握有各式權限並經常會經手敏感資訊的資安從業人員,已成為最近幾年駭客下手的主要目標,最近一波大規模攻擊行動當中,有人藉此對資安人員散布惡意軟體,並竊得大批WordPress帳密。
值得留意的是,攻擊者發起攻擊的管道,主要可分成兩種,一種針對資安研究人員而來,假借提供已知漏洞的概念性驗證程式碼,來讓他們中招;另一種則是鎖定學術研究機構,佯稱提供處理器漏洞緩解工具來進行。
【攻擊與威脅】
逾39萬筆WordPress帳密遭竊,攻擊者利用網釣與夾帶後門程式的身分檢查器進行滲透
資安從業人員是駭客的主要目標之一,原因是他們通常會處理敏感資訊,並且掌握廣泛的權限,這樣的現象,最近幾年傳出攻擊者會發布帶有惡意內容的假漏洞利用程式碼,藉此引誘資安人員中招,如今類似的攻擊行動再度傳出。
雲端監控服務業者Datadog旗下的資安實驗室指出,駭客組織MUT-1244發動大規模的攻擊行動,竊得超過39萬組WordPress帳密資料,然後藉由偽裝成WordPress帳密檢測工具的GitHub專案yawpp,利用其中的惡意程式碼將資料傳送給駭客,估計有數百名滲透測試人員、資安研究員受害,導致他們的SSH金鑰、AWS金鑰外流。
針對這些駭客接觸攻擊目標的手法,研究人員指出主要有兩種管道,但目的相同,都是向受害者傳遞第二階段的惡意酬載。
黏接PHP框架、增加隱匿度,中國駭客APT41打造PHP木馬程式Glutton
駭客鎖定網頁應用程式而來,打造Linux惡意程式的情況,已有資安業者提出警告,呼籲IT人員要嚴加防範,如今有研究人員發現,惡名昭彰的APT41很可能在1年前就開始製作這類惡意程式。
中國資安業者奇安信指出,他們今年4月底發現,代號為Winnti、Earth Baku、Brass Typhoon的中國駭客組織APT41,正在散播ELF形式的後門程式,由於駭客曾利用同一個IP位址散布惡意PHP檔案init_task.txt,這樣的情況引起了他們的注意。
由於攻擊者透過各式元件組成的PHP木馬程式,能夠感染大量PHP檔案,並能於受害主機植入l0ader_shell元件,研究人員將其命名為Glutton。根據init_task.txt出現的時間,研究人員推測此後門程式活動已超過1年。
泰國政府官員遭到鎖定,駭客利用檔案系統的資料流傳遞後門Yokai
隨著國際之間執法單位的互助合作越來越頻繁,有駭客看上這點,對政府官員散布惡意程式。資安業者Netskope揭露針對泰國政府官員的攻擊行動,駭客企圖於他們的電腦植入後門程式Yokai。
究竟駭客如何接觸目標,研究人員表示並不清楚,但不排除是透過釣魚郵件進行。他們透過威脅獵捕找到攻擊者散播的RAR壓縮檔,當中包含兩個Windows捷徑檔案(LNK),檔名皆為泰文,其中一個佯裝與美國司法部有關的PDF文件,另一個則是Word檔案,宣稱美國政府將在打擊犯罪上行動進行國際合作。
一旦使用者點選LNK檔,電腦就會將file.exf這個檔案的備用資料流(Alternate Data Stream,ADS)內容,複製、傳入作為誘餌的PDF或Word檔案,過程中濫用資料庫工具Esentuti,目的是透過ADS傳輸惡意酬載。
其他攻擊與威脅
其他漏洞與修補
◆福斯車載資訊系統存在漏洞,攻擊者有機會遠端控制、跟蹤車輛位置
【資安防禦措施】
德國封鎖預載於安卓物聯網裝置的惡意軟體BadBox,感染設備至少3萬臺
12月12日德國聯邦資訊安全辦公室(BSI)指出,他們已中斷名為BadBox的惡意程式運作,這種惡意軟體於安卓物聯網裝置執行,估計該國有3萬臺設備預載該程式,而曝露於相關資安風險。
對此,BSI已經藉由DNS陷坑(Sinkholing)的手段,切斷惡意程式與C2之間的通訊,這些惡意程式將會被導向警方控制的伺服器。對於受影響的裝置類型,BSI指出涵蓋數位相框、影音播放器,也可能對智慧型手機和平板電腦造成影響。
值得留意的是,這些裝置還搭配老舊版本的安卓作業系統,而可能存在其他弱點。雖然攻擊者控制受害設備的管道已被BSI切斷,不過,只要這些高風險的物聯網設備連上網際網路,還是會成為其他攻擊者下手的目標。
其他資安產業動態
◆資安業者Arctic Wolf傳出買下EDR業者Cylance
近期資安日報
熱門新聞
2024-12-16
2024-12-16
2024-12-16
2024-12-13
2024-12-13