惡意程式Emotet、TrickBot在全球攻擊升溫的情況,使得資安研究人員提出警告。其中,駭客採用更為複雜的手段將Emotet傳送到受害電腦,而TrickBot則是廣泛鎖定60個知名美國企業的客戶下手。

美國關鍵基礎設施(CI)持續遭到駭客攻擊的現象,也使得當局發出警告,一是勒索軟體BlackByte的肆虐,另一個則是俄羅斯針對美國國防供應商的情資收集。

【攻擊與威脅】

日本警告惡意軟體Emotet於2月初攻擊行動升溫

惡意軟體Emotet自2021年11月捲土重來後,近期攻擊行動出現大幅增加的現象。日本JPCERT/CC於2月10日提出警告,他們觀察到疑似被Emotet挾持、用於攻擊行動的日本電子郵件信箱(.jp),於2月5日出現開始大幅增加的現象,有超過1,200個信箱遭到濫用,已經接近2020年8月底至9月中旬攻擊的規模。

該組織亦指出,挾帶Emotet的釣魚信看起來很像是由業務夥伴或熟人寄送,附件的Office文件乍看也似乎與業務有關,呼籲民眾最好要進一步向對方確認。JPCERT/CC也於17日呼籲,使用者可透過他們的檢測工具EmoCheck 2.0,檢查電腦是否感染Emotet。

惡意軟體Emotet透過以密碼保護的ZIP檔案散布

駭客利用惡意軟體Emotet發動攻擊的手法,可說是越來越複雜。資安業者Palo Alto Networks揭露近期對於Emotet的觀察,指出他們發現駭客自2021年12月21日開始,使用的新攻擊手法,駭客先是透過釣魚郵件挾帶以密碼保護的ZIP壓縮檔附件,來規避防毒軟體的檢測,但在郵件內文提供密碼讓受害者能夠開啟;該壓縮檔內帶有惡意巨集Excel文件,一旦受害者依照指示啟用巨集,電腦便會藉由命令提示字元(CMD)來執行Mshta.exe,來搜尋並啟動遠端的HTML應用程式,而這個應用程式則會下載並執行PowerShell程式碼,最終於受害電腦植入Emotet。

研究人員指出,駭客在Excel巨集採用十六進位字元,並於HTML應用程式的程式碼裡運用混淆手法,目的都是意圖規避偵測。

惡意軟體TrickBot攻擊60家知名企業的顧客

惡意軟體TrickBot自2020年10月基礎設施遭到推毀後,駭客不久後就恢復運作並持續發動攻擊,如今他們鎖定知名品牌的用戶下手,並使用更多規避功能模組。資安業者Check Point指出,TrickBot駭客組織鎖定美國60家知名的金融、IT業者的客戶發動攻擊,這些企業包含美國運通、PayPal、Amazon、微軟等,且在TrickBot捲土重來後,至少有14萬臺電腦受到感染。

再者,研究人員指出,新的TrickBot近期導入了3個值得留意的模組,包括能從瀏覽器竊取網銀和加密貨幣錢包的injectDLL、可透過網路共享散布惡意軟體的tabDLL,以及偷取受害電腦多種應用程式帳密的pwgrabc。

美國指控俄羅斯攻擊國防產業,竊取軍事機密

美俄之間的關係緊張,透過網路攻擊國防產業,也成為竊取軍事機密的手段。美國聯邦調查局(FBI)、國家安全局(NSA)、網路安全暨基礎設施安全局(CISA)聯手,指控俄羅斯政府支持的駭客組織,自2020年1月開始,不斷對於美國政府認可的國防承包廠商(CDC)出手,意圖取得機密資料,來了解美國的國防規畫與情報蒐集情形,部分攻擊行動持續超過半年。上述單位指出,這些駭客持續入侵的行為,可從中竊得敏感資訊,甚至是CDC專有、受到政府出口管制的技術,呼籲CDC要防範相關攻擊行動。

美國FBI發布勒索軟體BlackByte入侵指標,已有3種領域的關鍵基礎設施實體受害

勒索軟體BlackByte甫攻擊美式足球球隊舊金山49人隊(San Francisco 49ers),而引起關注,但這些駭客大肆近期也針對關鍵基礎設施(CI)下手。美國聯邦調查局(FBI)與特勤局(USSS)聯手提出警告,指出勒索軟體BlackByte自2021年11月,開始對於美國等多個國家的組織下手,其中至少有3個領域的關鍵基礎設施實體遇害,包含政府設施、金融機構、食品與農業等。他們得知有部分攻擊事故裡,駭客是透過Exchange伺服器漏洞入侵內部網路環境,然後進行橫向移動與提升權限,攻擊Windows電腦,將資料外洩並加密檔案。FBI與USSS也提供入侵指標(IoC),讓組織能加以防範。

美國芝加哥地區醫院遭到網路攻擊,11.6萬病人資料外洩

美國醫療機構遭到網路攻擊而導致病人外洩的情況,最近又出現新的事故。美國芝加哥南岸醫院於2月4日,發出公告並通知115,670病人與員工,他們的個資疑似在2021年12月10日發生的網路攻擊中,遭到異常存取,經由外部資安廠商協助調查後,發現受影響的資料可能包含姓名、社會安全號碼、出生日期、醫療保險資料等。對於所有受到影響的人士,該院將免費提供身分竊盜保護服務,並加強各式的網路安全措施。

木馬程式ShadowPad疑似與中國人民解放軍有關

受到許多中國駭客組織利用的木馬程式ShadowPad,研究人員找到背後與中國政府的關連。資安業者Secureworks揭露他們對於ShadowPad的研究結果,並指出中國駭客組織APT41(該業者稱為Bronze Atlas)從2017年開始,就開始利用這個RAT木馬程式,但自2019年開始,有越來越多中國APT駭客運用於全球各地的攻擊行動。

根據他們對於ShadowPad惡意程式進分析後發現,疑似是APT41在2019年前後,將此木馬程式提供給中國國家安全部(MSS)與中國人民解放軍(PLA),才廣受這些中國駭客採用。

香港海逸飯店驚傳資料外洩,逾120萬住客受到影響

飯店業者遭到網路攻擊的現象,也出現在亞洲地區。根據南華早報的報導,香港的隱私監管機構於2月10日,接獲海逸飯店集團遭到網路攻擊的事故,多個客房預定資料庫受到影響,恐曝露超過120萬名住客的訂房細節,但除此之外,海逸飯店尚未公布有那些類型的資料遭到外洩。

 

近期資安日報

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement