文/周峻佑 | 2024-08-29發表

為了避免端點防護系統干擾勒索軟體加密檔案,最近2至3年,駭客利用含有弱點的驅動程式來達到目的,其中一款名為PoorTry的惡意驅動程式,最近引起研究人員高度關注。

研究人員特別提及,此惡意驅動程式也納入了資料破壞軟體(Wiper)的功能,而能刪除EDR系統的EXE、DLL元件,使其無法再度運作。

 

【攻擊與威脅】

遊戲黑神話:悟空當紅,電玩平臺Steam遭遇大規模DDoS攻擊

大型電玩遊戲黑神話:悟空於8月20日正式發布,並在電玩平臺Steam售出超過1千萬套而成為熱門話題,上週末卻傳出玩家無法登入遊戲的情況,外界猜測是上線人員過多造成。但後續有資安業者發布消息,認為這是大規模DDoS攻擊事故。

24日Steam中國代理商完美世界在網站公告,Steam遭到DDoS攻擊而可能影響遊戲執行,當地資安業者奇安信於隔日透露這起攻擊行動的規模,駭客動用了近60個殭屍網路,攻擊指令24日晚間暴增超過2萬倍,對13個國家、107臺Steam伺服器IP位址,輪番發動攻擊。

奇安信於28日透露更多細節,指出這起攻擊行動大致分成4波,攻擊者選擇在各時區遊戲玩家集中上線的時段發動攻擊。

惡意驅動程式PoorTry被用於抹除EDR系統主要元件

攻擊者使用含有弱點的驅動程式,從而得到系統核心層級的權限,干擾防毒軟體或EDR運作,其中一種被勒索軟體駭客利用的驅動程式PoorTry(或叫做BurntCigar),最近被發現更具破壞威力。

資安業者Sophos在今年7月的勒索軟體RansomHub攻擊行動裡,看到駭客試圖加密電腦檔案,而被他們的端點防護機制CryptoGuard攔截。研究人員在事件調查的過程中,發現駭客在數臺電腦部署PoorTry及載入工具StoneStop,而這些新版惡意工具與過往最大的差異,在於阻擾端點防護系統運作的方式。

研究人員指出,這起攻擊行動的過程裡,駭客利用這種惡意驅動程式來破壞EDR系統的運作,像是移除或是竄改核心通知功能,他們總共看到7個裝置輸入和輸出控制(IOCTL)程式碼傳送到EDR核心模式的元件,然後利用EDR Killer的功能終止相關處理程序,並抹除這類系統的重要EXE、DLL檔案,使得EDR系統無法再度運作。

勒索軟體BlackByte利用VMware虛擬化平臺漏洞發動攻擊

今年6月VMware修補虛擬化平臺ESXi的身分驗證繞過漏洞CVE-2024-37085,隔月微軟警告有多個勒索軟體駭客組織將其用於攻擊行動,如今也有其他駭客組織跟進。

根據思科旗下威脅情報團隊Talos的監控,勒索軟體駭客組織BlackByte就是一例。

BlackByte疑似透過暴力破解取得初始存取權限,利用VPN存取受害組織內部網路環境,然後入侵2個管理員層級的帳號提升權限,其中1個帳號的用途,是存取vCenter伺服器;接著,攻擊者為每個ESXi伺服器設置AD網域物件並加入網域,然後又建立其他帳號並加入名為ESX Admins的AD群組。駭客這麼做,是為了利用CVE-2024-37085,從而讓該群組的成員提升在ESXi的權限,控制虛擬機器(VM)、竄改伺服器配置、存取系統事件記錄,或是監控效能。

韓國駭客利用WPS Office零時差漏洞,企圖於東亞組織植入後門SpyGlace

資安業者ESET在追蹤韓國駭客組織APT-C-60的攻擊行動過程中,發現怪異的試算表檔案,一旦執行就有可能在受害電腦載入該組織的惡意程式下載元件。研究人員經過調查,發現駭客運用Windows版WPS Office的程式碼執行漏洞,目標是在東亞組織植入後門程式SpyGlace。

研究人員指出,駭客利用的漏洞被登記為CVE-2024-7262,4.0版CVSS風險評分達到9.3,這項漏洞存在12.2.0.13110至12.2.0.16412版WPS Office,起因是名為promecefpluginhost.exe的元件存在路徑驗證不當的情況,攻擊者一旦利用,就有機會載入任意的Windows程式庫。研究人員分析根本原因,結果找到另一個漏洞CVE-2024-7263,CVSS風險評分同樣為9.3分。

Telegram創辦人被控散布兒童性剝削內容及多項犯罪,以500萬歐元交保

上周在法國被逮捕的Telegram創辦人暨執行長Pavel Durov,本周三(8月28日)以500萬歐元交保,法國指控Durov共謀管理網路平臺以推動非法交易,共謀散布兒童性剝削內容(Child Sexual Abuse Material,CSAM),還說Telegram幾乎不與執法機關合作。法國正在調查Durov,並要求他不得離境。

根據Politico報導,法國在今年3月針對Telegram的兄弟檔創辦人Nikolai Durov與Pavel Durov發出逮捕令,主要是因為Telegram拒絕配合法國執法機構對CSAM散布的調查。彭博社(Bloomberg)與金融時報(FT)亦指出,法國對Durov的指控主要是共謀犯罪,涵蓋販毒、洗錢、散布CSAM或仇恨言論等,再加上Telegram幾乎不與執法機構合作,等於是忽視這些犯罪的存在。

其他攻擊與威脅

QR Code網釣駭客濫用微軟Sway設置冒牌網站

伊朗國家級駭客與勒索軟體駭客狼狽為奸,向美國國防、教育、金融、醫療機構進行勒索

伊朗駭客組織APT33鎖定美國與阿拉伯聯合大公國散布後門程式

 

其他漏洞與修補

WordPress多語系外掛WPML存在重大漏洞,攻擊者可用來遠端執行程式碼

Fortra公布檔案傳輸工具FileCatalyst寫死密碼漏洞

 

近期資安日報

【8月28日】Versa Director零時差漏洞成中國駭客用來入侵ISP的管道

【8月27日】WordPress網站加速外掛LiteSpeed Cache漏洞已遭利用

【8月26日】Telegram創辦人暨執行長Pavel Durov傳出遭到逮捕

iThome Security

熱門新聞

Advertisement