又是假冒Instagram名義的網釣攻擊!有資安業者揭露針對國家級教育機構而來的攻擊行動,但值得注意的是,駭客不只配置了幾可亂真的內容,還通過了郵件安全閘道、郵件伺服器安全管制規則的檢查,而能成功送到該組織員工的電子郵件信箱。
針對工控系統漏洞而來的攻擊行動也相當值得留意。美國CISA針對歐姆龍PLC設備發出資安通告,指出該公司於7月、10月修補的重大漏洞已被用於攻擊行動。
Samba近期修補了CVE-2022-42898,這項漏洞影響32位元作業系統,攻擊者有機會藉由偽造的PAC憑證觸發。
【攻擊與威脅】
教育機構遭到駭客鎖定,以Instagram異常登入的名義發動網釣攻擊
資安業者Armorblox揭露假冒Instagram的釣魚郵件攻擊行動,針對教育領域的大型國家機構發動攻擊,目標是在裡面任職的人員。駭客針對2.2萬個電子郵件信箱寄送網釣郵件,佯稱有來路不明的登入行為,要收信人儘速處理。一旦收信人依照指示點選信中連結,就有可能被導向冒牌的變更密碼網站,而使得帳密資料落入駭客手中。
研究人員指出,這起攻擊行動的信件內容與Instagram寄出的信件極為相似,釣魚網站甚至在地圖上顯示異常登入的地點,再加上寄件者的電子郵件信箱是contact@instagramsupport.net,而使得用戶難以分辨真假。此外,釣魚郵件本身亦通過DKIM、DMARC、SPF等郵件檢查,而能繞過Exchange的安全機制與郵件安全閘道的偵測。
歐姆龍PLC設備重大漏洞被用於散布工控系統惡意軟體
美國網路安全暨基礎設施安全局(CISA)於11月10日發布兩則資安通告,當中提到駭客鎖定歐姆龍(Omron)的NJ、NX系列可程式化邏輯控制器(PLC)系統產品線發動攻擊,針對CVE-2022-34151(CVSS風險評分為9.4分)、CVE-2022-33971(CVSS風險評分為8.3分)等漏洞下手,其中以前者為寫死(Hardcoded)帳密的重大漏洞,攻擊者能用於存取PLC設備。通報上述漏洞的資安業者Dragos表示,CVE-2022-34151實際上已被駭客納入攻擊框架Pipedream、Incontroller,並用於攻擊ICS系統。
印度證券保管服務商CDSL遭惡意軟體攻擊,內部系統也受到破壞
根據新聞網站TechCrunch報導,印度證券託管機構Central Depository Services Limited(CDSL)於11月18日向當地股市交易所通報,該公司偵測到惡意軟體攻擊,部分電腦受到波及,為了防止災情擴大,他們隨即隔離受害電腦,並切斷與其他系統的連結。
根據初步調查的結果,CDSL尚未發現機密檔案或是投資者資料遭到外洩。該新聞網站指出,在CDSL通報此事時,網站亦無法存取,但CDSL不願透露網站是否遭到這起攻擊事件影響。
中國駭客組織Earth Preta濫用Google Drive散布惡意軟體
資安業者趨勢科技揭露中國駭客組織Earth Preta(亦稱Mustang Panda、TA416)的攻擊,本次行動自3月開始進行,目標是臺灣、日本、菲律賓、澳洲、緬甸,主要針對政府機關及法律機構而來(83.9%),但也傳出教育機構、商業公司受害。攻擊者以密件副本來寄送網釣郵件,並濫用雲端檔案共享服務Google Drive、Dropbox來散布壓縮檔(RAR、ZIP、JAR等),進而於受害電腦植入惡意程式ToneShell、ToneIns、PubLoad。
勒索軟體AXLocker結合加密受害電腦檔案及竊取Discord帳號能力
資安業者Cyble揭露3種新的勒索軟體AXLocker、Octocrypt,以及Alice Ransomware,其中最值得留意的是AXLocker,該勒索軟體不僅具備加密檔案的能力,亦擁有竊密軟體的功能──可從受害電腦竊取Discord的使用者ID、系統詳細資訊、瀏覽器個人設定,透過Discord Webhook網址傳送至駭客的頻道。
【漏洞與修補】
Samba修補可被用於阻斷服務、遠端執行任意碼的漏洞
11月15日Samba發布安全性更新4.15.12、4.16.7、4.17.3,當中修補了CVE-2022-42898,此漏洞出現在使用者的代理服務元件S4U2proxy,影響32位元作業系統,通過身分驗證的攻擊者可藉由16位元區塊,來造成記憶體緩衝區溢位,成功利用可能導致阻斷服務(DoS),或是遠端執行任意程式碼(RCE),CVSS風險評分為6.4分,若現行Samba執行於64位元作業系統,則不受此漏洞影響。
這項漏洞發生的原因,是在32位元作業系統上解析特權屬性憑證(PAC)的過程中,Samba的Kerberos程式庫會出現記憶體整數溢位的情況,而使得攻擊者能透過偽造的PAC發動攻擊。
Atlassian修補Bitbucket伺服器的重大命令注入漏洞
Atlassian針對旗下的持續整合與持續開發(CI/CD)平臺Bitbucket、身分驗證解決方案Crowd發布資安通告,修補重大漏洞CVE-2022-43781、CVE-2022-43782。前者為Bitbucket伺服器的命令注入漏洞,攻擊者可在特定情況下,於目標系統執行程式碼,CVSS風險評分為9.8分,影響7.0版至7.21版、8.0版至8.4版Bitbucket,但由Atlassian代管的執行個體,或是執行PostgreSQL資料庫的執行個體不受影響;後者為Crowd伺服器的配置錯誤漏洞,攻擊者在註冊Crowd應用程式時能繞過密碼查核的流程,並呼叫具有特珠權限的API端點,影響3.0.0版以上的Crowd;但從低於3.0.0版升級的系統不受影響。
【資安防禦措施】
研究人員發現勒索軟體Zeppelin漏洞,並用於製作解密金鑰
資安業者Unit 221B揭露2020年初挖掘勒索軟體Zeppelin漏洞的過程,研究人員根據另一家資安業者Cylance在2019年12月發布的調查報告進行分析,找到在加密過程隨機產生的RSA-512公鑰,並藉由雲端基礎設施供應商DigitalOcean贊助的伺服器主機,透過暴力破解得到能復原檔案的AES金鑰。Unit 221B自2020年2月開始,將其研究成果用於協助受害組織解鎖檔案。
資安新聞網站Krebs On Security指出,該公司已幫助近20個組織恢復檔案。Unit 221B指出,Zeppelin鎖定的目標往往缺乏資安事件回應能力,如:非營利組織、慈善機構,促使他們找出復原檔案的方法。
【其他資安新聞】
微軟Exchange漏洞ProxyNetShell出現概念性驗證攻擊程式
PyPI再傳惡意套件,數百人受害,駭客運用隱寫技術將程式碼埋藏在圖片
近期資安日報
【2022年11月18日】 勒索軟體ARCrypter攻擊範圍從拉丁美洲擴及全球、北美線上購物者遭到網釣駭客鎖定
【2022年11月17日】 公有雲業者AWS關聯式資料庫服務的快照暴露在外、惡意軟體載入器BatLoader攻擊行動升溫
【2022年11月16日】 亞洲政府機關與憑證機構遭中國駭客Billbug鎖定、開發人員入口網站平臺Backstage出現重大漏洞
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23