駭客利用PNG、JPG、GIF等圖片檔案挾帶惡意軟體的手法,不時有事故傳出,但現在有研究人員發現,駭客開始運用SVG格式的向量圖片檔案做為媒介。與前述幾種檔案格式有所不同,SVG採用XML語言為基礎並支援嵌入JavaScript,而使得駭客更容易透過惡意JavaScript指令碼發動攻擊。
竊取臉書帳號的攻擊行動近期越來越頻繁,然而最近有新的手法出現,不僅幾可亂真,也能騙過大多數資安系統的檢查。研究人員揭露濫用臉書貼文的網釣攻擊,這些貼文號稱是臉書的技術支援中心,並誘導受害者到釣魚網站。
Mozilla基金會近期推出Firefox 108、Thunderbird 102.6,美國CISA提出警告,該基金會甫修補的漏洞已出現攻擊行動,使用者應儘速更新。
【攻擊與威脅】
向量圖檔SVG被駭客用於偷渡惡意軟體QBot
思科的研究人員揭露惡意軟體QBot新的散布途徑,駭客利用向量圖檔SVG,並透過HTML挾持(HTML Smuggling)的手法來傳送這款惡意程式。駭客先是透過竊得的電子郵件,以回覆信件的型式進行釣魚攻擊,並挾帶HTML為附件,一旦收信人開啟該附件檔案,此HTML檔案將會載入SVG圖片,並執行此圖片裡面的JavaScript程式碼,建立惡意ZIP檔案,並向使用者顯示儲存檔案的對話框,收信人依照指示開啟壓縮檔案後,電腦便有可能感染感染QBot。
研究人員指出,與過往使用PNG、JPG圖片挾帶惡意程式有所不同的是,SVG是採用XML語言開發的向量圖檔,內含的HTML指令碼標籤會被視為合法功能,再加上QBot最終是在受害電腦上組裝,而能逃過網路安全系統的偵測。
竊取臉書帳密的網釣攻擊有新招!駭客濫用臉書貼文逃避資安系統偵測
資安業者Trustwave揭露新型態的臉書帳號釣魚攻擊手法Meta-Phish,駭客假借臉書客服的名義寄送釣魚郵件,聲稱收信人的臉書帳號部分功能遭到停用,原因是收信人發布的貼文違反臉書廣告服務條款,若不依照指示處理,帳號將在48小時被刪除。
一旦收信人照做,駭客會將其引至臉書使用者Page Support的貼文,並要求收信人點選貼文裡的URL填寫表單,一旦提交對方所要求的資料,駭客會透過Telegram機器人收集相關內容,進而接管此人的臉書帳號。此外,研究人員提到,為了確認收信人是否上鉤,駭客也濫用Google Analytics來追蹤進度。
14萬NuGet、NPM、PyPI惡意套件被用於網釣攻擊
資安業者Checkmarx與Illustria聯手,揭露大規模濫用開源套件庫的攻擊行動,有人在NuGet、NPM、PyPI套件庫上傳了144,294個惡意套件,並透過90個網域架設6.5萬個釣魚網站,目的是對開發者進行網釣攻擊。這些套件疑似透過自動化產生,因為,所有的套件發布者ID存在共通的命名規則,而且這些帳號上傳的套件數量幾乎相同。
開發者一旦安裝這些套件,將會被引導到各式各樣的釣魚網站,包含提供冒牌App、獎勵問卷、贈送禮物卡,有些人則被導向全球速賣通(AliExpress)的推薦連結。上述逾14萬個惡意套件,上傳到NuGet的最多,為136,258個;其次是PyPI的7,894個、NPM的212個。
烏克蘭政府遭到木馬化的Windows 10安裝光碟鎖定
資安業者Mandiant揭露自2022年5月出現的攻擊行動,名為UNC4166的駭客組織假借提供Windows 10的安裝光碟映像檔,在俄語與烏克蘭語Torrent共享網站上散布,一旦使用者依照指示安裝此作業系統,電腦就有可能被植入Stowaway、Beacon、Sparepart等後門程式,以便駭客能竊取電腦機密與檔案,並提供能對受害電腦持續存取的管道。
研究人員指出,從利用Windows作業系統安裝檔案來散布惡意軟體的手段,看似針對一般民眾而來,但攻擊者會分析受害電腦、確定電腦隸屬烏克蘭政府,之後才會對其發動進一步攻擊。
律師事務所遭到惡意軟體Deathstalker鎖定
資安業者卡巴斯基在調查惡意軟體Deathstalker的過程裡,發現了自2020年開始行動的變種,此惡意軟體鎖定中東律師事務所的Windows、Mac電腦發動攻擊,並在2021年達到高峰。比較特別的是,駭客濫用YouTube、WordPress.com等多個雲端服務做為Dead-Drop Resolver(DDR),讓Deathstalker成功入侵受害電腦後,破解駭客埋下的訊息而能與C2中繼站連結。
信用卡交易業者曝露9百萬交易資料
架站教學網站Website Planet資安團隊與研究人員Jeremiah Fowler聯手,發現沒有密碼保護的資料庫,內含9,098,506筆交易記錄與個人資料(PII),包括購買人姓名、付款人姓名、部分信用卡卡號、到期日、電子郵件信箱、驗證碼等。經調查後,資安人員得知該資料庫所有者的身分:總部位於美國加州的Cornerstone支付系統,該公司獲報後,已採取保護措施。
全臺戶政資料外洩事件延燒,立委要求政府儘速對民眾說明
根據民報10月下旬的報導,有人在駭客論壇兜售全臺戶政資料,並強調是最新的版本而非舊資料,並標榜內有許多政要的詳細戶藉資料。內政部、數發部表示經比對駭客提供的資料格式與內政部戶政資料差異很大,研判並非戶政司網站流出,駭客持有的是舊資料。但這樣的說明,難以解釋前述新聞媒體比對後,外洩資料符合民眾現況的情形。
對此,有立委在審查預算時,要求政府要進一步說明此事。時代力量立委邱顯智、王婉諭於12月9日召開記者會,要求政府必須向全國人民說明個人資料被侵害的情況,以及已採取的因應措施。民進黨立委賴品妤在14日立法院質詢時,指出國安局在調查報告裡坦承全臺戶政資料遭販賣的情況,而非內政部宣稱是2020年流出的舊資料,國安局發現這次外洩的資料已用於多起詐騙事件,政府應該要再進一步釐清狀況。
【漏洞與修補】
Mozilla修補Firefox、Thunderbird弱點,若不修補恐導致系統遭到挾持
12月13日Mozilla基金會發布Firefox 108、Firefox ESR 102.6、Thunderbird 102.6,當中修補了高風險漏洞CVE-2022-46878,這項漏洞是該基金會的開發人與模糊測試團隊發現,若不進行修補或緩解,將會導致記憶體中斷,而使得攻擊者有可能藉此執行任意程式碼。另一個同時出現在上述瀏覽器與收信軟體的高風險漏洞,還有CVE-2022-46872,攻擊者一旦成功利用,就有機會讀取任意檔案,不過,此漏洞只有Linux使用者受到影響。
美國網路安全暨基礎設施安全局(CISA)提出警告,已有駭客將這次Mozilla修補的漏洞用於攻擊行動,並挾持受害電腦。
西門子、施耐德電機修補逾140個漏洞
12月13日,西門子、施耐德電機發布本月例行修補公告,總共修補超過140個漏洞。其中,西門子發出20則資安通告,提出約140個漏洞的緩解措施,這些漏洞有超過半數與Scalance X-200RNA工控交換器產品線有關,超過80個存在於這些交換器採用的OpenSSL、OpenSSH程式庫元件,本次修補的漏洞涵蓋期間橫跨2013年至2019年,同時,他們也修補OpenSSL嚴重漏洞CVE-2022-3602。
同日施耐德電機也修補了6個漏洞,當中有4個存在於不斷電系統APC Easy UPS的監控軟體,其中的CVE-2022-42970、CVE-2022-42971的CVSS風險層級達到了9.8分。
【其他資安新聞】
近期資安日報
【2022年12月15日】 SAP修補4項CVSS風險等級近乎滿分重大漏洞、勒索軟體攻擊濫用微軟簽章的驅動程式
【2022年12月14日】 Citrix ADC的零時差漏洞已被用於攻擊行動、WordPress網站遭到殭屍網路GoTrim鎖定
【2022年12月13日】 車輛共享業者Uber因第三方廠商遭駭資料外洩、VMware ESXi伺服器遭到Python後門程式鎖定
熱門新聞
2024-08-14
2024-12-22
2024-12-20
2024-12-22