又有基版管理控制器(BMC)出現重大漏洞,而使得被控管的伺服器曝露危險。但值得留意的是,這次被發現漏洞的BMC系統MegaRAC,被用於至少15個廠牌的伺服器上,導致這些漏洞的影響範圍變得相當廣泛。
駭客鎖定電信業者與業務流程外包公司發動攻擊,竟是為了進行SIM卡挾持(SIM Swapping)攻擊做準備!資安業者CrowdStrike揭露駭客組織Scattered Spider的攻擊行動,這些事故的入侵手法不盡相同,但目的都是為了從電信公司偷取相關資料。
我們之前報導針對Windows電腦的自帶驅動程式(BYOD)攻擊手法,如今類似的手段駭客也拿來攻擊Linux電腦!研究人員揭露駭客攜帶PRoot工具的攻擊行動,目的是將目標擴及多個版本的Linux。
【攻擊與威脅】
電信業者與業務流程外包公司遭鎖定,目的是竊取SIM挾持攻擊所需的電信業者權限
資安業者CrowdStrike揭露自今年6月出現的一連串攻擊行動,駭客組織Scattered Spider鎖定電信業者、業務流程外包公司(BPO)發動攻擊,利用多種社交工程手法,像是假冒IT人員打電話給公司員工,或是利用Telegram或簡訊將使用者導向含有公司商標的冒牌網站,進而取得目標網路的初始網路存取權限,駭客在其中兩起攻擊行動裡,分別透過竊得的帳密存取目標組織的Azure虛擬機器,以及利用應用程式伺服器ForgeRock OpenAM的漏洞CVE-2021-35464站穩腳根。然後這些駭客透過AnyDesk、Teamviewer、Logmein等20種遠端監控與管理系統(RMM),持續在目標組織活動。
而對於這些駭客的目的,研究人員指出,他們最終的目的是破壞電信網路,竊取使用者的資料,以便用於SIM卡挾持(SIM Swapping)攻擊。
駭客自帶系統管理工具PRoot攻擊Linux主機
資安業者Sysdig揭露針對Linux主機的挖礦攻擊行動,過程中駭客自行攜帶名為PRoot的開源系統管理工具,於目標電腦上部署獨立的根檔案系統,然後植入挖礦軟體XMRig,以及masscan、nmap等工具。這種濫用PRoot的做法,駭客的目的是因應不同Linux版本(如:Ubuntu、RHEL、Alpine等)之間的差異,而能將攻擊範圍延伸到多種Linux作業系統,此外,PRoot亦具備模擬機制,也能讓惡意軟體在不同架構的電腦上執行。
攻擊者自備PRoot的做法,研究人員將其稱為「自帶檔案系統(Bring Your Own Filesystem,BYOF)」攻擊。
ZIP與RAR壓縮檔已成為駭客主要用來埋藏惡意軟體的管道
HP資安研究團隊發布了2022年第3季的威脅分析報告,當中提及駭客散布惡意軟體的主要管道,已從Office惡意檔案轉向ZIP、RAR等壓縮檔案,在他們偵測到的惡意軟體攻擊裡,駭客總共濫用了150種檔案格式,但有44%藉由壓縮檔案傳送,其次則有32%是Office檔案。相較於2022年第2季,使用壓縮檔的比例多出11%,亦較第1季多出25%。
研究人員認為,這樣的散布惡意軟體管道變化,與壓縮檔容易加密而難以被資安系統解析,以及駭客日益偏好以指令碼為基礎(Script-based)的惡意程式有關。
5萬個網站遭到竄改,駭客注入世界盃足球賽下注內容來擾亂SEO結果
資安業者Sucuri揭露推廣中國賭博、體育投注網站的攻擊行動,駭客假借世界盃足球賽的名義,感染50,172個網站,將其用於提升自己網站搜尋引擎最佳化(SEO)排名,駭客的工具主要針對百度、搜狗、奇虎360的網路爬蟲而來,一旦遇到這類偵測工具便會顯示與博奕有關的中文內容,然而若是使用者藉用網頁瀏覽器卻會看到未被竄改的網頁。研究人員指出,這類攻擊主要針對簡體中文網頁而來,但也有許多西方網站受到波及。
【漏洞與修補】
American Megatrends的BMC軟體出現重大漏洞,超過15個廠牌的伺服器曝險
資安業者Eclypsium於12月5日,揭露American Megatrends(AMI)基版管理控制器(BMC)解決方案MegaRAC的漏洞CVE-2022-40259、CVE-2022-40242、CVE-2022-2827,攻擊者一旦利用這些漏洞,就有可能在特定條件下執行程式碼、繞過身分驗證,以及進行枚舉用戶。其中最嚴重的漏洞是CVE-2022-40259,CVSS風險層級為9.9分,為利用Redfish API執行任意程式碼的重大漏洞。
由於該BMC解決方案被運用範圍相當廣泛,至少包含AMD、Dell EMC、技嘉、雲達等15個廠牌的伺服器,研究人員除向American Megatrends通報,也對這些伺服器業者發布相關通知。
Google修補今年第9個Chrome零時差漏洞
12月2日Google針對電腦用戶發布Chrome 108.0.5359.94與108.0.5359.95,目的是為了修補已被用於攻擊行動的漏洞CVE-2022-4262,此漏洞是該瀏覽器的JavaScript引擎V8的型態混淆造成。此為Google今年修補的第9個Chrome零時差漏洞。
【其他資安新聞】
法國教學醫院André-Mignot遭勒索軟體攻擊,病人被迫轉院
1Password推出單一簽入瀏覽器擴充套件,支援Google、Facebook、GitHub
近期資安日報
【2022年12月5日】 雲端服務業者代管的Exchange伺服器中斷運作、三菱電機PLC設備出現帳密保護不足弱點
【2022年12月2日】 Redis伺服器漏洞遭到惡意軟體Redigo鎖定、刑事局破獲投資詐騙簡訊嫌犯
【2022年12月1日】 駭客組織Lilac Wolverine發動大規模禮物卡攻擊、中國駭客利用USB裝置攻擊菲律賓組織
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23