他們察覺這項漏洞的原因,是發現客戶的防火牆出現可疑的攻擊流量。Palo Alto也在17日證實,漏洞利用出現增加的情況,且有第三方公布概念性驗證程式碼(PoC),如今情況又有新的進展。
30日該公司再度更新資安公告,指出他們針對前述的PoC手法進行分析,確認一旦攻擊者加以利用,即使IT人員對防火牆進行升級或是重置,對方仍能持續在受害裝置上活動,並以root層級執行命令。
【資安產業動態】
為了培養多元的資安人才,近年來國家科學及技術委員會與教育部聯手,舉辦GiCS尋找資安女婕思資安競賽,今年已邁入第4屆。本次競賽自3月8日開放報名,上週末舉行決賽並發表成果。
本次競賽於4月27日,在臺南沙崙資安暨智慧科技研發大樓舉辦決賽,比賽結果出爐,在資安闖天關的賽事當中,高中職組的冠軍是臺中高工及文華高中組成的WHC隊,拿下大專校院組冠軍的隊伍名稱相當特殊,叫做「逢甲大學是一所積極新創、學科齊全,在國際上具有重要影響力與競爭力的綜合性大學,歡迎大家報考逢甲大學」。
而在另一場創意發想賽,高中職組由內湖高中「美少女戰四」隊得到冠軍,大專院校今年首度分為兩組,其中,資訊相關科系組的冠軍是元智大學「查某囝仔」隊,非相關科系組別的第一名,是中國文化及逢甲大學組成「蘑菇蘑菇 讓我把你帶回家」隊。
從雲端閘道器起家的CTERA,主力產品是基於GFS分散式檔案系統(Global File System)平臺的CTERA Edge Filer儲存裝置,以及雲端儲存服務,可建立跨多雲的分散式檔案儲存環境。為了對抗勒索軟體威脅,CTERA也在去年年中為其儲存平臺提供勒索軟體保護功能,其中包括基於機器學習的即時攻擊偵測、零時差漏洞濫用防護、事件管理儀表板,以及即時復原等功能。
日前CTERA又為勒索軟體保護功能新增基於誘餌檔案(Decoy files)的資料外洩防護能力,可藉此偵測攻擊者的非授權存取行為,並即時展開對應,降低資料外洩的風險。
其他資安防禦措施
近期資安日報
【4月29日】互動式BI系統Qlik Sense危急漏洞遭到鎖定,對方利用勒索軟體Cactus發動攻擊
熱門新聞
2024-05-14
2024-05-16
2024-05-14
2024-05-12
2024-05-15
2024-05-13