勒索軟體駭客日益猖狂,許多資安業者都曾發生遭到攻入的事故。在10月底有一家大型公司Thales也傳出這樣的狀況,震驚各界。該公司橫跨航太、國防、資訊安全等領域,同時又以硬體安全模組(HSM)、身分認證解決方案聞名,可惜仍無法倖免,後續調查的狀況與衍生的影響,都需要密切觀察。

惡名昭彰的殭屍網路Emotet再度發動攻擊。值得留意的是,駭客為了繞過Office軟體的防護規則,竟要求受害者將Excel檔案複製到指定資料夾執行。

與新聞媒體合作的多媒體公司竟變成駭客發動攻擊的管道!資安業者揭露駭客組織TA569的攻擊行動,駭客竄改影音內容製作公司傳送影音內容的程式碼,向這些新聞網站散布惡意軟體。

【攻擊與威脅】

法國國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊,對方揚言11月7日將公布部分竊得資料

根據資安新聞網站Security Affairs報導,勒索軟體LockBit於10月31日聲稱攻陷法國國防安全科技集團Thales,竊得部分資料,並要脅若不依照指示支付贖金,將於11月7日公布竊得的檔案。不過,駭客並未提供可進行驗證的樣本資料。

對此,Thales向路透社表示,他們針對該資安外洩事故展開調查,並向法國國家網路安全局(ANSSI)進行通報,但沒有收到對方勒索通知。

國防設備供應商Hensoldt法國子公司疑遭勒索軟體Snatch入侵,並公布部分竊得資料

國防產業遭到攻擊的情況,之前多半是針對美國而來,但現在也有歐洲的廠商成為目標的事故。根據資安新聞網站Cybernews的報導,勒索軟體Snatch於10月30日聲稱入侵國防設備供應商Hensoldt法國子公司,並竊得機密檔案,這些駭客公布94 MB資料供眾人驗證。但Hensoldt尚未回應此事。

事實上,此起事故並非該集團首度遭到勒索軟體攻擊──今年1月,Hensoldt的英國子公司部分系統感染了勒索軟體Lorenz。

電信業者Vodafone義大利分公司傳出資料外洩,起因是經銷商遭駭

根據資安新聞網站Bleeping Computer的報導,電信業者Vodafone的義大利分公司近日向客戶發出資料外洩通知,並指出這起事件發生的原因,是義大利電信經銷商FourB SpA於9月第1個星期遭到網路攻擊所致,客戶遭到曝露的資料包含了訂閱內容、含有敏感資料的身分證件、聯絡資料,但不含密碼。再者,沒有用戶的網路流量因此受害。

而關於攻擊者的身分,Bleeping Computer報導提到,9月3日有個駭客組織KelvinSecurity聲稱攻擊Vodafone義大利分公司,並竊得約310 GB資料,內有29.5萬個檔案,這是否與同樣於9月發生的此次資料外洩事故有關,尚無法證實。

殭屍網路Emotet攻擊活動再度出現,利用回覆郵件來散布惡意Excel檔案

殭屍網路Emotet這兩、三年肆虐,但到了今年6月中旬突然終止相關攻擊行動,如今又重出江湖。資安業者Proofpoint與資安研究團隊Cryptolaemus相繼提出警告,因為他們發現Emotet再度活動的跡象,並向全球廣發釣魚郵件。這次的釣魚郵件,是以回覆郵件的型式發送,並挾帶惡意Excel巨集檔案作為附件。資安新聞網站Bleeping Computer指出,他們看到此Excel檔案有不同語言的版本,駭客佯稱是發票、掃描的文件檔案、電子表格,來引誘收信人開啟。

值得留意的是,駭客為了讓此惡意Excel檔案能繞過MoTW偵測機制,以便巨集能正常執行,他們要求受害者將其複製到Office軟體的範本資料夾再開啟,最終在受害電腦植入惡意軟體並於後臺運作。

數百個美國新聞網站遭到供應鏈攻擊,被用於散布惡意軟體SocGholish

資安業者Proofpoint發現,駭客組織TA569透過一家影音內容製作公司,對於超過250個美國新聞網站下手。此影音公司原本透過JavaScript指令碼向這些網站提供影音內容,但駭客如今竄改此JavaScript的基礎程式碼(Codebase),進而在新聞網站部署惡意軟體SocGholish,並以瀏覽器更新的名義、透過ZIP壓縮檔的形式進行散布。

研究人員表示,紐約、波士頓、芝加哥、邁阿密、華盛頓特區等地的美國新聞媒體都受到影響,他們亦發現有受害網站修復後再度被感染的情形。

間諜軟體SandStrike假借提供VPN的名義,攻擊特定宗教人士的安卓裝置

資安業者卡巴斯基揭露名為SandStrike的安卓間諜軟體,駭客鎖定奉行巴哈伊信仰的教徒提供VPN應用程式,宣稱為了能讓他們規避政府的監控,但實際上駭客在此App安裝過程也暗中部署SandStrike,一旦受害人依照指示安裝VPN應用程式,手機將會遭到監控,惡意軟體也會竊取聯絡人名單與通聯記錄。

研究人員指出,有別於許多惡意軟體攻擊,發動上述攻擊的駭客為了引誘受害人安裝上述的惡意App,作為誘餌的VPN應用程式不僅具備完整的VPN功能,駭客還建立擁有千名粉絲的臉書與Instagram帳號,這些帳號包含大量巴哈伊教的貼文,並引導受害者到特定的Telegram頻道。

 

【漏洞與修補】

IT基礎設施監控系統Checkmk存在重大漏洞

資安業者SonarSource揭露T基礎設施監控系統Checkmk的漏洞,這些漏洞一旦遭到利用,攻擊者無需通過身分驗證,就能遠端控制Checkmk伺服器。研究人員總共找到4個漏洞,其中有2個CVSS風險評分達9.1分的為重大漏洞,一個為程式碼注入漏洞,涉及watolib元件的auth.php;另一個為任意讀取檔案漏洞,與該系統整合的NagVis元件有關。研究人員於8月下旬通報上述漏洞,Checkmk於9月中旬發布2.1.0p12版予以修補。

 

【其他資安新聞】

逾30個PyPI套件被用於散布W4SP竊密軟體

網站分析引擎Urlscan的API曝露敏感資料

線上影音平臺Amazon Prime伺服器未受保護,曝露用戶觀看習慣

勒索軟體閰羅王背後的駭客組織很可能就是REvil

 

近期資安日報

【2022年11月2日】  Dropbox證實130個GitHub儲存庫遭竊、Azure Cosmos資料庫被發現存在身分驗證漏洞

【2022年11月1日】  資料破壞軟體Azov Ransomware抗議西方國家對抗俄羅斯不力、澳洲國防部傳出資料外洩

【2022年10月31日】  德國銅供應商Aurubis遭到網路攻擊、GitHub出現可利用重新命名來挾持儲存庫的漏洞

熱門新聞

Advertisement