新的一年到來,首要關注的漏洞消息是,去年底有研究人員揭露SSH通訊協定的漏洞問題,可透過Terrapin新手法進行攻擊,但1月3日Shadowserver基金會指出,網路上仍可發現近1,100萬臺的大量伺服器未因應,依然存在CVE-2023-48795漏洞的風險。

在新興威脅焦點上,以Google服務cookies可被劫持的後續揭露最受關注,還有勒索軟體Zeppelin2與竊資軟體Meduza的最新動向。
(一)前陣子名為PRISMA的駭客聲稱能夠竊取Google服務相關cookie,引起廣泛關注,如今我們終於看到有資安業者揭露其攻擊手法與原理,指出駭客除了鎖定Chrome瀏覽器中名為token_service的表單,進而取得的GAIA ID/token,另一關鍵,更是鎖定Google文件未提及的MultiLogin端點跨服務同步機制,這個端點是Google OAuth系統的重要環節。這也顯示,攻擊者對於Google內部身分驗證機制,有著更深層的研究與理解。
(二)勒索軟體Zeppelin2傳出被他人破解的消息,近日有駭客在地下論壇散布的原始碼與建置工具,資安界憂心遭更多不肖分子利用。
(三)有駭客在地下社群與Telegram頻道廣為宣傳新版竊資軟體Meduza,由於標榜功能豐富,以及可針對更多應用程式下手,而受到資安業者重視。
(四)關於新型態DLL搜尋順序挾持手法的揭露值得留意,駭客可濫用系統資料夾WinSXS,進而繞過Windows 10及11防護措施,這樣的手法將讓攻擊更加隱密。

在上述Google服務cookies劫持的手法揭露之外,我們認為同樣值得關注的是,近期社群平臺X(推特)的企業組織帳號遭不明手法劫持的安全問題,最近報導了兩篇資安新聞,其中一篇是資安業者本身也發生遭盜用的情形。

首先是有資安業者CloudSEK揭露,隨著去年底X推出新的驗證帳號方案,但駭客為了假冒企業帳號,目前也正利用各種技術來偽造或盜竊具有金色認證標章;隔沒幾天,資安業者Mandiant發生X帳號遭盜用情形,被利用於假冒加密貨幣錢包供應商Phantom名義的詐騙活動,後續Mandiant表示已取回帳號,並指出已啟用MFA仍遭挾持,目前仍在調查原因。近日資安團體MalwareHunterTeam也指出,發現不少非營利組織、政治人物的X帳號,同樣遭劫持與盜用的情況。

在資安事件方面,這星期我們看到國際間發生食品零售業、保險業、外送平臺業者、政府單位與企業受害的狀況。

首先要注意的是零售服務業,近日瑞典食品零售供應商Coop遭駭,目前傳出遭勒索軟體駭客組織Cactus攻擊;保險業者也要當心,伊朗發生大規模資料外洩事件,該批資料涉及23家保險業者,駭客這波攻擊竟能一次鎖定如此多家保險業者,相當不尋常;還有外送平臺業者,伊朗Snappfood平臺發生資料外洩,研究人員發現1名SnappFood員工的電腦感染StealC竊資軟體,使得公司帳密外洩與資料遭存取。其他重大事件包括:澳洲法院也傳出遭駭客入侵,造成聽證會錄音恐外流的情形;全錄(Xerox)的美國分公司Xerox Business Solutions(XBS)遭遇網路攻擊,部分個資外洩。

 

【1月2日】竊資軟體濫用Google未公開的OAuth同步機制挾持用戶帳號

去年11月,竊資軟體Lumma、Rhadamanthys的開發者聲稱加入罕見的新功能,能讓攻擊者藉由收集電腦的特定檔案挾持受害者Google帳號,而且,使用者更換密碼也無法擺脫駭客糾纏。如此特殊、神奇的攻擊手法,引起研究人員高度關注,後續有其他資安業者參與相關調查,並揭露成果。

值得留意的是,駭客竟是濫用Google未公開的服務元件達到目的,前不久也出現這種運用未公開元件攻擊的手法,那就是卡巴斯基之前揭露的間諜軟體攻擊Operation Triangulation,駭客滲透的管道是晶片韌體未使用的暫存器。

【1月3日】日本遊戲開發商因母公司Google Drive配置錯誤導致近百萬人的個資曝險

去年12月電玩產業發生多起資料外洩事故,例如:Sony旗下的遊戲開發商Insomniac Games遭勒索軟體Rhysida攻擊Ubisoft面臨網路威脅滲透至內部的問題,以及RockStar Games在2022年遭駭的部分資料被公開。而上述資安事故,都是因為駭客入侵所致。

而去年底還有一起資安事故因公布受影響的範圍而受到關注,主角是一家遊戲公司,原因是他們存放於雲端服務Google Drive的部分資料被設置為公開,而有可能讓客戶、合作夥伴、員工的個資曝光。

【1月4日】俄羅斯駭客入侵烏克蘭民用網路攝影機並用於飛彈精準轟炸

烏克蘭戰爭開戰已經接近2年,俄羅斯駭客將網路攻擊配合軍事行動的情況不時傳出,使得相關的網路攻擊在這場戰爭當中,具有舉足輕重的地位。

 

而最近烏克蘭面臨大規模空襲的期間,也傳出俄羅斯駭客趁機攻擊烏克蘭首都的網路攝影機,使得俄羅斯能夠掌握烏克蘭防空部署,更有效進行飛彈轟炸。

【1月5日】駭客組織利用新型態攻擊手法對烏克蘭組織散布木馬程式Remcos RAT

專門針對烏克蘭發動攻擊的駭客組織UAC-0050,最近再度發起新的攻擊行動而引起研究人員關注,原因是這些駭客運用了過往較為罕見的攻擊手法,而能成功迴避防毒軟體及EDR系統的偵測。

 

研究人員認為,本次駭客濫用處理程序之間隱藏的資料傳輸通道,這樣的手法並非首度出現,但由於駭客開始採用這樣的技術,也意謂著他們的戰術變得更加複雜。

熱門新聞

Advertisement