因SolarWinds供應鏈攻擊事件惡名昭彰的俄羅斯駭客Nobelium,近期再度發起攻擊行動,這次駭客的目標是受害組織的AD聯邦服務(AD FS),在伺服器上植入後門程式來破壞相關驗證機制。
透過短網址與網路廣告服務濫用來進行網路攻擊並非新鮮事,然而,現在出現同時濫用兩者的手法,最近有研究人員發現濫用短網址與Google的廣告服務Adsense的攻擊,此類惡意活動有越來越多的跡象。
針對工業控制系統(ICS)的漏洞,有資安業者分析了最近3年美國網路安全暨基礎設施安全局(CISA)發出的資安通告,他們呼籲大家注意當中有不少漏洞缺乏修補程式可用,比例高達五分之一。
【攻擊與威脅】
俄羅斯駭客Nobelium發起攻擊行動MagicWeb,針對AD聯邦服務伺服器植入後門 #Nobelium #MagicWeb #AD FS
微軟偵測與回應團隊(DART)揭露俄羅斯駭客組織Nobelium的攻擊行動MagicWeb,這些駭客先是收集帳密的手法取得管理員權限,然後使用SMB通訊協定橫向移至AD聯邦服務(AD FS)的系統,並濫用全域Assembly快取(Global Assembly Cache,GAC)來植入後門程式。
待受害伺服器重開機,此後門程式就會載入惡意DLL程式庫,而該DLL檔案就是用來破壞原本的證書與驗證流程。為了繞過相關身分驗證流程,攻擊者設置一至兩個延伸金鑰運用(Extended Key Usage,EKU)屬性,最終破壞整個AD FS系統的身分驗證流程。
短網址服務遭濫用,駭客將使用者重新導向AdSense詐欺網站 #AdSense
資安業者Sucuri曾在12月揭露鎖定數千個WordPress網站的惡意軟體攻擊事故,駭客企圖瀏覽者重新導向冒牌的問答網站,但根據他們進一步的調查發現,這些問答網站都嵌入了有問題的Google Adsense廣告,從去年9月,他們就偵測出有10,890個網站遇害,但近期攻擊規模顯著擴大,研究人員發現逾70個惡意網域透過短網址服務散布,單是2023年1月,他們就發現超過2,600個新的惡意網站。
研究人員指出,這些駭客近期將所有的網域,都遷移到俄羅斯DDoS防護服務DDoS-Guard,而使得相關攻擊有可能更難發現。
網域註冊服務商NameCheap遭駭,用戶收到假冒MetaMask與DHL的釣魚郵件 #NameCheap #SendGrid #DHL #MetaMask #供應鏈攻擊
根據資安新聞網站Bleeping Computer的報導,網域註冊服務業者NameCheap證實他們的電子郵件行銷系統SendGrid帳號被盜,導致NameCheap用戶傳出收到釣魚郵件的情況,這些郵件主要是冒用快遞服務DHL和加密貨幣錢包MetaMask,宣稱寄件人沒有付款而無法寄送,以及加密貨幣錢包用戶必須完成KYC驗證以免遭到停用,引導收信人到釣魚網站,進而騙取信用卡資料或是加密貨幣錢包帳密資訊。
NameCheap認為,這起事故很可能與去年資安業者CloudSEK揭露的多家電子郵件行銷系統行動裝置API曝露有關,存在相關風險的業者包含了MailChimp、SendGrid、Mailgun。
網路科技業者A10 Networks傳出遭勒索軟體Play攻擊,證實資料外洩 #勒索軟體
網路科技業者A10 Networks近日向美國證交所通報,該公司於1月23日遭到勒索軟體攻擊,初步調查發現,駭客設法得到網路共用磁碟的存取權限,然後部署了惡意軟體,外流人力資源、財務、法律相關的資料。該公司強調,他們旗下產品與解決方案並未受到這起事故影響,用戶也沒有受到波及,並認為對他們的營運不會帶來重大影響。
資安新聞網站Bleeping Computer的指出,發動攻擊的很可能是勒索軟體Play,該組織宣稱竊得了A10 Networks的技術文件、員工及客戶資料、合約資料等。
勒索軟體Clop聲稱利用GoAnywhere零時差漏洞攻陷130個組織 #勒索軟體 #Clop #GoAnywhere #MFT
2月初IT業者Fortra向用戶透露MFT檔案共享系統GoAnywhere存在零時差漏洞CVE-2023-0669,事隔一週才發布修補程式,但如今有駭客組織宣稱將上述漏洞用於大規模攻擊。根據資安新聞網站Bleeping Computer的報導,勒索軟體Clop運用上述零時差漏洞,入侵超過130個組織,並在進入受害組織的網路環境後,竊取GoAnywhere伺服器上的資料。
資安業者Huntress推測,這起攻擊行動很可能是Clop旗下的TA505所為。而該駭客組織鎖定MFT漏洞發動攻擊已非首例,例如,在2020年,他們已針對上百臺Accellion FTA伺服器發動攻擊。
美國、南韓公共衛生機構遭北韓駭客鎖定,發動勒索軟體攻擊 #勒索軟體 #Log4Shell #SonicWall #TerraMaster
美國網路安全暨基礎設施安全局(CISA)近日針對當地與南韓的衛生機構發出警告,指出由北韓政府資助的駭客組織,使用Log4Shell(CVE-2021-44228)、SonicWall的SSL VPN設備漏洞CVE-2021-20038、TerraMaster的NAS設備漏洞CVE-2022-24990入侵受害組織,散布Maui、H0lyGh0st、Deadbolt、LockBit 2.0等多種勒索軟體,在部分攻擊行動裡,駭客也鎖定南韓中小型醫院採用的開源即時通訊軟體X-Popup,透過被植入木馬程式的檔案來入侵。CISA指出,駭客為了隱匿行蹤,通常會藉由VPN服務、專用虛擬伺服器,或是外國IP位址來發動攻擊。
研究人員揭露用於散布竊密軟體W4SP的惡意PyPI套件 #PyPI #W4SP
資安業者Fortinet揭露使用惡意PyPI套件的攻擊行動,有人在1月27日至29日,上傳了3m-promo-gen-api、Ai-Solver-gen、hypixel-coins、httpxrequesterv2、httpxrequester等5個套件,一旦開發者將其安裝於開發環境,電腦就有可能被植入竊密軟體,導致瀏覽器資料、加密貨幣帳密遭竊,駭客會透過Discord伺服器做為C2中繼站,接收偷來的資料。資安新聞網站Bleeping Computer指出,研究人員發現的竊密程式是W4SP。
華航證實電商平臺系統連線異常,逾5千筆會員資料可能外洩 #資料外洩 #華航
華航日前傳出收到匿名網路勒索信,通報主管機關並報警,最近調查結果出爐。該公司於2月12日股市公開觀測站發布重大訊息表示,這起事故是他們委外的電商平臺系統出現連線異常所致,經調查有超過5千筆會員資料遭到存取,內容包括會員卡號、中英文姓名,電子郵件信箱、電話號碼,但不含信用卡交易資料。
該公司啟動防禦應變機制阻擋不當連線,目前無證據顯示會員資料遭到不當使用的情況。華航指出,該電商平臺為獨立系統,訂購機票、航班運作系統不受影響。
【漏洞與修補】
資安業者SynSaber針對2020年至2022年,美國網路安全暨基礎設施安全局(CISA)發布的工業控制系統(ICS)漏洞通告進行分析,結果發現,CISA相關的資安通告2021年的數量顯著增加,較2020年多了三分之二,顯示資安業者與相關廠商的重視。
但值得留意的是,上述資安通告的漏洞裡,平均有21.2%不會有修補程式(Forever Day Vulnerabilities),且這樣的情況到了2022年變得更加嚴重,已接近三成(28.1%)。研究人員提及的另外一個現象,則是這些漏洞的修補,有超過三分之一需要透過韌體(36.04%)或是通訊協定(7.78%)更新,而使得廠商修補的難度較高。
整合機器學習模型ChatGPT的搜尋引擎Bing遭到誘騙,洩露開發機密 #ChatGPT #AI Bot
微軟近日宣布整合ChatGPT機器學習語言模型的搜尋引擎Bing,但根據IT新聞網站Ars Technica的報導,史丹佛大學學生Kevin Liu發現,他透過名為「提示注入」(prompt injection)的手法刻意引導,該搜尋引擎內建的聊天機器人竟然不慎公開專案開發計畫的代號為「Sydney」,還會顯示該搜尋引擎的程式設計技術機密。此事亦得到另一名大學生Marvin von Hagen的驗證。
Kevin Liu於2月10日發現微軟可能已經進行相關調整,但他後來又找到別的方法能夠繞過限制,讓Bing聊天機器人說出上述的開發資訊。
【其他資安新聞】
美國加州多個醫療組織傳出遭勒索軟體攻擊,330萬病人個資外洩
近期資安日報
【2023年2月10日】 駭客鎖定捐款給土耳其地震災民的人士行騙、FBI警告假借愛情名義的加密貨幣詐騙
【2023年2月9日】 CISA提供勒索軟體ESXiArgs的復原指令碼、安卓木馬程式Medusa利用網釣簡訊攻擊北美和歐洲用戶
【2023年2月8日】 勒索軟體Clop鎖定Linux版Oracle資料庫下手、殭屍網路病毒Medusa納入加密檔案的能力
熱門新聞
2024-10-23
2024-10-30
2024-10-30