半年前美國警示大家要注意中國駭客組織Volt Typhoon的攻擊行動,並指出下一波駭客攻擊的目標不再只是美國,還會擴及亞洲地區的關鍵基礎設施。但究竟駭客如何入侵這些環境?如今有研究人員揭露相關細節。

資安業者Lumen指出,這些駭客也同時運用殭屍網路KV-botnet來從事攻擊行動,其重要的環節便是先對家用路由器、SOHO辦公室防火牆等網路設備下手,再存取受害組織的內部環境。

 

【攻擊與威脅】

中國駭客組織Volt Typhoon使用殭屍網路KV-botnet攻擊小型路由器

今年5月,美國政府與微軟對中國駭客組織Volt Typhoon的攻擊行動提出警告,指出駭客對美國通訊基礎設施下手,很有可能接下來會鎖定美國與亞洲地區的關鍵基礎設施,現在有研究人公布新的調查結果。

資安業者Lumen指出,Volt Typhoon通常會以路由器、防火牆、VPN設備充當代理伺服器,使得惡意流量混入合法流量,讓攻擊變得更難以察覺。而在這一波行動裡,駭客鎖定Netgear ProSAFE防火牆、思科RV320路由器、居易(DrayTek)Vigor路由器,以及Axis多款IP網路攝影機而來,目的是入侵組織設置在網路環境邊緣的設備,然後從事網路間諜活動並收集機密資料。研究人員看到此殭屍網路的活動從2022年開始,並在今年8月、11月顯著增加,最近一波攻擊發生於12月5日。

上述被鎖定的設備多半為家用或是SOHO辦公室設計,涵蓋Arm、MIPS、x86等架構,其共通點是生命週期已經結束,且缺乏相關的安全防護措施。駭客利用名為kv.sh的bash指令碼,終止特定的處理程序,並刪除目標裝置上的防護工具,而殭屍網路病毒與C2連線的過程中,會採用隨機的連接埠進行,再者,為隱匿攻擊行動,駭客的工具都在記憶體內運作而難以察覺。

語音網釣攻擊BazarCall濫用Google表單突破資安系統攔截

在2021年首度出現的語音網釣攻擊BazarCall,當時駭客佯稱是防毒軟體廠商、電腦技術支援業者、影音串流平臺,假借付款通知或是服務訂閱確認的名義,聲稱收信人信用卡即將扣款,支付高額費用,若要取消必須撥打客服電話處理,而「客服」則會誘騙收信人在電腦上安裝惡意程式,近期再度有新的攻擊行動出現。

郵件安全業者Abnormal揭露新一波BazarCall的攻擊行動,其手法與過往最大的不同,在於駭客濫用Google表單工具,對方先是建置帶有發票號碼、交易日期、付款資訊、購買產品名稱等假交易資訊的表單,並於表單啟用回應填寫者的功能,並自行填寫表單,輸入欲攻擊對象的電子郵件信箱,隨後依據此表單內容,Google會向該名人士寄送副本,而這些來源合法釣魚郵件,資安系統通常會予以放行,且因為信件來自這類表單服務,也可能讓收信人降低警覺。

亞太地區企業遭到駭客組織GambleForce鎖定,發動SQL注入攻擊

資安業者Group-IB揭露從今年9月出現的駭客組織GambleForce,這些駭客鎖定澳洲、巴西、中國、印度、印尼、菲律賓、韓國、泰國而來,迄今已有24個企業組織遭到攻擊,其中有6起行動得逞。

本次攻擊遭鎖定的組織,涵蓋賭場、零售業者、政府機關、求職網站、旅遊行業等領域。而駭客的攻擊手法相當基本但很有效,包含了SQL注入攻擊,或是挖掘內容管理系統(CMS)的弱點等,目的是竊取目標組織的敏感資料。

研究人員指出,在不同的攻擊階段當中,這些駭客倚賴多種開源工具來進行,像是dirsearch、sqlmap、tinyproxy、redis-rogue-getshell,此外,他們也使用滲透測試工具Cobalt Strike,值得注意的是,研究人員在駭客的基礎設施當中,發現攻擊者曾使用中文下達命令。在其中一起鎖定巴西公司的攻擊行動裡,駭客利用了內容管理系統Joomla的中度風險漏洞CVE-2023-23752,從而進行SQL注入攻擊。

Java應用框架Struts路徑穿越漏洞已被用於攻擊行動

12月9日Apache基金會發布資安公告,指出他們近期修補Java應用框架Struts路徑穿越漏洞CVE-2023-50164(CVSS風險評分9.8),但事隔一週傳出有駭客將其用於攻擊行動。

Shadowserver基金會提出警告,他們看到有人試圖利用此漏洞的概念性驗證(PoC)程式碼,透過數個IP位址發動攻擊,呼籲IT人員要儘速套用新版軟體來修補漏洞。

值得留意的是,這種漏洞有可能影響相當廣泛,例如,思科公布旗下產品採用Struts的情況,並清查是否受到該漏洞影響。

資料來源

1. https://twitter.com/Shadowserver/status/1734919288257974380
2. https://xz.aliyun.com/t/13172
3. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-struts-C2kCMkmT

哈馬斯駭客組織Gaza Cyber Gang使用後門程式Pierogi++攻擊巴勒斯坦反對人士

以巴衝突進行期間超過2個月,激進組織哈瑪斯旗下的駭客鎖定以色列的網路攻擊已有數起,但這群駭客竟然也攻擊巴勒斯坦。資安業者SentinelOne揭露哈瑪斯駭客組織Gaza Cybergang最新一波的攻擊行動,對方使用阿拉伯語或是英文,製作讓巴勒斯坦民眾感興趣的資料做為誘餌,用來散布以C++開發的後門程式Pierogi++。

研究人員指出,Gaza Cybergang旗下有3個團體從事這種後門程式的攻擊行動,分別為Molerats、Arid Viper(亦稱APT-C-23),以及另一個尚未被命名、曾從事Operation Parliament攻擊行動的組織。而對於這些駭客的目標,研究人員認為是針對反對哈瑪斯的巴勒斯坦人而來。

伊朗駭客OilRig透過惡意程式下載工具持續在以色列組織從事攻擊行動

資安業者ESET針對伊朗駭客組織OilRig(亦稱APT34、Hazel Sandstorm)的攻擊行動提出警告,對方從2022年開始,利用過往未曾公開的惡意程式下載工具SampleCheck5000(SC5k)、ODAgent、OilCheck、OilBooster,對以色列企業組織發動攻擊,並且持續進行惡意活動,對象涵蓋醫療保健、製造業、地方政府部門。

研究人員指出,這些下載工具往往濫用雲端服務Microsoft Graph、OneDrive、Outlook、Microsoft Office Exchange Web Services(EWS)的其中一種,藉由API進行C2連線及外洩資料,從而隱匿其攻擊行動。

 

【其他新聞】

食品業者Kraft Heinz傳出遭駭,勒索軟體Snatch聲稱他們所為

微軟搗毀提供駭客7.5億個詐欺帳號的犯罪組織Storm-1152

惡意軟體NKAbuse濫用區塊鏈隱匿攻擊行動

針對關鍵基礎設施的嵌入式裝置安全,MITRE揭露威脅模型EMB3D

Google針對Chrome 120修補高風險漏洞

 

近期資安日報

【12月14日】 OAuth應用程式身分驗證流程遭到濫用,駭客將其用於發動挖礦攻擊、商業郵件詐騙、散布大量垃圾郵件

【12月13日】 逾1,400臺開源防火牆系統pfSense存在高風險漏洞,有可能被攻擊者串連,遠端在防火牆上執行任意程式碼

【12月12日】 北韓駭客組織Lazarus利用兩年前的重大漏洞Log4Shell,攻擊VMware桌面虛擬化平臺入侵受害組織

熱門新聞

Advertisement