曾於2021年7月出現大量攻擊行動,而引起高度關注的勒索軟體LockBit 2.0,如今也開始鎖定VMware的虛擬化平臺ESXi而來,而值得採用這類系統的企業,留意後續的事態發展。

駭客以光碟映像檔ISO格式的檔案,來規避防毒軟體偵測的手法,最近又有新的攻擊行動發生,手段更加隱密,而難以透過防毒軟體、網路防護系統察覺異狀。

在人手一隻手機的情況下,以寄送釣魚簡訊發動的攻擊行動(Smishing),近期也有資安業者發現這種型態網路釣魚簡訊的攻擊行動,並以應用程式或系統更新的名義引誘使用者上當。這種攻擊的發展,也相當值得各界留意。

【攻擊與威脅】

勒索軟體LockBit鎖定VMware虛擬化平臺而來

隨著企業採用虛擬化平臺的情況越來越普遍,約自2021年上旬,許多勒索軟體駭客,如HelloKittyHiveAvosLocker,開始製作Linux版本軟體,鎖定VMware ESXi的環境而來。惡名昭彰的勒索軟體LockBit,最近幾個月也開始加入針對虛擬化環境下手的行列。趨勢科技於2021年10月,在地下論壇RAMP看到駭客張貼的廣告,宣布開始提供能於VMware ESXi執行的勒索軟體LockBit,同月,研究人員就在網路上發現使用該勒索軟體的攻擊行動。

此勒索軟體混合AES與ECC兩種演算法加密檔案,且能夠將虛擬機器(VM)關機或是休眠,以利檔案加密不受中斷。此外,該勒索軟體還能徹底清除可用空間的資料。與Windows版勒索軟體相同的是,駭客在加密完檔案後,同樣於勒索訊息裡,徵求能入侵企業的帳密資料,並宣稱提供者有機會得到數百萬美元的酬庸。

駭客以ISO映像檔規避防毒軟體偵測,散布AsyncRAT木馬程式

過往為了迴避郵件防護系統的偵測,有些駭客會利用ISO、IMG、CDR等光碟映像檔的附件檔案,以此打包作案工具,使得上述防護措施可能因不具掃描光碟映像檔的功能,採取直接放行的策略而達到目的。但這樣的手法如今變得更加複雜──資安業者Morphisec揭露一起自2021年9月12日出現的攻擊事故,駭客以ISO檔案挾帶惡意批次檔或VBScript程式碼,但這個ISO檔實際上是埋藏在HTML檔案的附件裡面,等到收信人打開HTML檔案才「還原」,要求下載到電腦執行,進而從網路上下載AsyncRAT木馬程式。

由於駭客以確認訂單的名義寄送釣魚郵件,當中夾帶上述HTML檔案為附件,恐使得收信人降低戒心,依照指示操作。此外,研究人員指出,上述ISO檔案實際上是透過附件的HTML檔案產生,企業的網路安全閘道與防火牆不會察覺異狀。

網釣簡訊被用於散布手機木馬程式FluBot、TeaBot

鎖定手機而來的網路釣魚簡訊攻擊(Smishing),近期已有數起散布木馬程式的事故。最近防毒業者Bitdefender表示,他們自2021年12月初開始,至少攔截到10萬個惡意簡訊,這些簡訊是針對安卓裝置而來,用來散布木馬程式FluBot;而在此同時,該公司也在Play市集發現惡意的QR Code掃描器,攻擊者藉此在受害者手機上植入木馬程式TeaBot。

但這種透過手機簡訊的網釣攻擊已有前例,例如,芬蘭就曾於2021年11月底,針對以網路釣魚簡訊散布安卓木馬FluBot的攻擊行動提出警告,並強調非安卓手機的用戶點選簡訊的連結,也會被引導到惡意網站。

駭客利用逾800個WordPress網站,向巴西民眾散布銀行木馬Chaes

鎖定巴西銀行客戶下手的木馬程式,近期的攻擊行動有升溫的跡象。例如,在2020年底首度被發現的木馬程式Chaes,防毒軟體業者Avast近日提出警告,在2021年第4季有超過6.6萬名客戶的電腦,疑似遭到這個木馬程式企圖入侵。該公司調查後發現,Chaes經由逾800個WordPress網站傳播,目標是在巴西銀行用戶的Chrome瀏覽器上,以惡意外掛程式來竊取交易資料,研究人員指出,此起攻擊行動仍然持續,用戶應避免安裝來路不明的應用程式。

中國駭客APT27鎖定德國企業下手,使用HyperBro後門程式發動攻擊

中國駭客不光針對敵對國家發動攻擊,也可能入侵友邦的組織,來掌握更多情資。最近德國聯邦憲法保衛局(BfV)提出警告,表示他們得知背後有中國政府支持的駭客組織APT27,鎖定該國的企業而來,並使用名為HyperBro的木馬程式來竊取受害電腦的各式帳密,其背後的目的為何?該單位推測,駭客可能是要瓢竊商業機密與智慧財產,甚至不排除會進行供應鏈攻擊。

諾貝爾基金會網站於頒獎日遭到DDoS攻擊

針對全球在物理、化學、醫學等領域做出重大貢獻的人士,每年頒發的諾貝爾獎,維持該獎項運作的基金會,網站遭到分散式阻斷服務(DDoS)攻擊,而且,還是發生在頒獎當天。諾貝爾基金會與挪威諾貝爾研究所聯合於1月21日發出公告,指出諾貝爾基金會網站於去年12月10日,於頒獎典禮直播的過程遭到DDoS攻擊,他們已向警方報案,但尚未掌握攻擊的來源。

 

【漏洞與修補】

網頁瀏覽器Safari存在漏洞,恐曝露蘋果裝置的視訊鏡頭和用戶資料

資安研究員Ryan Pickren揭露一項通用跨網站程式碼(UXSS)漏洞,這項弱點存在於macOS版Safari網頁瀏覽器。若是Mac電腦尚未安裝相關修補程式,iCloud與Safari之間的信任機制就可能會因上述問題,而遭到攻擊者濫用,進而接管Safari,瀏覽受害者上網的內容,存取各式網頁應用系統的帳號,並利用受害者授予網站的權限,來使用視訊鏡頭和麥克風。此外,攻擊者還能藉著這項漏洞存取Mac電腦的資料。研究人員於2021年7月通報,蘋果於2022年初修補相關漏洞,並給予100,500美元的抓漏獎金。

 

【資安防禦措施】

美國要求政府機關採用零信任的資安防護戰略,於1月26日正式實施

美國行政管理和預算局(OMB)在2022年1月26日,正式發布新網路安全策略與M-22-09備忘錄,要求政府機關都應轉移到零信任架構(Zero Trust Architecture),並在2024財年底(9月30日)之前,符合指定的資安標準要求。這樣的策略,是基於去年5月的14028行政命令,於是OMB在去年9月提出聯邦零信任戰略草案,歷經近半年時間徵詢意見與討論,現在終於上路。聯邦資安長Chris DeRusha表示,這個戰略將成為聯邦網路安全典範轉移的基礎,並將會成為其他人仿效的模式。

在這份備忘錄裡,OMB要求各聯邦機關要在60日內,提出轉移架構的時程規畫,以及2023、2024年度的預算編列,並依據身分驗證、裝置、網路、應用系統與工作負載,以及資料等5個領域,執行相關的盤點與部署工作。

 

近期資安日報

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement