為了竊取大量使用者資料,不少攻擊行動鎖定電商網站而來,甚至發展出側錄使用者信用卡的手法Magecart,但現在,也有專門針對提供其他服務的網站而來的情況。
最近資安業者Group-IB揭露的ResumeLooters攻擊行動,就是針對求職網站而來,駭客的主要目標是亞太地區,其中,又以印度和臺灣的災情最嚴重。
【攻擊與威脅】
駭客組織ResumeLooters利用SQL注入、XSS攻擊求職網站,竊取逾200萬人個資
資安業者Group-IB去年11月發現專門針對亞太地區的求職網站及零售業者的大規模網站攻擊,駭客組織ResumeLooters自2023年初開始,透過SQL注入攻擊的方式,企圖竊取網站上的使用者資料庫,當中不只包含姓名、電話號碼、電子郵件信箱、生日,還有工作經歷及其他敏感資料,而在部分攻擊行動裡,駭客則對求職網站進行跨網站指令碼(XSS)攻擊,從而在這些網站植入網路釣魚表單。
研究人員在去年11月、12月,總共發現有65個網站遭到攻擊,大部分位於亞太地區國家,其中又以印度、臺灣、泰國的網站最多,但巴西、美國、土耳其、俄羅斯也有網站受害。根據他們的統計,總共遭竊的個資達到2,188,444筆,其中510,259筆已確認是從求職網站流出。而對於駭客攻擊這些網站的過程,研究人員指出採用了不少現成工具,像是資料庫滲透測試工具SQLmap,網站漏洞掃描工具Acunetix、Beef Framework、X-Ray,以及滲透測試工具Metasploit。
而對於這些駭客的來歷,研究人員表示並不清楚,但指出駭客使用中文名稱的Telegram帳號,且於使用中文的群組兜售資料,攻擊過程也有部分工具使用中文版本,因此,這些駭客很有可能來自中國。
荷蘭軍事網路遭中國駭客入侵,利用Fortinet防火牆漏洞植入木馬程式
荷蘭軍事情報暨安全局(MIVD)、情報暨安全總局(AIVD)發布聯合公告指出,該國國防部去年遭到中國網路間諜入侵,並植入後門程式。而對於這起事故的受害規模,他們評估少於50個使用者受害,主要目標非機密專案的研發團隊,以及2個與之合作的第三方研究機構,他們認為,這起攻擊行動不光針對荷蘭,與他們結盟的國家也是目標。
MIVD與AIVD指出,他們在受害組織的網路環境當中,發現駭客利用Fortinet設備SSL VPN漏洞CVE-2022-42475(CVSS風險評分為9.8),對FortiGate防火牆設備植入RAT木馬Coathanger,此惡意程式透過攔截系統呼叫的方式來隱匿行跡,值得留意的是,即使IT人員將防火牆重開機或是更新韌體,該惡意程式仍會持續運作。
阿爾巴尼亞研究所傳出遭到網路攻擊,部分系統受到影響,疑為伊朗駭客所為
1月31日阿爾巴尼亞統計研究所(INSTAT)傳出遭到網路攻擊,該研究機構確認部分系統受到影響,但強調去年人口普查的資料並非本次事故的攻擊目標,他們的技術團隊隨即啟動緊急應變措施,來保護相關資料,並防止損害進一步擴大。阿爾巴尼亞網路機構AKCESK與該國警方聯手,協助INSTAT復原受影響的系統。
而對於攻擊者的身分,自稱是Homeland Justice的伊朗駭客組織聲稱是他們所為,並上傳影片做為證據,表明已偷到100 TB內部資料,但並未公布部分檔案,外界無法確認其真實性。
資料來源
1. https://www.facebook.com/institutistatistikave/posts/pfbid02aMQi8UxE6sYD2HE6viCfU1BXEpxnpEPfUNrvQFpykErGAFWt1fFoiYZxnDBLQqv4l
2. https://cesk.gov.al/deklarate-zyrtare-5/
3. https://t.me/justice_homeland/451
1月31日烏克蘭電腦緊急應變小組(CERT-UA)指出,當地一家國營企業遭遇駭客組織UAC-0027攻擊,駭客對其電腦植入名為PurpleFox的惡意程式(亦稱DirtyMoe),至少有2千臺電腦受到感染。
CERT-UA指出,此惡意程式通常會在使用者執行MSI安裝程式的過程進行感染,並能夠藉由已知漏洞或是暴力破解等方式,進行橫向感染,而且,該惡意程式具有Rootkit元件,導致受害者難以清除。
他們從1月20日至31日對受害電腦進行監控,結果找到了486個C2伺服器的IP位址,大部分位於中國。
俄羅斯駭客組織Shuckworm攻擊烏克蘭軍方,利用PowerShell後門程式進行滲透
資安業者Securonix揭露鎖定烏克蘭軍事人員而來的網釣攻擊行動Steady#URSA,俄羅斯駭客組織Shuckworm疑似透過釣魚郵件,挾帶內含Windows捷徑檔案(LNK)的壓縮檔,為引誘收信人點選,這些捷徑檔的名稱都與烏克蘭城市或是軍事用語有關,而且,圖示被設置成與影片檔案相同的內容。一旦收信人開啟LNK檔案,電腦就會透過隱藏視窗及命令列執行PowerShell,最終電腦就會被植入PowerShell後門程式Subtle-Paws。
此後門程式可從C2接收攻擊者的命令並執行,並能在所有磁碟建立LNK執行惡意機碼,從而透過外接裝置進行橫向移動。研究人員指出,由於烏克蘭軍方許多系統都是設置於隔離網路(Air-gapped),而在這起行動當中,他們看到攻擊者完全都是透過USB裝置,在不同系統之間散布惡意程式,因而得逞。
1月24日烏克蘭國防部情報總局表示,駭客組織BO Team入侵俄羅斯天文研究機構太空氣象遠東科學研究中心(Far Eastern Scientific Research Center of Space Hydrometeorology),並對其中的大型資料庫Planet下手,從280臺伺服器抹除2 PB資料,預估至少損失1千萬美元。
駭客破壞的檔案涵蓋氣象及衛星資料,廣泛提供俄羅斯國防部、航太局等多個部門使用,烏克蘭國防部情報總局指出,除了資料儲存設備、伺服器、工作站電腦,資料中心的空調系統、緊急電源供應系統也遭到癱瘓。但究竟駭客如何破壞資料,該單位並未說明。
資安業者TXOne Networks與市場調查公司Frost & Sullivan聯手,針對操作科技(OT)與工業控制系統(ICS)的網路安全態勢進行調查,指出勒索軟體是這些網路環境當中最為嚴重的威脅。
他們針對2023年186起發生於美國、德國、阿拉伯聯合大公國(UAE)、日本的OT資安事故進行分析,結果發現有近半數(47%)與勒索軟體攻擊有關,其次則是漏洞攻擊和惡意軟體感染,分別有38%、37%,值得留意的是,這些事故當中,有超過三分之一(35%)也與人為不慎的操作錯誤有關。
【漏洞與修補】
零時差漏洞EventLogCrasher影響所有版本Windows
研究人員Florian向微軟通報名為EventLogCrasher的漏洞,該漏洞存在於Windows作業系統的事件檢視器(EventLog)服務,一旦攻擊者發送惡意的UNICODE_STRING物件,並透過遠端程序呼叫(RPC)型態的事件檢視器通訊協定傳送至名為ElfrRegisterEventSourceW的方法,就有機會造成相關元件當掉,影響所有版本Windows工作站及伺服器作業系統,1月23日研究人員發布概念性驗證(PoC)攻擊影片。值得留意的是,研究人員指出,微軟獲報後認為該弱點與2022年另一個漏洞重複,因此不予處理。
對此,提供漏洞微修補的資安業者0patch也對此漏洞的影響進一步說明,表示一旦攻擊者取得了低權限,讓事件檢視器當機3次,此項服務就可能完全停止,而使得資安資訊及事件管理系統(SIEM)、入侵偵測系統(IDS)直接受到影響,無法截取事件記錄進行分析,而使得攻擊者有時間能執行進一步的攻擊,例如暴力破解、執行whoami,或是利用遠端服務的弱點等,0patch針對Windows 7及Windows Server 2008 R2以上的作業系統,提供該漏洞的微修補程式。
資料來源
1. https://twitter.com/floesen_/status/1749809453367779758
2. https://blog.0patch.com/2024/01/the-eventlogcrasher-0day-for-remotely.html
研究人員公布安卓本地權限提升漏洞的概念性驗證程式,影響至少7個廠牌行動裝置
Meta紅隊演練團隊Red Team X於9月向Google通報CVE-2023-45779,這項漏洞存在於安卓作業系統開源專案(AOSP)的Apex模組,起因是使用了測試金鑰進行不安全的簽署,從而讓攻擊者有機會推送惡意更新,並進行權限提升。
Apex模組的主要功能,是讓OEM廠商能夠推送特定系統元件更新,而無須發布完整的OTA檔案,照理來說,這些廠商必須使用自己的私鑰簽章,但在安卓的原始碼裡,卻是使用相同的公鑰來進行,這代表任何人都能藉由這種管道推送更新。研究人員確認華碩Zenfone 9、微軟Surface Duo 2、Nokia G50、Nothing Phone 2、Vivo X90 Pro、聯想Tab M10 Plus、Fairphone 5存在上述漏洞,三星Galaxy S23、Google Pixel、小米Redmi Note 12、Sony Xperia 1 V等多款手機不受影響。
對此,Google於12月發布修補程式,並打算在下一個大改版Android 15更進一步處理這項弱點。
資料來源
1. https://rtx.meta.security/exploitation/2024/01/30/Android-vendors-APEX-test-keys.html
2. https://source.android.com/docs/security/bulletin/2023-12-01
【其他新聞】
針對去年發生的資料外洩事故,電信業者Verizon證實6.3萬名員工個資流出
Google指控2023年8成零時差漏洞遭商業間諜軟體供應商濫用
近期資安日報
【2月6日】駭客利用Deepfake視訊會議從跨國企業員工騙得2億港幣
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-22
2024-04-22
2024-04-22
2024-04-26