俄羅斯與烏克蘭關係緊張,導致石油的價格不斷上漲,但在此同時,石油公司也成為駭客攻擊的對象。今天有2起相關的攻擊事故,一則是以沙烏地阿拉伯國營石油公司的名義,針對買家進行的釣魚郵件攻擊,另一起則是勒索軟體Hive攻擊羅馬尼亞的石油公司。

再者,Linux的重大漏洞Dirty Pipe(CVE-2022-0847)揭露也相當值得留意,因為該漏洞能被拿來竄改、覆寫唯讀檔案,攻擊者可能得以提升權限。由於此漏洞存在於Linux核心,恐波及大部分Linux版本,IT人員應留意各家作業系統的資安通告。

【攻擊與威脅】

攻擊者利用印度企業的電子郵件,對烏克蘭民眾發動網釣攻擊

自俄烏開戰後,駭客以相關議題發動網釣攻擊的事故,而這次是針對烏克蘭的市民而來。烏克蘭電腦緊急應變小組(CERT-UA)於3月5日指出,他們接獲不少民眾的通報,有駭客以烏克蘭入口網站Ukr.net的名義寄送釣魚郵件,宣稱收信人的電子郵件帳號遭到不明人士從頓涅茨克登入,應該立即修改密碼以免帳號遭到濫用,一旦收信人依照指示輸入相關資料,電子郵件信箱帳號將會被駭客挾持。

但實際上,駭客寄送電子郵件的來源,是印度企業的電子郵件信箱。該單位呼籲烏克蘭民眾要提高警覺,或是將電子郵件交由他們進一步分析。

駭客假冒沙烏地阿拉伯石油公司,利用Office漏洞植入竊密軟體Formbook

隨著氣候變遷與俄烏戰爭,能源價格節節攀升,而在此同時,有駭客假冒石油公司的名義,發動網路釣魚攻擊。資安業者Malwarebytes攔截到鎖定採購石油與天然氣公司的網路釣魚郵件,駭客冒名沙烏地阿拉伯國家石油公司Saudi Aramco,宣稱提供限期優惠的價格,吸引買家上當。

一旦受害者被騙,點選附件的PDF檔案或Excel 檔案,這些附件檔案就會藉由Office漏洞CVE-2017-11882,下載竊密軟體FormBook偷取電腦內的機密文件。

勒索軟體Hive攻擊羅馬尼亞石油公司,索討200萬美元

又有石油公司遭到勒索軟體攻擊,而面臨部分服務被迫中斷的事故。羅馬尼亞石油公司Rompetrol於3月7日表示,他們遭到複雜的網路攻擊,為防止災害蔓延,決定關閉Fill & Go網站與相關服務,導致客戶的Rompetrol Go手機App無法運作,但該公司強調,加油站、煉油廠仍維持正常營運,顧客可使用現金或信用卡加油。至於攻擊者的身分,根據資安新聞媒體Bleeping Computer的報導指出,該石油公司應該是遭到勒索軟體Hive攻擊,駭客索討200萬美元贖金。而除了該公司宣布暫停Fill & Go網站的服務,還有Rompetrol與其母公司KMG International的網站,在截稿前也仍然無法存取。

三星證實Galaxy行動裝置產品的程式碼遭竊

日前勒索軟體駭客Lapsus$洩露了190 GB三星機密資料,而該公司隨後證實確有內部資料外洩的情形。根據新聞網站CNBC報導,該公司發言人表示,三星近期出現公司內部資料外洩的資安事故,根據他們的初步調查,外洩資料為Galaxy裝置運作有關的程式碼,但沒有客戶或員工的個資外洩。但除此之外,三星沒有進一步透露遭到攻擊的類型與攻擊者身分。由於Galaxy裝置涵蓋手機、平板電腦、智慧手環、筆記型電腦等產品,這起資料外洩的影響有待觀察。

日本化妝品業者Acro證實去年線上商城資料外洩,波及逾10萬顧客

網路商店因外部廠商的付款系統出現漏洞,而出現可能洩露客戶交易資料的情況。日本化妝品業者Acro於2月24日發出公告,指出他們在2021年8月20日,發現旗下的Three Cosmetics、Amplitude網路商店,客戶的信用卡資料疑似外洩,他們隨即暫停4個購物網站的服務,經過調查後,在2020年5月21日至2021年8月18日期間,於Three Cosmetics、Amplitude網路商店購物的顧客,信用卡資料可能已被外洩,分別影響89,295人與14,640人,外洩的資料包含持卡人姓名、卡號、有效期限、安全碼。Acro承諾將強化其網站安全。

駭客以提供資金給網路公司的名義,散布惡意程式RuRAT

經營網站需要源源不絕的資金,經營者可能會尋求能夠得到贊助、投資資金的管道,而有駭客看上這樣的情況,假冒投顧公司來發動網釣攻擊。資安新聞網站Bleeping Computer於2月23日,接到聲稱是想要投資或是買下他們網站的電子郵件,該投資公司要求以名為Vuxner的即時通訊軟體討論相關事宜,Bleeping Computer察覺有異,尋求資安業者Cluster25協助調查。

結果發現,一旦網站經營者依照指示安裝Vuxner,攻擊者先會在電腦安裝Trillian,再植入RuRAT木馬程式,並要求相關存取權限,進而控制受害電腦。研究人員認為,使用者要對於不尋常的電子郵件提高警覺,尤其是對方要求必須安裝特定的軟體進行溝通,很有可能是惡意軟體攻擊。

 

【漏洞與修補】

Linux重大漏洞Dirty Pipe可讓攻擊者覆寫唯讀檔案

作業系統的核心元件存在檔案讀寫漏洞,有可能被攻擊者用於提升權限。資安研究員Max Kellermann揭露名為Dirty Pipe的Linux漏洞(CVE-2022-0847),這項漏洞影響Linux Kernel 5.8以上的版本,亦波及Android作業系統,可被尚未取得特殊權限的使用者,用來在唯讀的檔案上進行注入或是覆寫,甚至原本需要root權限執行的SUID屬性檔案也不能倖免。研究人員強調,該漏洞與2016年出現的Dirty COW漏洞(CVE-2016-5195)相當類似,但Dirty Pipe更容易被利用。

Linux基金會於2月23日發布5.16.11、5.15.25、5.10.102版Linux Kernel來修補上述漏洞,Google則於24日將相關修補程式併入Android核心程式碼。

 

【資安產業動態】

Google傳出有意買下Mandiant

繼傳出微軟有意買下資安業者Mandiant後,Google似乎也有想要購買的意願。根據新聞網站The Information的報導,Google疑似為了提升雲端服務的安全,有意買下Mandiant,此消息傳出,Mandiant於3月7日的股價上漲16%,達到每股22.49美元,估計該公司價值為52.6億美元。

 

近期資安日報

【2022年3月7日】  駭客以俄烏戰爭名義散布木馬程式、勒索軟體Lapsus$洩露三星程式碼

【2022年3月4日】  駭客入侵烏克蘭政府網站散布該國宣布投降的假消息、勒索軟體Conti與Karma攻擊相同醫療機構

【2022年3月3日】  網釣攻擊鎖定幫助烏克蘭難民的國家、逾30所烏克蘭大學網站遭駭

【2022年3月2日】  駭客在俄烏戰爭持續發動網路攻擊、中國駭客運用後門程式Daxin長達10年

【2022年3月1日】  俄羅斯出兵烏克蘭,引發不同立場的駭客集團發動攻擊、汽車大廠Toyota疑因零件供應商遭駭停工

【2022年2月25日】  SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement