針對發生在1月中旬烏克蘭政府遭到攻擊的事故,近期有多家資安業者揭露他們的發現,其共通點是俄羅斯駭客組織Gamaredon近期的確對於烏克蘭的政府與企業,發動網路釣魚攻擊。

最近微軟宣布即將採取2項較為嚴格的管制措施,原因是相關的機制已被攻擊者大肆濫用,散布Emotet、Trickbot、Dridex等惡意軟體。其一是Windows 10、11市集App透過網頁直接安裝的機制被停用,使用者將必須把完整的MSIX安裝檔案下載到電腦,才能執行安裝作業;另一項則是與從網路上下載的Office文件有關,微軟將於4月直接封鎖這類文件的巨集。

【攻擊與威脅】

俄羅斯駭客組織Gamaredon鎖定烏克蘭下手,資安業者提出更多發現

烏克蘭政府於1月中旬遭到大規模的網路攻擊,該國指控下手的駭客組織是Gamaredon(亦稱Armageddon、Shuckworm、Actinium),且與俄羅斯軍情機構聯邦安全局(FSB)有關。如今有多家資安業者揭露相關調查,例如,微軟表示,該組織早於2021年10月開始,就針對烏克蘭組織發動網路釣魚郵件攻擊,包括政府、軍隊、非營利組織(NGO)等;Palo Alto Networks指出,他們看到駭客企圖於1月19日發動網釣攻擊,但是管道是透過烏克蘭政府提供的就業服務系統進行;賽門鐵克則是在2021年7月,就看到該組織使用網釣攻擊散布含有惡意巨集的Word檔案。

要求受害者安裝Windows 10市集App來散布惡意程式的情況時有所聞,線上安裝市集App的通訊協定遭禁用

從網站上安裝Windows 10、11市集App(MSIX安裝檔案)的機制,遭到攻擊者濫用的情況,2021年已有數起攻擊事故發生,例如,於11月復活的Emotet,就曾以要求受害者安裝Adobe PDF瀏覽器元件的名義,來散布惡意軟體。微軟曾於12月發布修補程式並提出緩解措施,並將其登錄為CVE-2021-43890列管,但現在該公司打算更進一步封鎖這種安裝市集App的管道──他們宣布在Windows電腦上停用ms-appinstaller通訊協定,以防堵相關攻擊行動,並預計導入新的群組政策,讓IT人員能限縮在內部網路環境啟用這種通訊協定。

微軟打算針對5款Office應用程式加強巨集的管控,計畫對於自網路下載的文件全面封鎖巨集功能

攻擊者透過Office文件VBA巨集傳送惡意程式的情況,不時有事故發生,即使預設停用,駭客仍千方百計誘使受害者按下啟用的按鈕。針對這樣的情況,微軟在2月7日宣布,他們將於4月開始,針對Windows版的5款Office軟體,包括Access、Excel、PowerPoint、Visio、Word,會對於從網路下載的文件檔案,直接停用巨集的功能。這樣的配置調整微軟將從Office 365預覽版本開始推送,並擴及到Office 2013至2021,以及Office LTSC。

勒索軟體Black Cat對德國大型石油運輸業者下手

德國大型石油運輸業者Oiltanking、Mabanaft相繼於1月底傳出遭到網路攻擊,導致其裝卸油品的系統癱瘓,石油供應商殼牌(Shell)於2月1日表示,他們因此被迫變更輸送石油的路線。而這起攻擊事故如今有了進一步的揭露──根據德國商報(Handelsblatt)取得聯邦資訊安全辦公室(BSI)的內部報告指出,勒索軟體Black Cat(亦稱Alphv)是本次攻擊事故的幕後黑手,當地至少有233個加油站受到波及。

這起攻擊事故的行徑,也讓不少人想起美國大型燃油管道業者Colonial Pipeline於2021年5月,遭到DarkSide攻擊的事故,進而追查Black Cat背後的駭客組織身分。根據資安新聞網站Bleeping Computer的報導指出,駭客組織Black Cat應該是DarkSide、BlackMatter改名繼續運作,原因是原本的組織名稱已被執法單位盯上,對於用戶而言也信譽掃地。資安業者Emsisoft表示,根據勒索軟體的功能和相關組態檔案,使用Black Cat、DarkSide、BlackMatter的駭客組織相同。而該新聞網站也取得經營勒索軟體LockBit的駭客說法,認定Black Cat的前身就是DarkSide、BlackMatter。

CSV檔案也遭到濫用!駭客搭配Excel來散布BazarBackdoor惡意軟體

駭客利用經常透過Office文件、PDF檔案對目標下手,進行網釣攻擊,不過,最近出現一種較為少見的手法。根據資安新聞網站Bleeping Computer的報導,近期研究人員Chris Campbell發現一起網路釣魚攻擊,駭客利用有問題的CSV檔案,搭配Excel的動態資料交換(DDE)功能,來觸發CSV檔案挾帶的指令,於受害電腦植入惡意程式下載器BazarLoader、木馬程式BazarBackdoor。威脅情報業者Advanced Intelligence指出,他們在2天內觀察到有102個企業或政府機關受害。

 

【資安防禦措施】

Log4Shell漏洞引爆開源軟體安全議題,OpenSSF基金會推動積極修補漏洞的計畫

日前美國政府召集大型IT業者商討開源軟體安全議題,但具體而言要如何強化這類軟體的安全?開源軟體安全基金會(OpenSSF)於2月1日宣布成立Alpha-Omega專案,將協助尋找並修補1萬項開源軟體的漏洞。而這項專案,就是上述會議討論的結果,OpenSSF將與軟體專案負責單位合作,運用自動檢測工具來促進開源軟體供應鏈的安全。其中,在專案的第一階段,微軟和Google會投入500萬美元。

 

近期資安日報

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement