蠕蟲程式Raspberry Robin的攻擊行動在去年出現數起,由於此惡意軟體行蹤相當隱密,駭客甚至濫用威聯通(QNAP)的設備來架設基礎設施,而引起研究人員高度關注。而最近的攻擊行動中,研究人員發現駭客採用更為隱蔽的手法,採用了過往未曾出現的反分析機制。
駭客散布木馬程式有新的招式!他們在釣魚郵件夾帶的惡意Excel檔案裡,輸入了從銀行偷到的近42萬筆資料,疑似是為了避免讓受害者懷疑而這麼做。
勒索軟體LockBit的攻擊事故近期變得非常頻繁,其中,洛杉磯市房屋管理局(HACLA)遭到攻擊的情況相當值得留意,因為這不只導致該政府機構的財務資料外洩,也波及向該單位尋求協助的民眾。
【攻擊與威脅】
蠕蟲程式Raspberry Robin鎖定歐洲金融和保險業而來
資安業者Security Joes揭露近期蠕蟲程式Raspberry Robin的攻擊活動,駭客主要針對使用西班牙語與葡萄牙語的組織而來,研究人員觀察到歐洲的金融和保險業者成為目標,在其中一起攻擊行動裡,他們調查出駭客使用7-Zip檔案來散布惡意MSI安裝檔,透過誘使用戶下載安裝,以植入多種攻擊模組;另一起攻擊行動中,受害者是從詐欺廣告網域下載了存放在Discord伺服器的ZIP檔案,內有JavaScript程式碼,執行後會於電腦植入惡意軟體下載器。
相較於之前此蠕蟲程式的攻擊行動,研究人員指出,這次駭客收集比過往更多的受害電腦資料,並在下載器加入新的反分析機制,此外,駭客也透過RC4編碼加密竊得的受害電腦資料。
駭客利用竊得的銀行資料來製作惡意Excel檔案,藉此散布木馬程式BitRAT
資安業者Qualys揭露木馬程式BitRAT最近一波攻擊行動,研究人員在調查該木馬程式的網路釣魚攻擊的過程中,發現駭客使用包含惡意的Excel檔案,開啟後會濫用電腦上的WinHTTP程式庫,從GitHub下載BitRAT惡意酬載,並將啟動器複製到Windows的啟動資料夾來維持在受害電腦上運作。
特別的是,他們還比對該惡意Excel檔案的表單內容,查出資料是來自一家哥倫比亞的銀行,進而發現該銀行資料外洩,駭客取得418,777筆客戶資料,包含了客戶姓名、電話號碼、電子郵件信箱、住址,薪資、付款記錄,以及哥倫比亞身分證字號(Cedula)。研究人員指出,駭客疑利用SQLmap找尋SQL注入漏洞得逞。
洛杉磯市房屋管理局傳出遭到勒索軟體LockBit攻擊
根據科技新聞網站TechCrunch的報導,勒索軟體駭客LockBit於去年12月31日聲稱攻擊了洛杉磯市房屋管理局(HACLA),並竊得15 TB資料,內容包含了向市政府尋求協助的民眾個資,以及HACLA的會計資料、人力資源、薪資單等檔案。HACLA發言人Courtney Gladney證實他們面臨網路攻擊,導致相關系統可能出現中斷的情況。
加密貨幣投資機器人3Commas坦承資料外洩,駭客聲稱竊得10萬個API金鑰
去年12月底有人在推特聲稱,他們從加密貨幣交易平臺3Commas竊得10萬個API金鑰,並公布其中的十分之一資料。該交易平臺於12月29日發布聲明,說明調查狀況,指出上述遭到公布的資料包含了有效的API金鑰,呼籲有進行合作的加密貨幣交易所Kucoin、Coinbase、Binance等,儘速撒銷與3Commas連結的金鑰。
3Commas表示,他們懷疑此起事故是內部洩露並著手調查,但目前尚未找到相關證據,該公司強調僅有少數技術人員能夠存取相關基礎設施,他們亦於11月19日移除相關權限。但從10月開始就有該平臺用戶帳戶資產因帳密遭到洩露後,損失6百萬美元,當時3Commas認為這些用戶是因為遭到網釣攻擊而成為受害者。
Volvo汽車資料外洩,200 GB資料流入駭客論壇兜售
資安研究人員Anis Haboubi在駭客論壇發現,名為IntelBroker的人士聲稱取得了Volvo汽車200 GB資料,並在論壇求售價值2,500美元的門羅幣(Monero),賣家聲稱內有Volvo資料庫、網域、CI/CD、API、Atlassian等系統的帳密,以及軟體授權、員工名單、Wi-Fi熱點、金鑰、系統檔案等。除此之外,這批檔案還有該公司現行與未來車款的資料。
而這些資料取得的管道,該名賣家表示,是勒索軟體Endurance於去年12月31日發動攻擊而得,並表示不打算向該公司勒索。
【漏洞與修補】
群輝修補VPN路由器的重大漏洞
群輝於去年12月30日發布資安通告,該廠牌的路由器作業系統Synology Router Manager(SRM)存在重大漏洞CVE-2022-43931,可被用於在VPN Plus Server元件執行任意命令,影響執行SRM 1.3版與1.2版的路由器,該公司發布1.4.4-0635版及1.4.3-0534版VPN Plus Server元件修補。此漏洞的CVSS風險層級達到了10分。
逾6萬臺Exchange仍未修補ProxyNotShell漏洞
非營利組織Shadowserver基金會的研究人員於12月21日指出,有8.4萬臺Exchange伺服器尚未完整修補ProxyNotShell漏洞(CVE-2022-41082 、CVE-2022-41040),但到了今年1月2日,仍有近6.1萬臺曝露於相關風險,其中歐洲有3.1萬臺,美國及加拿大則有1.8萬臺。這樣的情況使得研究人員呼籲IT人員應加速修補的腳步。
【其他資安新聞】
美國鐵路公司Wabtec遭勒索軟體LockBit攻擊而資料外洩
近期資安日報
【2023年1月3日】 Linux惡意軟體鎖定30個WordPress外掛程式漏洞而來、PyTorch機器學習框架感染惡意程式碼
【2022年12月30日】 數千臺Citrix應用程式交付控制系統未修補重大漏洞、Google智慧音箱弱點恐讓駭客能偷窺語音指令
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19