在上週五、六舉行的台灣駭客年會HITCON PEACE 2022,總統蔡英文再次現身,並表示為了因應臺灣現在面臨的挑戰,產官學界應持續與駭客社群文化的激盪與對話,才能找出更有效率、更完整的攻防模式。

俄羅斯駭客頻頻對北約組織成員的國家發動攻擊,近期出現了新的手法:駭客組織APT29鎖定Azure雲端服務的功能,來規避偵測,甚至濫用沒有啟用多因素驗證(MFA)的帳號來租用VM,並發動攻擊。

SAP於今年2月修補CVSS滿分的漏洞CVE-2022-22536,最近美國政府要求旗下聯邦機構限期修補,原因是近期相關攻擊行動大幅增加。

【攻擊與威脅】

俄羅斯駭客APT29濫用Azure服務攻擊Microsoft 365用戶

俄羅斯駭客針對北約國家發動攻擊的情況,可說是非常頻繁,但最近又有新的手法出現。資安業者Mandiant揭露俄羅斯駭客APT29近期的攻擊行動,這些駭客專門鎖定北約國家的Microsoft 365帳號,目的疑似探聽有關外交政策的資訊。

其中,APT29針對訂閱E5授權的Microsoft 365企業用戶,關閉名為Purview Audit的事件記錄功能,以防作案留下較多記錄;再者,這些駭客也利用Azure AD的自我註冊功能,先是針對沒有啟用多因素驗證(MFA)的帳號進行暴力破解攻擊,並拿來租用Azure的VM服務,進行其他攻擊行動。

SAP重大漏洞CVE-2022-22536已出現攻擊行動

SAP於今年2月修補CVE-2022-22536,此漏洞的CVSS風險評分達到了滿分10分,影響NetWeaver Application Server ABAP、NetWeaver Application Server Java、ABAP Platform、Content Server,以及Web Dispatcher等系統,但在通報此漏洞的資安業者Onapsis於黑帽大會、DEF CON公布更多細節後,該公司也透露,鎖定該漏洞的攻擊顯著增加。

美國網路安全與基礎設施安全局(CISA)也在8月18日,將CVE-2022-22536列入已遭利用的漏洞名單,並要求聯邦機構於9月8日前完成修補工作。

金融木馬Grandoreiro鎖定西班牙、墨西哥製造業而來

資安業者Zscaler揭露木馬程式Grandoreiro近期攻擊行動,駭客鎖定使用西班牙語的組織,針對化學品製造業、汽車、機械、物流、營造業下手,假冒墨西哥政府官員來散播木馬程式,一旦收信人依照指示點選惡意連結,將會被引導下載ZIP檔案,其內容是偽裝成PDF檔案的木馬程式載入器Grandoreiro Loader。顧名思義,此載入器會下載Grandoreiro,並收集受害電腦的系統資訊,以及加密貨幣錢包與銀行應用程式的資訊,然後傳送到C2。

此木馬程式具備側錄鍵盤、遠端執行命令、將受害者瀏覽器導向特定URL等功能。為了規避防毒軟體、沙箱的偵測,駭客濫用華碩遭竊的憑證,且將該木馬程式檔案大小透過填充手法膨脹至400 MB。

駭客組織TA558鎖定旅行社、飯店散布木馬程式

隨著COVID-19疫情趨緩引發爆發性出遊,駭客鎖定相關業者發動攻擊。例如,資安業者Proofpoint發現駭客組織TA558的攻擊行動今年再度升溫,這些駭客鎖定飯店、旅遊業者下手,發動釣魚郵件攻擊,這些郵件假借會議發起人、旅行社的名義寄送,一旦收信人開啟附件或是點選URL,電腦就可能會被植入AsyncRAT、Loda等木馬程式,進而讓駭客能夠入侵飯店系統,並竄改訂房網站轉走房客支付的住宿費用。

與其他網釣駭客相同的是,TA558為了因應微軟封鎖部分Office巨集的功能,他們也開始使用RAR壓縮檔或ISO光碟映像檔做為附件的格式。

惡意網站以DDoS防護網頁騙取使用者輸入驗證碼,實際上卻是下載執行內藏惡意軟體的映像檔

為防範DDoS攻擊,不少網頁會採用圖靈測試網頁來驗證瀏覽者是人類,但這種網頁現在也變成駭客用來散布惡意軟體的管道。資安業者Sucuri指出,有人鎖定防護不佳的WordPress網站植入JavaScript酬載,此酬載會在使用者存取網站時,顯示DDoS防護網頁,要求使用者點選按鈕來進行驗證。

然而一旦使用者照做,瀏覽器就會下載security_install.iso檔案到電腦,網頁也會要求輸入DDoS Guard應用程式的驗證碼。使用者若是依照指示開啟ISO檔案裡的「驗證應用程式」,電腦就會被植入木馬程式NetSupport RAT,或是竊密軟體Raccoon Stealer。

 

【漏洞與修補】

跨平臺應用程式框架Electron存在漏洞,恐波及18個熱門應用程式

有多名研究人員在黑帽大會上,揭露開源應用程式框架Electron的多項漏洞,並指出這些漏洞存在於透過此框架開發的知名應用程式,如:微軟Visual Studio Code的RCE旁路管制模組漏洞CVE-2021-43908,以及即時通訊軟體Discord、Element的RCE漏洞CVE-2021-21220、CVE-2022-23597等,上述業者獲報後皆已完成修補。研究人員指出,這些漏洞需要用戶的少量互動,像是點選連結URL或是存取應用程式的某些功能,但因為使用者往往會需要開啟應用程式檢視訊息,這類攻擊仍有相當高的機率會成功。

 

【資安產業動態】

總統親臨台灣駭客年會HITCON PEACE 2022,強調產官學界應攜手駭客社群,強化國家整體資安韌性

台灣駭客年會HITCON PEACE 2022於8月19日、20日舉行,總統蔡英文主持這場資安社群年度盛事的開幕儀式,並帶領經濟部長王美花、國家安全會議秘書長顧立雄、國家安全會議諮詢委員李漢銘、中央研究院院士李德財出席。

總統強調,持續強化國家的資安防禦體系是首要任務之一,對此,她期待透過駭客社群的文化及能量,以及產官學界與社群文化的持續激盪與對話,思索出更有效率、更完整的攻防模式。

 

【其他資安新聞】

逾200個NPM及PyPI套件被用於挖礦攻擊

思科修補網頁安全防護系統的高風險漏洞CVE-2022-20871

比特幣ATM零時差漏洞已遭到駭客利用

美國惠特沃斯大學疑遭勒索軟體LockBit攻擊,預計8月底能復原運作

 

近期資安日報

【2022年8月19日】  中國駭客Winnti將Cobalt Strike拆解以規避偵測、使用惡意軟體Bumblebee的駭客企圖挾持組織AD

【2022年8月18日】  駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目

【2022年8月17日】  DigitalOcean的行銷電子郵件服務MailChimp帳號遭駭、駭客架設冒牌Evernote網站攻擊醫療機構

熱門新聞

Advertisement