中國駭客的攻擊行動最近再度傳出,其中最值得注意的是駭客組織TA416的攻擊行動,而且臺灣首當其衝──該組織已對一個臺灣政府機關下手。

另一個惡名昭彰的駭客組織APT41,則是針對材料公司下手竊取專利技術的情況,引起研究人員關注。

SIM卡挾持(SIM Swapping)攻擊為何如此氾濫?很有可能是駭客極為容易取得所需的資料促成。有資安新聞網站指出,3個專門從事這類攻擊的駭客組織,在去年就入侵美國電信業者T-Mobile超過100次。

 

【攻擊與威脅】

中國駭客TA416利用MQTT通訊協定遠端控制受害電腦,主要目標是臺灣的政府機關

資安業者ESET發現中國駭客組織TA416(亦稱Mustang Panda)新的攻擊手法,這些駭客自2023年1月,運用名為MQsTTang的後門程式,透過釣魚郵件發動攻擊,他們假借提供外交使團成員的護照,或是向大使館進行照會為名義,在RAR壓縮檔挾帶MQsTTang。此後門程式的獨特之處在於。與C2伺服器通訊過程採用了MQTT通訊協定,而有可能讓攻擊者的基礎設施更難被找到。

研究人員表示,這起攻擊行動主要是針對臺灣某個政府機關而來,但根據駭客使用的誘餌檔案名稱,他們研判亞洲及歐洲的政府機關也可能是目標。

中國駭客組織APT41鎖定亞洲材料業者下手

資安業者賽門鐵克揭露中國駭客組織APT41的攻擊行動,駭客約於2022年底至2023年初,鎖定一家亞洲集團從事材料處理的兩家子公司,利用後門程式Winnkit、帳密匯出工具Mimikatz等多種工具作案,進行撈取帳密資料、截取螢幕畫面、注入Shell Code、查詢SQL資料庫等行為,目的可能是竊取智慧財產。

這種針對材料產業而來的攻擊行動並非首例,日前有名為Clasiopa的駭客組織,利用木馬程式Atharvan RAT、Lilith RAT變種,以及駭客工具Thumbsender進行竊密。

駭客聲稱在2022年入侵電信業者T-Mobile超過100次

根據資安新聞網站Krebs on Security的報導,有研究人員針對3個駭客組織Telegram頻道的對話內容進行分析,結果發現這些駭客在2022年5月中旬到年底,對美國電信業者T-Mobile攻擊超過100次,他們藉由誘騙該公司的員工,進而取得內部工具,竊取用戶資料以便進行SIM卡挾持(SIM Swapping)攻擊。

該新聞網站指出,上述駭客組織雖然也會竊取AT&T、Verizon的用戶資料並兜售,但相較於從T-Mobile竊得的資料介於1,000至1,500美元,來自上述兩家電信業者的資料價格通常開價高出一倍。

此外,其中一組駭客於10月下旬發現,原本的手法很可能因T-Mobile採取新的管制措施而受到限制,導致他們竊得的員工存取權限很快就失效。對此,T-Mobile拒絕回應採取那些措施強化資安。

法律事務所員工遭到水坑式攻擊,駭客企圖散布惡意軟體GootLoader和SocGholish

資安業者eSentire發現針對6家法律事務所的惡意軟體攻擊行動,其中一種是利用搜尋引擎最佳化污染(SEO Poisoning)手法,鎖定尋找業務相關文件檔案的使用者下手,企圖透過偷渡式下載(Drive-by Download)於受害電腦投放JavaScript惡意軟體。在攻擊行動裡,駭客也入侵WordPress網站並植入新的文章,來誘騙這些法律事務所的員工,一旦使用者依照指示下載檔案,電腦就有可能被植入惡意程式GootLoader 。

其中,也有部分攻擊行動駭客使用名為SocGholish的惡意軟體──他們先是破壞美國佛羅里達州一家公證人事務所的網站,藉由水坑式攻擊吸引使用者上當,駭客在網頁上加入彈出式訊息,表示使用者的需要更新Chrome瀏覽器,然而若是依照指示下載、安裝,電腦就會被部署SocGholish。

木馬程式Parallax RAT鎖定加密貨幣業者而來

資安業者Uptycs揭露鎖定加密貨幣業者的攻擊行動,駭客透過釣魚郵件散布木馬程式Parallax RAT,先是執行以Visual C++打造的惡意酬載,然後透過處理程序挖空(Process Hollowing)手法,將Parallax RAT注入微軟Tablet PC元件pipanel.exe來執行,進而於受害電腦收集系統資訊,或是側錄鍵盤輸入的內容,甚至能進行遠端控制受害電腦。

值得一提的是,一旦成功植入上述木馬程式,攻擊者將會收到通知,他們也利用記事本軟體(Notepad)和受害者互動,要求使用Telegram頻道來對話,但這麼做的目的是什麼?研究人員沒有說明。

駭客組織Iron Tiger鎖定Windows、Linux電腦而來,接下來Mac電腦也可能是目標

資安業者趨勢科技公布駭客組織Iron Tiger(亦稱APT27)近期的攻擊行動。在其中一起事故裡,駭客針對菲律賓賭博業者下手,並使用與受害公司雷同的網域名稱來架設C2伺服器,攻擊者透過即時通訊軟體作為誘餌,結果有員工依照指示下載初期的惡意酬載,該酬載一旦執行,就會透過Microsoft Resource Compiler(rc.exe),進而利用DLL側載的手法執行Shell Code,接著在電腦重新開機後執行惡意軟體SysUpdate。

在針對Windows電腦之餘,該組織也開始鎖定Linux主機發動攻擊,他們在2022年7月首度測試Linux版惡意程式,並在10月用於攻擊行動。研究人員分析後,發現此版本的加密金鑰與檔案處理方式與Windows版本雷同,但不同的是,Linux具備DNS隧道(DNS Tunneling)功能,而使得該惡意軟體的行蹤更加隱密。

根據駭客採用Asio程式庫開發Linux版惡意程式,而可能較為容易跨平臺移植的情況,研究人員推測駭客很快就會將Mac電腦納入攻擊範圍。

又有GoAnywhere系統遭駭的組織出現!Fintech業者Hatch Bank近14萬客戶資料外洩

根據科技新聞網站TechCrunch的報導,金融科技(Fintech)業者Hatch Bank向主管機關通報資料外洩事故,起因是駭客鎖定他們部署的MFT系統GoAnywhere漏洞下手,在1月30日至31日未經授權存取存取他們的帳號資料,導致139,493名客戶資料外洩,而入侵管道很有可能就是零時差漏洞CVE-2023-0669,他們在2月3日接獲系統開發商的通知,確認資料遭到異常存取。

因上述MFT系統漏洞遭到攻擊Hatch Bank並非首例,美國醫療系統Community Health Systems於2月中旬通報資料外洩事故,導火線就是上述的GoAnywhere漏洞。

 

【漏洞與修補】

TPM 2.0被挖出資安漏洞,有可能因此外洩裝置機密資訊

Quarks Lab研究人員根據參考程式碼,發現信賴平臺模組(TPM)2.0的漏洞CVE-2023-1017、CVE-2023-1018,有可能造成裝置機密資料外洩,或是讓駭客提升權限執行惡意程式碼。這些漏洞出現在CryptParameterDecryption()函式,與記憶體越界寫入及讀取有關,具備基本權限的攻擊者,可藉由傳送含有加密參數的惡意指令,對存在漏洞的韌體下手。

美國電腦緊急應變小組(CERT/CC)指出,在某些情況下,攻擊者有機會覆寫TPM韌體裡受到保護的資料,而且,由於這樣的弱點出現在TPM層面,使得電腦的防毒軟體也無法偵測相關攻擊行動。Red Hat指出,這兩個漏洞CVSS風險評分為7.7分及5.5分。

思科修補網路電話的命令注入漏洞

3月1日思科發布資安通告,修補旗下網路電話系統的重大漏洞CVE-2023-20078,此漏洞存在於網頁管理介面,起因是對於使用者輸入的內容驗證不足,而衍生的命令注入弱點,攻擊者一旦利用,就有可能在未經身分驗證的情況下,遠端執行任意程式碼,或是發動阻斷服務(DoS)攻擊,CVSS風險評分為9.8分,影響IP Phone 6800、7800、8800系列網路電話系統。

另一個思科修補的漏洞是CVE-2023-20079,也與網頁管理介面對於使用者輸入的內容驗證不足有關,CVSS風險評分為7.5分,影響IP Phone 6800、7800、7900、8800、8831系列,但值得留意的是,7900與8831系列已達生命週期結束(EOL)狀態,思科不會提供新版韌體。

 

【資安產業動態】

台積電加入FIRST國際資安應變組織,成國內第二家高科技製造業會員

根據FIRST國際資安應變組織的最新消息,國內半導體產業龍頭台積電的TSMC-CIRC在2月24日加入成為會員,而成為群創光電之後,國內第二家入會的高科技製造業會員。

同日,資安新創微智安聯的ShieldX PSIRT也加入FIRST。在此之前,我國已有幾家資安業者成為會員,包括早年就加入的趨勢科技,以及3年前加入的奧義智慧。截至2月底,臺灣會員增至14個,而國際間共有683個組織與企業參與。

 

【資安防禦措施】

國際資安應變組織FIRST發布DNS濫用技術矩陣

FIRST國際資安應變組織的DNS濫用工作小組在2月28日發布了「DNS濫用技術矩陣(DNS Abuse Techniques Matrix)」的文件,目的希望幫助事件應變人員與安全團隊在應對DNS濫用事件時,快速找到相關建議資訊。該工作小組表示,這份文件主要關注DNS濫用技巧,總共歸納出21種濫用技術,並依據偵測、減緩與防禦這三大行動面向,分成三個矩陣表單來一一說明。

舉例來說,在涉及DNS快取污染(DNS Cache Poisoning)的事件中,團隊可以透過緩解矩陣的表單,查看DNS快取污染有關的內容,找出可能有所關連的利益關係者來共同緩解資安事件。

CISA局長提出警告,一旦中國對臺灣動武,也有可能同時對西方國家展開大規模網路攻擊

美中臺之間持續處於政治緊繃狀態,臺灣的網路安全若出現重大危機,美國也無法置身事外。美國網路安全暨基礎設施安全局(CISA)局長Jen Easterly於卡內基美隆大學發表演說中提到,有鑑於烏克蘭戰爭當中,援助烏克蘭的歐美國家成為俄羅斯駭客鎖定的目標,她認為美國與盟友也要針對中國做好準備,以防該國攻擊臺灣的時候,中國駭客也會針對美國多個關鍵基礎設施(CI)下手的情形,這些包含了天然氣管線、供水系統、電信系統、交通系統等,駭客的用意是製造恐慌,並動搖美國民眾的意志,達到阻止美國調度軍事資源聲援臺灣的目的。

 

【其他資安新聞】

加拿大書店Indigo遭勒索軟體攻擊,員工資料外洩

英國連鎖超市WH Smith傳出資料外洩

影片行銷軟體Animker洩露用戶個資

美國速食店Chick-fil-A證實遭到帳號填充攻擊

 

近期資安日報

【3月2日】 惡意軟體BlackLotus繞過UEFI安全開機、勒索軟體LockBit鎖定西班牙語用戶而來

【3月1日】 駭客假借Amazon Prime會員名義發動網釣攻擊、應用程式框架ZK Framework漏洞被用於攻擊行動

【2月24日】 1.5萬個NPM套件含有網釣URL連結、逾4成企業2022下半發現Log4Shell相關攻擊

熱門新聞

Advertisement