針對Linux電腦的攻擊行動可說是越來越頻繁,同時駭客也開始運用了一些過往較為少見的方法,而有可能讓資安系統難以察覺有異。像是名為Shikitega的惡意軟體,駭客就利用了至少4到5個步驟來執行,但目的卻是利用受害電腦進行挖礦。研究人員認為,這類手法很有可能未來會被用於散布更危險的惡意軟體。
北韓駭客Lazarus所使用的木馬程式MagicRAT也引起關注。研究人員指出,此木馬程式採用了合法的應用程式開發框架,而使得資安人員難以發現其攻擊特徵。
網路攻擊很可能影響國家之間的關係!阿爾巴尼亞因為伊朗政府指使的駭客對其關鍵基礎設施發動攻擊,憤而宣布斷交。而這很可能是因為網路攻擊行動導致斷交的首例。
【攻擊與威脅】
Linux惡意軟體Shikitega以多階段部署的方式來規避偵測
鎖定Linux電腦的惡意軟體越來越常見,攻擊手法也變得日益複雜。例如,AT&T的資安研究團隊指出,他們發現名為Shikitega的Linux惡意軟體套件,駭客部署此惡意軟體的過程極為隱密、複雜,先是透過僅有370個位元組的ELF執行檔解出Shell Code並執行,然後存取C2下載名為Mettle的滲透測試工具Metasploit模組,最後Mettle下載另一個ELF檔案,並利用CVE-2021-4034(亦稱PwnKit)和CVE-2021-3493取得root權限,部署挖礦軟體XMRig。
研究人員指出,駭客還部署了5個Shell指令碼,讓挖礦軟體能持續在受害主機上運作。
北韓駭客Lazarus利用MagicRAT木馬發動攻擊
思科揭露北韓駭客組織Lazarus近期使用的新木馬程式MagicRAT,駭客鎖定曝露於網際網路的遠距工作平臺VMware Horizon伺服器,入侵受害組織後,再植入此木馬程式,目的是為了能持續在網路環境當中活動。
研究人員指出,MagicRAT透過Qt應用程式框架打造而成,使得研究人員分析更加困難,資安系統的機器學習或是啟發式檢測機制也難以察覺其攻擊意圖。此外,該木馬程式也可能從C2伺服器下載副檔名為GIF的檔案,但實際上是網路連接埠掃描工具。
阿爾巴尼亞遭到伊朗網路攻擊,宣布與伊朗斷交
網路攻擊很可能導致國家之間的關係產生變化,最近就出現有國家因基礎設施遭攻擊決定斷交的情況。9月7日,位於南歐的阿爾巴尼亞宣布和伊朗斷交,並要求伊朗大使館相關人員24小時內離境,原因正是伊朗政府自7月15日起,主導大規模網路攻擊,摧毀阿爾巴尼亞的基礎設施,癱瘓公共服務,並竊取資料及通訊記錄,阿爾巴尼亞耗費近一個月才復原。對此,美國也譴責伊朗的網路攻擊行為,並號召其他國家共同追究此種駭客的責任。
登山用品業者The North Face遭帳號填充攻擊,波及20萬用戶
登山用品業者The North Face向用戶發出通知,表示他們的網站自7月26日至8月19日,遭到駭客大規模帳號填充(Credential Stuffing)攻擊,經調查後有194,905個帳號受到影響,駭客很可能存取客戶的姓名、購買記錄、收貨地址、電話號碼、XPLR Pass忠誠用戶回饋點數等,但不包含信用卡資料。他們呼籲客戶儘速變更密碼,並留意信用卡是否出現盜刷的情況。
跨國飯店集團IHG傳出遭勒索軟體LockBit攻擊
洲際飯店集團(InterContinental Hotels Group,IHG)於9月6日,向倫敦證交所通報資安事故,他們的IT系統出現「重大」受損,而影響線上訂房的情況,不過,該集團表示旗下飯店皆正常營運。而究竟這起事故為何?根據資安新聞網站Bleeping Computer的報導,很有可能是勒索軟體LockBit的攻擊行動,因為,這些駭客在上個月,宣稱攻擊了該集團位於土耳其的Holiday Inn飯店。
【漏洞與修補】
Zyxel修補NAS設備的重大RCE漏洞
9月6日,Zxyel針對旗下的NAS設備NAS326、NAS540、NAS542發布資安通告,該公司修補了重大RCE漏洞CVE-2022-34747,CVSS風險評分達9.8分。這項漏洞存在於NAS裡的特定二進位檔案,與格式化字串(Format String)有關,一旦攻擊者加以利用,就有可能藉由偽造的UDP封包,在未經身分驗證的情況下,發動遠端執行任意程式碼攻擊。該公司呼籲用戶應儘速安裝新版韌體。
【其他資安新聞】
思科路由器存在身分驗證旁路漏洞,但該廠商表示已超出支援期限而不予修補
出現新的勒索軟體Play針對拉丁美洲而來,濫用AdFind刺探受害組織AD環境
近期資安日報
【2022年9月7日】 殭屍網路MooBot鎖定D-Link路由器而來、中國指控美國國家安全局對當地大學發動大規模網路攻擊
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29