駭客鎖定協作平臺發動攻擊的情況不時傳出,多半是針對當中的1到2種弱點下手,但近期有研究人員揭露攻擊微軟Teams協作平臺的手法GIFShell,當中就一口氣運用7種弱點,可說相當罕見。

研究人員在半年前發現惡意軟體Bumblebee,當時駭客運用其看似無害的特性,用於傳送其他惡意程式、勒索軟體等工具到受害電腦,但最近有資安業者發現,現在Bumblebee的行蹤更難被資安系統察覺,而可能難以防堵相關攻擊行動。

北約組織在烏克蘭戰爭扮演了反對俄羅斯的主要軍事力量,但卻因為有成員國沒有妥善保管所持有的資料,而使得該軍事組織的機密面臨外洩的情況。葡萄牙武裝部隊參謀總部傳出遭到網路攻擊,而導致與北約有關的文件外洩,且因相關檔案流入暗網才發現遭駭。

【攻擊與威脅】

研究人員揭露以GIF檔案攻擊微軟Teams的手法GIFShell

資安研究員Bobby Rauch揭露了鎖定微軟協作平臺Teams的攻擊手法「GIFShell」,當中串連此平臺的7項缺陷來達到目的,攻擊者與受害者之間並未直接傳送訊息,而是完全藉由發送惡意GIF檔案的訊息,以及微軟所屬的伺服器界外(Out of Bounds)尋找GIF檔案機制所形成的管道。研究人員藉由設置反向Shell,並將其用來在Teams傳送內有惡意指令的GIF檔案,最終濫用微軟的基礎設施來外洩資料。

不過,由於攻擊者必須先說服受害者在電腦安裝惡意軟體,才能發動上述攻擊,微軟針對這項研究成果表示,因為沒有繞過該公司的安全邊界,他們不會進行修補作業,但有可能在未來調整產品的設計來改善相關缺陷。

惡意軟體Bumblebee透過後期滲透工具PowerSploit,埋藏在受害電腦記憶體內運作 

駭客利用惡意軟體Bumblebee在受害電腦下載其他的作案工具,頻頻傳出相關事故,但這個惡意軟體的行蹤如今變得更加隱蔽,而使得資安系統可能更難以察覺其蹤跡。

資安業者Cyble針對近期出現的Bumblebee進行分析,發現駭客先是發送帶有VHD虛擬磁碟檔案的垃圾郵件,對受害者進行網路釣魚攻擊,此VHD檔案的內容包含了Quote.lnk與imagedata.ps1,一旦受害者執行了LNK檔案,就會觸發後者的PowerShell指令碼,並於背景執行,然後解密另一個指令碼,最終透過後期滲透工具PowerSploit,將DLL程式庫載入PowerShell處理程序的方法來執行Bumblebee。

研究人員指出,駭客利用PowerSploit的做法,使得Bumblebee完全在記憶體內執行,不會在硬碟留下任何痕跡,而能大幅減少被防毒軟體發現的機會。

北約文件流入暗網,起因是葡萄牙軍方遭網路攻擊

根據葡萄牙新聞網站Diario de Noticias的報導,該國的武裝部隊參謀總部(EMGFA)遭到網路攻擊,導致與北大西洋公約組織(NATO)有關的文件外洩,葡萄牙國家安全辦公室(GNS)、國家網路安全中心派出專案小組進行調查。

不願具名的知情人士透露,外洩資料的內容極為嚴重(extreme gravity),將導致葡萄牙在北約組織的信譽出現危機。針對這起網路攻擊,知情人士表示,此為長期且無法偵測的攻擊行動,駭客透過程式化的機器人(Bot)來偵測特定類型的文件,並在作案的多個階段後清除跡證。由於EMGFA將相關資料存放於隔離網路的電腦,初步調查的結果出爐,這些機密疑似透過不安全的管道流出,很有可能是EMGFA違反了相關管理規範所致。

這起事故被發現的原因,是美國威脅情報員發現有人在暗網兜售EMGFA的資料,透過駐里斯本大使館通報葡萄牙政府才曝光。在上述新聞網站報導此事後,在野黨要求政府做出說明,但在截稿之前,葡萄牙當局尚未發表聲明。

伊朗駭客組織APT42鎖定安卓手機部署間諜軟體從事網路間諜行動

資安業者Mandiant揭露由伊朗資助的駭客組織APT42,該組織主要鎖定政府官員、記者、學者下手,自2015年開始,在14個國家發動逾30次攻擊行動。這些駭客針對攻擊目標竊取相關帳號資料,來從事網路間諜活動,但與許多國家級駭客不同之處,在於APT42往往鎖受害者的安卓手機,部署惡意軟體來進行跟蹤,此惡意軟體主要透過簡訊的方式,每天將受害者的手機通話內容、收到的訊息回傳給駭客。但除了手機,該組織有時候也會對Windows電腦發動攻擊。

研究人員指出,APT42很可能與APT35相同,都是隸屬於伊朗革命護衛警察(IRGC)旗下的駭客組織。

美國洛山磯學區LAUSD遭勒索軟體攻擊,Vice Society宣稱竊得500 GB資料

上週美國洛山磯學區(Los Angeles Unified School District,LAUSD)公布他們遭到勒索軟體攻擊,但攻擊者的身分為何?勒索軟體駭客組織Vice Society向資安新聞網站Bleeping Computer透露,此起資安事故是該組織所為,並宣稱竊得500 GB檔案。對此,LAUSD要求所有師生、員工在上述勒索軟體攻擊後,重設密碼,並打算導入雙因素驗證來強化安全。

知名旅遊業者KKday前經理涉嫌竊密供新東家運用,遭檢調約談

法務部調查局於9月8日指出,有知名旅遊業者利用競爭對手的離職員工,收集此競爭業者的內部資訊與系統漏洞,並進行商業滲透及竊取營業秘密,來奪取競爭優勢。根據中央社的報導,這起事故是旅遊業者KKday進行內部資安稽核時發現,有不明人士非法登入,竊取合作廠商名單、商品明細、客戶流量分析等商業機密資料,進而向調查局資安工作站提出檢舉。經調查局與KKday清查內部系統連線記錄後發現,一名陳姓前經理在離職後,竊取相關帳密資料提供給新東家Klook使用,目的是存取相關營業秘密資料,檢方複訊後,諭令陳姓嫌犯以30萬元交保,全案朝向刑法妨害電腦使用罪及洩漏工商秘密罪偵辦。

為規避偵測,駭客改以間歇式手法加密受害電腦檔案

勒索軟體駭客為了避免遭到資安系統的攔截,他們不約而同地調整了加密檔案的策略。資安業者SentinelOne表示,勒索軟體LockFile自2021年中開始導入間歇式加密手法(Intermittent Encryption),每隔16個位元組執行一次檔案加密,而能更快完成加密流程,且得以躲過資安系統根據I/O讀寫的偵測機制。如今類似的手法也被BlackCat(Alphv)、Black Basta、Agenda、Play、Qyick等勒索軟體採用,並在地下論壇標榜相關功能來吸引買家。研究人員認為,這種新型態的加密檔案手法將會被更多駭客採用。

 

【其他資安新聞】

iThome 2022 資安大調查(上)

阿爾巴尼亞因伊朗駭客攻擊與伊朗斷交,疑再度遭到攻擊

烏克蘭組織、歐洲NGO遭到前Conti成員發動網路攻擊

勒索軟體駭客的Cobalt Strike伺服器遭DDoS攻擊,攻擊者留下反對俄羅斯的訊息

駭客假借提供領導人傳記的名義,鎖定維吾爾社群散布安卓惡意軟體

 

近期資安日報

【2022年9月8日】  Linux惡意軟體Shikitega以多階段部署規避偵測、北韓駭客Lazarus利用MagicRAT木馬發動攻擊

【2022年9月7日】  殭屍網路MooBot鎖定D-Link路由器而來、中國指控美國國家安全局對當地大學發動大規模網路攻擊

【2022年9月6日】  威聯通NAS的相片管理軟體漏洞遭勒索軟體DeadBolt鎖定、抖音與微信資料庫流入駭客論壇

熱門新聞

Advertisement