惡意軟體鎖定存在漏洞的WordPress外掛程式而來的情況,不時傳出攻擊事故,而最近的惡意軟體攻擊行動一口氣針對30個已知漏洞而來,值得留意的是,這當中大部分外掛程式的漏洞可能沒有CVE編號,有編號的可能是6至7年前的漏洞,這樣的情況使得研究人員呼籲網站管理員應部署最新版的外掛程式。
在2022即將結束的前夕,有人利用PyPI套件庫發動攻擊,不過,這次並非利用拼寫錯誤來散布惡意套件,而是針對Python套件安裝工具pip找尋套件的機制而來──該安裝工具會優先從PyPI套件庫下載相依套件,而使得部署Nightly版機器學習框架PyTorch的電腦,會一併安裝駭客上傳的惡意套件。
勒索軟體攻擊的情勢也相當值得留意,其中又以駭客組織BlackCat要脅受害組織的新手法引起研究人員關注。這些駭客不只在暗網公布受害組織資料,也在網際網路架設受害組織的冒牌網站,來公布竊得的資料。
【攻擊與威脅】
WordPress網站遭到Linux惡意軟體鎖定,利用30種外掛程式漏洞注入惡意指令碼
防毒業者Dr.Web揭露鎖定WordPress網站的惡意程式,此為32位元的Linux軟體,針對約30種WordPress外掛程式的已知漏洞而來,一旦偵測到網站使用了尚未修補特定漏洞的外掛程式,此惡意軟體就會從C2中繼站下載惡意JavaScript指令碼,並在網站上注入,使得瀏覽網站的用戶就有可能會被重新導向到其他網站──在網頁被瀏覽器載入的過程中,惡意指令碼會先執行,一旦用戶點選網頁的任何區域,就會被導向至惡意網站。
PyTorch機器學習框架感染惡意程式碼,原因是相依元件遭到駭客竄改、置換
機器學習框架PyTorch開發團隊提出警告,使用者若是在去年12月25日至30日利用pip管理員部署Linux版的PyTorch-nightly套件,電腦就有可能被植入惡意軟體,他們呼籲使用者不只要移除PyTorch-nightly,也要一併移除相依套件torchtriton,然後再重新安裝12月31日之後的Nightly版PyTorch。開發團隊表示,此為「相依元件混淆(Dependency Confusion)」的軟體供應鏈攻擊,駭客於PyPI上架惡意相依性套件torchtriton,使得pip優先從PyPI套件庫下載惡意套件。
開發團隊指出,這個惡意二進位檔需在使用者匯入triton套件,且需要下達特定指令才會執行,這並非PyTorch的預設行為。截至1月1日為止,冒牌相依套件已被下載超過2,300次。PyTorch穩定版的用戶不受影響,開發團隊也提供相關指令供用戶檢查是否遭到供應鏈攻擊。
勒索軟體駭客架設偽造網站來公布受害組織資料
根據資安新聞網站Bleeping Computer的報導,勒索軟體駭客組織BlackCat(亦稱Alphv)最近使用了新的威脅手法,企圖使受害者就範。這些駭客在攻擊金融機構後,不只在暗網公布受害機構的資料,也在公開網路架設網站以暴露相關資料,這個網站的樣貌與網域名稱,皆與受害組織的網站雷同,但駭客在網站上公布員工備忘錄、支付表格、員工資料、公司資產和支付、合作夥伴財務資訊,以及護照掃描畫面等資料。資安業者Emsisoft的研究人員認為,駭客應該是因為沒有收到贖金才這麼做。
加拿大銅礦業者遭勒索軟體攻擊被迫關閉
加拿大銅礦業者Copper Mountain Mining Corporation(CMMC)證實於12月27日遭到勒索軟體攻擊,為降低損害,該公司將運作系統獨立,改以人工作業因應,為了避免發生意外,而暫時關閉礦場,且強調本次資安事故並未衍生工安意外。
而對於該公司遭到入侵的管道,資安新聞網站Bleeping Computer發現,有人疑似於12月13日在駭客市集兜售CMMC員工的外洩帳密,極可能與本次勒索軟體攻擊事故有關。
加拿大兒童醫院SickKids收到勒索軟體LockBit的解密金鑰,恢復部分受害系統
加拿大兒童醫院SickKids於12月18日傳出遭到勒索軟體LockBit攻擊,導致檢驗室與醫療影像攝影系統無法存取,院方被迫改為手動作業,而這起事故最近出現了新的進展。資安研究員Dominic Alvieri發現,該組織於12月31日指出,有聯盟成員違反LockBit不攻擊醫院的政策,他們對此向院方致歉,並提供解密金鑰。
SickKids於2023年1月1日證實收到解密金鑰,已復原約6成重要系統,該院表示他們沒有支付贖金,並指出目前尚未發現證據有個資或是醫療資訊外洩。資安新聞網站Bleeping Computer取得駭客的解密工具,指出駭客這次應是加密了醫院的VMware ESXi環境。
【資安產業動態】
Chrome瀏覽器將擴大封鎖HTTP網站存取
最近傳出Google有意擴大Chrome封鎖HTTP連線網站的功能。根據科技網站9to5Google的報導,Google在Chromium專案引入新的程式碼變更,將Chrome 93推出的HTTPS-only模式適用範圍增大,屆時使用者瀏覽的網站如果只能透過HTTP存取,Chrome將不會載入相關內容;此外,若是存取HTTPS網站的過程由HTTP網站重新導向,也可能會被封鎖。
【其他資安新聞】
近期資安日報
【2022年12月30日】 數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令
【2022年12月29日】 NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy
【2022年12月28日】 GuLoader惡意軟體下載器又有新Shellcode規避偵測技術;台積電在年底前設置資安長一職
熱門新聞
2024-11-25
2024-11-25
2024-11-22
2024-11-24
2024-11-25
2024-11-25