從上週五(12月10日)引起資安界高度關注的Apache Log4j重大漏洞「Log4Shell」(CVE-2021-44228),有越來越多資安業者和研究人員揭露他們的發現。其中,有數家資安業者指出,至少在12月9日漏洞揭露的1個星期前,就有攻擊者開始利用這項漏洞的跡象,後續效應可能還會再擴大。

而在這項漏洞之外,Dell驅動程式漏洞修補不全的情況,也值得留意,因為,攻擊者很可能會用來發動BYOVD(Bring Your Own Vulnerable Driver)攻擊,而難以被察覺。

近期關鍵基礎設施頻繁遭到攻擊,大家的焦點往往聚焦在能源產業、醫療產業,但貨物流通扮演重要角色的物流業者也值得我們留意,因為這些業者在疫情中營運更加嚴峻,一旦遭遇資安事故,情況恐怕會雪上加霜。跨國物流業者漢宏國際物流(Hellmann Worldwide Logistics)於上週(12月9日)驚傳遭到網路攻擊,而一度影響營運,這樣的情況也可能對於民眾的生活帶來衝擊。

【攻擊與威脅】

Apache Log4j重大漏洞已出現攻擊行動超過1週

甫於上週修補的Apache Log4j重大漏洞CVE-2021-44228,因已出現攻擊行動且影響範圍甚廣,引起資安界高度重視。但根據Cloudflare指出,這個漏洞並非在9日被揭露後才遭到利用,他們最早在12月1日就看到被用於攻擊行動的跡象。也有其他資安業者指出已被用來發動挖礦攻擊,或是植入木馬程式、Cobalt Strike的情形。

跨國物流業者漢宏遭到網路攻擊

根據新聞網站Air Cargo的報導,跨國物流業者漢宏國際物流(Hellmann Worldwide Logistics)於12月9日發出公告,表示他們遭到網路攻擊,為了防範災害擴大,他們暫時切斷與資料中心的所有連結,對於營運造成重大影響。12月13日,漢宏再度更新公告內容,指出他們已經恢復基本的營運業務,但仍然不能確定是否有資料外洩的情況。

加密貨幣交易所AscendEX遭駭,損失7,700萬美元

加密貨幣交易所AscendEX於12月12日公告,他們在12月11日發現,1個熱錢包出現未經授權的交易,該公司將未受影響的資產移轉到冷錢包因應。而這起事件的受害規模,區塊鏈資安業者PeckShield估計,AscentEX被盜走約7,700萬美元的加密貨幣,其中大多數為以太坊、幣安智能鏈,以及Polygon。

人資管理解決方案業者Kronos遭勒索軟體攻擊,雲端服務用戶受到波及

人資管理解決方案業者Kronos於12月13日表示,他們因12月11日遭遇勒索軟體攻擊,導致該公司透過私有雲建置的數種UKG解決方案無法使用,復原有可能需要數個星期。其中1個受影響的組織向資安新聞媒體Bleeping Computer透露,他們被迫改用試算表軟體和紙本,來因應人資系統停止運作的情況。

美國電信業者Cox證實,有人冒充客服竊取用戶資料

根據資安新聞網站Bleeping Computer的報導,美國電信業者Cox Communications自12月初,開始向用戶發出郵件,表示他們在10月11日,發現有不明人士冒充客服人員,並成功竊得少數客戶帳號的存取權限,該公司隨即展開調查並通報執行單位,結果發現,這些人士可能存取了用戶的姓名、地址、Cox帳號、PIN碼,以及帳號的安全問題與答案等資料。不過,對於受害的規模,Cox並未透露。

惡意Python套件被下載超過1萬次

Palo Alto Networks高階產品經理Andrew Scott在近期的研究裡,在PyPI套件庫裡發現3個Python惡意套件dpp-client、dpp-client1234、aws-login0tool,總共被下載了近1.5萬次。其中,dpp-client就被下載了10,194次。而研究人員經由VirusTotal分析aws-login0tool,只有14防毒軟體能識別為有害。PyPI獲報後於12月10日下架這些惡意套件。

惡意程式Agent Tesla利用簡報檔案,攻擊韓國用戶

惡名昭彰的惡意程式Agent Tesla再度發起攻擊行動了!資安業者Fortinet指出,他們看到新的Agent Tesla攻擊行動,駭客寄送內容為韓文的釣魚郵件,以採購訂單的名義,要求收件人打開附件的PowerPoint簡報檔案,一旦收件人開啟此簡報檔案,攻擊者就會以自動播放來執行巨集,並進而使用VBScript、PowerShell程式碼下載Agent Tesla。新的Agent Tesla變種約能竊取70種應用程式的帳密,涵蓋網頁瀏覽器、VPN用戶端、FTP用戶端、收信軟體、即時通訊軟體等類型。

金融木馬TinyNuke鎖定法國企業而來

資安業者Proofpoint指出,曾在2017年至2018年大肆攻擊法國實體的金融木馬TinyNuke,今年1月與11月,又有再度發動大規模攻擊的跡象,這些活動完全針對法國企業而來,以發票為誘餌,攻擊製造業、工業、科技業、金融業等。研究人員在11月看到多個TinyNuke攻擊行動,大約發送2,500封釣魚信,影響數百個組織。

惡意程式載入器Hancitor藉由Windows剪貼簿來投放酬載

資安業者McAfee自2021年9月開始,觀察到新型態的惡意軟體投放手法,駭客使用名為Hancitor的惡意程式載入器,藉由VBA程式碼,以Selection.Copy方法使用Windows內建的剪貼簿功能,來投放惡意酬載,如FickerStealer、Pony、CobaltStrike、勒索軟體Cuba等。

 

【漏洞與修補】

Dell驅動程式修補不完全,恐被用於Windows核心層級的攻擊

Dell於今年5月,修補DBUtil驅動程式存在長達9年的CVE-2021-21551,但最近資安業者Rapid7發現,該公司並未修補完全,僅是限縮管理者帳號的存取。研究人員指出,這樣的情況可讓攻擊者投放存在已知漏洞的驅動程式,在行動的過程裡提升權限,或是執行特定的程式碼,發動被稱為BYOVD(Bring Your Own Vulnerable Driver)的攻擊手法。

Google緊急修補Chrome已被利用的漏洞

針對Chrome的零時差漏洞攻擊,今年已有十多起。Google於12月13日,對於Windows、macOS、Linux使用者,推出Chrome 96.0.4664.110,這次總共修補5個漏洞,其中最受到關注的是CVE-2021-4102,這是記憶體使用後釋放(UAF)漏洞,存在於該瀏覽器的JavaScript引擎V8。該公司指出,這個漏洞已出現相關攻擊行動,呼籲使用者要儘速更新瀏覽器。

Ubuntu的帳號服務元件存在漏洞,恐讓攻擊者能取得Root權限

GitHub資安研究員Kevin Backhouse於12月13日提出警告,Ubuntu作業系統裡的桌面環境GNOME,其中的AccountsService元件,存在記憶體雙重釋放的漏洞CVE-2021-3939,影響Ubuntu 21.10、21.04、20.04 LTS。一旦攻擊者利用這項漏洞,就能在本機端提升權限,他也提出概念性驗證攻擊影片,並指出此漏洞並非每次都能馬上觸發,但攻擊者可慢慢測試數個小時直到成功為止。

 

【資安防禦措施】

Visual Studio Code加入能突顯不可見Unicode字元的機制,防範程式碼欺騙攻擊

針對日益嚴重的Unicode字元濫用的攻擊行為,程式開發工具的業者也開始有所行動。例如,微軟在最近的Visual Studio Code(VS Code)1.63版更新中,加入了新功能Invisible Unicode highlighting,能突顯程式碼裡看不見的Unicode字元,而能夠提醒開發者疑似出現不尋常、易混淆的字元,有可能已經出現Unicode欺騙攻擊的現象。

 

【近期資安日報】

2021年12月13日

2021年12月10日

2021年12月9日

熱門新聞

Advertisement