近期勒索軟體RansomHub不斷登上資安新聞的版面,最近一起是美國石油及天然氣業者Halliburton遭遇網路攻擊的事故,到了上週,這些駭客聲稱是他們所為。而在此之前,臺灣也有老牌筆電廠藍天電腦傳出受害的消息。
有鑑於這些駭客的威脅加劇,美國政府近期發布相關防禦指引,揭露這些駭客的攻擊手法和底細,呼籲IT人員要嚴加防範。
【攻擊與威脅】
半年前現身的RansomHub勒索軟體,受害者已超過210家
美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、衛生及公共服務部(HHS),以及各州資訊共享與分析中心(MS-ISAC)發布了聯合公告,釋出了勒索軟體RansomHub的策略、技巧、流程(TTP)與網路入侵指標(IOC),原因是今年2月才現身的RansomHub,迄今已成功攻擊了至少210家受害企業組織。
根據調查,RansomHub是由勒索軟體Cyclops及Knight演變而來的勒索軟體即服務(RaaS),此外,已經被執法機關破獲及搗毀的BlackCat(ALPHV)與LockBit勒索軟體組織,也有不少成員投靠,而讓RansomHub快速壯大。
迄今RansomHub已加密及外洩至少210家受害者的資料,受害領域涵蓋水及廢水、資訊技術、政府服務與設施、醫療保健及公共衛生、緊急服務、食品與農業、金融服務、製造、運輸及關鍵基礎設施等。
北韓駭客利用Chrome零時差漏洞,意圖植入rootkit程式Fudmodule
微軟威脅情報小組暨微軟安全回應中心在8月19日發現,別名為AppleJeus、Labyrinth Chollima、Hidden Cobra的北韓駭客Citrine Sleet,濫用當時尚未發現的Chrome漏洞CVE-2024-7971遠端執行程式碼(RCE),從而在受害電腦植入rootkit程式FudModule。
CVE-2024-7971為存在於V8引擎的型態混淆漏洞,影響128.0.6613.84以前版本的Chrome,Google已經在8月21日釋出新版修補。這是繼CVE-2024-4947和CVE-2024-5274,Google今年處理的第3個V8型態混淆零時差漏洞。
附帶一提的是,過程中攻擊者也濫用另一個零時差Windows權限擴張漏洞CVE-2024-38106。一旦成功,FudModule rootkit即被載入Windows核心,利用直接核心物件操弄(DKOM)手法,擾亂作業系統核心安全機制。微軟推測,Citrine Sleet這波攻擊意在竊取加密貨幣。
Atlassian Confluence重大漏洞遭到利用,攻擊者意圖挾持伺服器挖礦
今年1月Atlassian在例行更新修補DevOps協作平臺Confluence重大層級漏洞CVE-2023-22527(CVSS風險評分為10分),研究人員警告最近駭客積極利用這漏洞的跡象。
這個發現源於資安業者趨勢科技,今年6月中旬至7月底,他們觀察到大量的漏洞利用嘗試跡象,這些駭客利用這項漏洞意圖將挖礦程式部署到Confluence伺服器,利用這些伺服器的運算資源,挖得加密貨幣牟利。
主要有3組人馬利用這項漏洞,其中一組特別引起他們的注意,因為駭客們使用Shell指令碼進行SSH連線,而能在受害伺服器的環境挖礦。
惡意軟體Voldemort濫用Google Sheets,意圖竊取全球企業組織稅務機關資料
駭客濫用Google雲端服務掩蓋攻擊行動的手法不時傳出,其中最常見的是Google Drive,攻擊者可能藉此提供惡意程式C2伺服器的IP位址,但後續也有利用雲端文書處理服務Google Docs的情況,而最近一起攻擊行動裡,有人竟濫用同廠牌的試算表服務Google Sheets,而且,攻擊者不僅利用該服務下達命令,還要求惡意程式回傳執行的結果。
資安業者Proofpoint揭露後門程式Voldemort的攻擊行動(此名取自奇幻小說哈利波特的大反派角色之一,中譯為佛地魔),駭客假冒美國、歐洲、亞洲稅務機關,約從8月5日開始,針對超過70個企業組織下手,發送至少2萬封惡意郵件,在最高峰的時期,一天可達到6千封。這起攻擊行動引起他們注意的原因,在於駭客罕見地濫用試算表服務Google Sheets。
而對於駭客鎖定的範圍,研究人員表示,受害組織遍及保險、航空、航太、交通、教育領域等18個產業,其中,占比最高的是保險公司,將近四分之一。他們推測攻擊者應該是APT駭客,但缺乏足夠資料確認是那個駭客組織所為。
QR Code網釣濫用微軟Sway從事攻擊行動,意圖竊取M365帳號
為了迴避網址過濾系統的檢查,駭客利用QR Code從事網路釣魚(Quishing)的情況,最近兩至三年可說是越來越常見,但如今駭客結合微軟雲端簡報服務Sway來引誘使用者上當。
資安業者Netskope指出,他們今年7月察覺濫用Sway的網路釣魚攻擊流量爆增2千倍,而且,駭客使用的網頁大多數都運用了QR Code而引起他們的注意。研究人員指出,駭客透過對手中間人(AiTM,或稱為Transparent Phishing)攻擊手法,利用捏造的登入網頁,取得多因素驗證所需資料,最終的目的是竊取受害者的Microsoft 365帳號。
再者,攻擊者為了防止資安系統察覺有異攔截,他們濫用Cloudflare Turnstile圖靈驗證機制,確保攻擊目標是人類。
其他攻擊與威脅
◆駭客組織APT-Q-12針對東北亞國家,利用零時差漏洞進行滲透
◆數百臺大型語言模型伺服器恐曝露公司內部、個人健康狀態資料庫
◆美國石油及天然氣業者Halliburton傳出遭到勒索軟體RansomHub攻擊
◆美國機場航空運輸安全系統存在SQL注入漏洞,可被未經授權人士繞過安檢
近期資安日報
【8月30日】殭屍網路病毒Mirai變種透過陞泰網路攝影機漏洞散布
熱門新聞
2024-09-16
2024-09-16
2024-09-13
2024-09-13
2024-09-16
2024-09-16
2024-09-16