挾持企業臉書帳號,以發布廣告的方式來散布惡意軟體的手法,陸續傳出相關事故,本週有研究人員揭露一支名為SYS01 Stealer的竊資軟體,也以這種型式散布,以此發動攻擊的人可能來自越南。
針對Mac電腦的惡意軟體今年也有越來越多的現象,例如,研究人員發現駭客兜售竊資軟體Atomic,就是鎖定這個平臺的系統,並主打能透過50種瀏覽器套件來盜取使用者的加密貨幣錢包。
導致公司損失慘重,甚至被迫關門的資安事故,並非僅限於勒索軟體,臺灣傳出有高權限的離職員工對於先前任職公司進行網路攻擊事件,受害公司表示,若遭破壞的資料無法復原,可能無法繼續營運。
【攻擊與威脅】
越南駭客散布竊資軟體SYS01 Stealer,管道是挾持企業臉書帳號來發送廣告
資安業者Guardio揭露濫用臉書貼文散布惡意軟體的攻擊行動,保守估計全球超過50萬人受害。他們發現有越南駭客組織鎖定美國、加拿大、英國、澳洲的使用者,挾持臉書的企業帳號來發布惡意廣告貼文(Malverposting),藉由付費廣告宣稱提供折扣、免費軟體、線上購物的名義,引誘使用者上當,一旦受害者點選連結,就會下載含有惡意軟體的ZIP壓縮檔,但駭客為了騙過受害人,將壓縮檔裡面的惡意軟體偽裝成圖片,一旦執行就會在受害電腦植入惡意酬載SYS01 Stealer。
此惡意程式會在電腦系統的背景默默運作,並定期洩露瀏覽器的Cookie、帳號資料等。研究人員指出,駭客濫用Western Digital和Seagate等硬碟製造商提供的系統工具,以DLL側載的方式執行惡意程式,而能逃過防毒軟體的偵測。
針對Mac電腦而來的竊資軟體Atomic,目標是洗劫50種加密貨幣錢包
資安業者Cyble、Trellix發現名為Atomic的竊資軟體(亦稱AMOS),針對Mac電腦而來,駭客在Telegram頻道以1千美元的訂閱費用兜售,引起研究人員的注意。
分析他們所販售的惡意程式之後,研究人員發現,在電腦開機啟動時會透過假的權限對話框,要求使用者輸入密碼,藉此取得受害電腦的系統權限,成功後該惡意軟體便會試圖竊取Keychain的密碼、macOS內建密碼管理器的資料,裡面有網站帳密資料、信用卡資料,還有Wi-Fi密碼等其他資訊。
值得留意的是,在搜括完上述資料後,此竊資軟體會進一步在受害電腦上找尋其他資料,例如加密貨幣錢包的應用程式、瀏覽器擴充套件、瀏覽器個人設定檔等,其中,Atomic針對的加密貨幣錢包瀏覽器擴充套件就多達50款。
Elastic旗下的安全實驗室揭露惡意軟體Lobshot的攻擊行動,駭客假借提供遠端桌面軟體AnyDesk的名義,透過Google廣告來散布此惡意程式,一旦使用者點選廣告,就會被引導到幾可亂真的冒牌AnyDesk網站,下載、執行安裝程式,若是使用者照做,電腦就會被植入Lobshot。
研究人員指出,該惡意程式採用Hidden Virtual Network Computing(HVNC)元件,而使得攻擊者能在不被發現的情況下存取受害電腦。此外,該惡意程式在啟動的時候,也會針對Microsoft Defender進行反模擬檢查,像是確認電腦名稱是否含有HAL9TH、使用者名稱是否為JohnDoe,一旦察覺是此防毒軟體的模擬層環境,Lobshot就會停止運作。
Kubernetes的API存取控制機制RBAC遭到濫用,駭客接管並用於挖礦
資安業者Aqua Security揭露針對Kubernetes而來的攻擊行動,駭客濫用此系統的API存取控制機制Role-Based Access Control(RBAC),進而在Kubernetes環境建立後門,接著,他們還部署名為DaemonSets的工具,進一步接管Kubernetes叢集的資源。研究人員發現,迄今駭客至少針對60個Kubernetes叢集發動攻擊。
駭客先是針對API錯誤配置的伺服器下手,以具有權限的匿名使用者身分,發出未經身分驗證的請求而入侵目標伺服器,進而在Kubernetes建立具有管理員層級權限的服務帳號kube-controller,最終建立DaemonSet工作,從Docker Hub拉取容器映像檔,利用受害伺服器挖取門羅幣。目前駭客已挖到至少5個門羅幣。
Linux、NAS與VMware虛擬化平臺遭到勒索軟體RTM Locker鎖定
資安業者Uptycs於暗網發現Linux版的勒索軟體RTM Locker,主要攻擊目標是VMware的ESXi伺服器,但研究人員指出,該勒索軟體也可以在其他Linux主機、NAS設備上執行。
根據其程式碼的分析,駭客很可能是利用勒索軟體Babuk外洩的程式碼為基礎打造。一旦執行,RTM Locker會先利用esxcli命令搜尋正在運作的虛擬機器(VM),然後下達強制停止的指令,再加密ESXi的事件記錄檔案(LOG)、虛擬磁碟(VMDK)、虛擬記憶體(VMEM)、快照檔案(VMSN)等。
線上影視平臺LiTV雲端基礎設施1月遭破壞,初步調查結果出爐,疑為離職工程師報復,已拘提、交保候傳
根據中央社、聯合新聞網、TVBS等媒體的報導,線上影視平臺LiTV於今年1月24日,發現公司網路遭到入侵,刪除資料庫及提供影音服務的雲端虛擬伺服器。該公司農曆春節期間緊急召回員工搶修,數日後恢復正常,初估損失近3千萬元。
刑事警察局接獲報案進行調查,分析被害公司防火牆日誌紀錄,發現設籍基隆市的49歲陳姓資訊工程師涉嫌重大,此人於1月24日利用臺北市松山區商家的Wi-Fi無線網路,盜用該公司員工帳號連線防火牆設備,存取內部網路,然後再使用公司管理層的帳號登入AWS及GCP,刪除雲端伺服器及資料庫內容。由於陳姓嫌犯曾任職LiTV,不排除上述行為是挾怨報復。
刑事局專案小組2月20日拘提到案,陳嫌辯稱犯案動機與訂閱LiTV影視服務有關,警方訊問後依涉嫌妨害電腦使用罪嫌解送北檢偵辦,檢察官諭令陳嫌以10萬元交保候傳。
【資安產業動態】
強化企業版本Chrome安全,Google提供擴充套件評估工具
Google宣布強化企業版Chrome瀏覽器的安全性,將針對3種領域進行改進。首先是對於資料外洩防護(DLP)的部分,該公司結合了3項新功能,第1個是能根據裝置的安全狀態派送DLP政策,再者,則是能禁止使用者存取特定網站(或特定類型的網站),其次,新的防護措施也能防範使用者不慎印出含有機敏資料的文件。
第2個Google強化的項目則是擴充套件的管理,他們與CRXcavator和Spin.AI合作,提供瀏覽器擴充套件的風險評估工具。第3個部分則是安全事件分析的功能,該機制會在使用者安裝擴充套件,或是瀏覽器當機的時候通知管理者,讓IT人員確認過程是否出現異常。
【其他新聞】
近期資安日報
【4月27日】 中國駭客組織透過騰訊即時通訊軟體散布後門程式MsgBot,鎖定NGO人士而來
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-25
2024-11-22