勒索軟體駭客入侵受害組織的管道,往往可能透過特定應用系統的漏洞,在受害組織建立初期的存取管道,但現在有駭客針對系統管理員、網路管理員而來,打算利用他們的電腦做為初期據點,並藉此搜刮各種管理員帳密資料,來做為後續攻擊之用。

中國駭客針對歐洲外交單位的網路釣魚攻擊,也引起研究人員關注。這些駭客利用HTML挾帶(HTML Smuggling)手法,於受害電腦植入惡意軟體,根據駭客埋入HTML的檔案,研究人員看到兩大類型感染手法。

有資安業者針對上個月Fortinet修補的防火牆SSL VPN漏洞CVE-2023-27997提出警告,因為他們看到仍有近7成防火牆系統尚未套用相關的更新程式,而有可能成為駭客下手的目標。

 

【攻擊與威脅】

勒索軟體駭客BlackCat藉由提供WinSCP應用程式的名義,透過惡意廣告推送Cobalt Strike

資安業者趨勢科技揭露勒索軟體BlackCat(亦稱Alphv)近期的攻擊行動,駭客在Google、Bing兩大搜尋引擎投放惡意廣告,引誘想要下載檔案傳輸工具WinSCP的系統管理員、網路管理員上鉤,目的是藉此初步入侵企業網路環境。

一旦使用者透過廣告存取惡意網站winsccp[.]com,並依照指示下載安裝程式,就會從遭到入侵的WordPress網站下載ISO映像檔,然而使用者一旦開啟映像檔並執行其中的安裝程式,電腦在安裝WinSCP的過程裡,就有可能被植入木馬程式python310.dll,以及Cobalt Strike。

駭客成功執行上述的滲透測試工具後,便透過AdFind、PowerView、PsExec、BitsAdmin、Curl等應用程式,進行後續的攻擊行動,值得一提的是,駭客也使用了名為SpyBoy terminator的惡意軟體,繞過防毒軟體與EDR系統的偵測。

中國駭客發起SmugX攻擊行動,鎖定歐洲國家外交單位而來

資安業者Check Point揭露中國駭客自2022年12月開始的攻擊行動SmugX,駭客鎖定英國、法國、瑞典、烏克蘭、捷克、匈牙利、斯洛伐克的大使館或是外交部,以歐洲國家及外交政策為主題發動網路釣魚攻擊,利用HTML挾帶(HTML Smuggling)手法,將惡意酬載埋藏於HTML檔案的程式碼,最終於受害電腦部署惡意程式PlugX。

研究人員看到的感染流程可歸類為兩種,一種是HTML檔案會導致受害者下載含有LNK檔案的ZIP壓縮檔,而另一種HTML檔案則是會執行JavaScript指令碼,從遠端伺服器下載MSI安裝程式。

而對於駭客的身分,研究人員認為,SmugX攻擊行動與RedDelta、Mustang Panda兩個中國駭客組織有所交集,研判攻擊者是中國駭客,但無法確定是那個組織。

逾33萬臺Fortinet防火牆尚未修補SSL VPN重大漏洞CVE-2023-27997

資安業者Fortinet於6月8日修補防火牆作業系統零時差漏洞CVE-2023-27997(CVSS風險評分9.2),並指出已出現攻擊行動,但現在有研究人員發現,仍有大量的FortiGate防火牆尚未套用修補程式而曝險。

資安業者Bishop Fox指出,他們找到約有489,337萬臺啟用SSL VPN相關介面的防火牆曝露於網際網路,當中僅有153,414臺安裝相關更新,換言之,仍有335,923尚未修補上述漏洞,也就是有69%的防火牆曝露相關風險。

研究人員指出,他們發現部分防火牆長達8年未套用更新程式,亦有已屆生命週期終止(EOL)的防火牆仍在運作。

駭客組織Anonymous Sudan聲稱竊得3千萬筆微軟帳號資料,遭到該公司否認

6月上旬駭客組織Anonymous Sudan癱瘓微軟Outlook.com、OneDrive.com、Azure入口網站等數項服務,近期又有了新的動作。根據資安新聞網站Bleeping Computer的報導,該組織於7月2日聲稱成功入侵微軟,並盜走了大型資料庫,內含3千萬筆微軟帳號、電子郵件,以及密碼,他們以5萬美元的價格兜售上述資料,並提供100筆帳密供買家比對。

對此,微軟發言人向該新聞網站表示,他們目前並未發現客戶資料遭到異常存取的跡象。而對於駭客公布的部分資料,該新聞網站認為,有可能是從第三方服務供應商流出的舊資料。

 

【資安防禦措施】

兩家瑞典企業因使用Google Analytics違反GDPR遭罰

7月3日瑞典隱私保護局(IMY)宣布,已要求境內4家企業Tele2、CDON、Coop、Dagens Industri,停止使用網站流量分析工具Google Analytics,並對於其中的兩家業者Tele2及CDON,分別祭出1,200萬瑞典克朗及30萬瑞典克朗的罰款,原因是這些企業透過Google Analytics把瑞典民眾的資料傳輸至美國,違反了歐盟隱私保護法GDPR。

IMY的稽核行動源自於非營利歐洲數位權利中心(NOYB)的投訴,原因是上述4家瑞典企業違反歐盟法院於2020年裁決(當時歐盟法院廢除了歐美之間的Privacy Shield資料傳輸保護協議),且對於資料保護採取的安全防護措施皆未符合歐盟GDPR要求,其中,Tele2與CDON因未採取與另兩家業者同樣的廣泛保護,IMY處以行政罰款。

 

【資安產業動態】

臺美金融資安論壇6月底召開,指出資訊安全威脅與氣候變遷、環境永續議題同等重要

臺灣金融研訓院與美國在臺協會(AIT)於6月29日,舉辦臺美金融資安論壇,總統蔡英文、AIT處長孫曉雅皆出席此會議。

孫曉雅指出,資訊安全威脅的議題,與氣候變遷、環境永續同等重要,無論是美國還是臺灣,金融業經常面臨勒索軟體與駭客攻擊的威脅,在不法份子持續演進、變化的情況下,防守方的合作變得更為重要,美國政府已採取措施及祭出策略,透過資安領域的臺美合作機制,以及全球交流工作,美國持續致力於與理念相近夥伴打造更可信賴的供應鏈,此次論壇開啟了臺美金融資安聯防交流平臺的合作序幕。

資料來源

1. https://www.facebook.com/tabf.org/posts/pfbid02dLc5wUUQTrteCnkpHdNwhdN1Yy32Z2qiGjU31f1KmHGQYR1EM1vWNLTQdKWnnvr3l
2. https://www.facebook.com/AIT.Social.Media/posts/pfbid0Dig8wfckGdKMvNbCCshPUZ4ehrQjoNE7cxPwRWa16Se5YS26JUXJctFy1ZFQAHw2l
3. https://www.cna.com.tw/news/afe/202306290062.aspx

 

【其他新聞】

英國曼徹斯特大學遭網路攻擊,110萬傷患個資、學生個資外洩

麻省理工學院發布網路安全評估框架

美國國家安全局、CISA發布保護CI/CD環境的指引

美國政府公布2025年網路安全預算優先項目

針對非洲國家的大型網路攻擊顯著增加

 

近期資安日報

【7月3日】 存在弱點的SSH伺服器遭到鎖定,駭客盜賣網路頻寬牟利

【6月30日】 勒索軟體LockBit聲稱入侵台積電,索討7千萬美元贖金

【6月29日】 NPM套件說明資訊未經過檢核,有可能偷偷被挾帶安裝惡意相依性套件

熱門新聞

Advertisement