勒索軟體通常針對工作站電腦及伺服器主機而來,駭客將其資料加密,要脅受害者必須付錢換取解密金鑰,或是避免資料外流,但如今,有人針對雲端儲存服務發動相關攻擊,引起資安業者的注意。
例如,資安業者Halcyon公布針對AWS S3儲存桶攻擊的事故,就是這樣的例子。特別的是,攻擊者並非打造專屬的檔案加密工具,而是透過AWS提供的資料防護機制犯案。
【攻擊與威脅】
AWS提供的資料保護措施遭到濫用!勒索軟體駭客將S3儲存桶加密,並向受害者索討贖金
一般而言,在勒索軟體攻擊事故當中,攻擊者通常是利用加密工具破壞電腦檔案,但有人針對雲端環境發動類似攻擊,而且,作案的工具竟是雲端業者提供的資料保護措施。
專門提供勒索軟體防護的資安新創Halcyon揭露一起相當不尋常的勒索軟體攻擊行動,駭客的攻擊目標是AWS的S3儲存桶,而作案的工具,竟是利用AWS供客戶保護資料的措施「伺服器端加密搭配用戶提供的金鑰(Server-Side Encryption with Customer-provided keys,SSE-C)」,將資料加密後,再向使用者勒索,要求支付贖金換取解密資料的AES-256對稱金鑰。
針對這種手法的可怕之處,Halcyon資安研究團隊RISE強調,攻擊者無需挖掘AWS系統本身的漏洞,而是事先設法取得其中一個客戶的AWS帳密資料,就有機會得逞。截至目前為止,他們發現只能透過付錢取得解密金鑰,後續才能復原資料,沒有其他回復資料的方法,而此種伎倆的運用,也代表勒索軟體攻擊可能出現重大變化。
北韓駭客Lazarus鎖定Web3開發人員發起攻擊行動Operation 99,意圖散布惡意軟體
北韓駭客假借徵才名義,鎖定開發人員散布惡意軟體的情況,過往駭客組織Lazarus發起的Operation Dream Job攻擊行動相當受到資安圈關注,如今有資安業者發現,這些駭客的手段變得更加複雜,使得求職的開發人員難以察覺有異。
資安業者SecurityScorecard指出,他們在1月9日發現Lazarus發起的攻擊行動Operation 99,主要目標是想要在Web3或是加密貨幣領域求職的軟體開發者,意圖在他們的電腦植入惡意程式。
這些駭客假冒人資主管的名義,在職場社群網站LinkedIn等平臺進行徵才,以專案測試及程式碼檢視為由引誘開發人員上當。一旦開發人員照做,他們就會被要求複製看似無害的GitLab儲存庫,而駭客在其中埋入能連往C2伺服器的程式碼,從而於受害者的環境植入惡意軟體。
其他攻擊與威脅
◆惡意攻擊者利用假Google廣告釣魚攻擊廣告帳戶,廣告商資金遭大規模盜用
◆竊資軟體Formbook假借採購單散布,於記憶體內執行隱匿行蹤
◆WordPress電商網站遭到鎖定,駭客將JavaScript指令碼注入資料庫挾持付款資料
◆駭客佯稱M365密碼到期,利用假YouTube連接引誘使用者存取釣魚網站
【漏洞與修補】
部分工作站電腦、伺服器無法套用微軟1月例行更新,疑為Citrix資安控管軟體造成
微軟本周發布一月份安全更新,不過部分安裝資安控管軟體Citrix Session Recording Agent(SRA)的電腦出現無法正常安裝的情形,涵括Windows 10、11,以及伺服器作業系統Server 2019、2022、2025等。微軟和Citrix已在調查原因。
Citrix SRA 2411是去年11月底釋出。SRA是Session Recording Monitoring服務的元件,可讓企業記錄使用者螢幕上的活動作為資安控管。對此,Citrix呼籲企業用戶停用SRM服務,再安裝微軟安全更新,最後再重啟SRM服務就可避免這問題。
其他漏洞與修補
◆開源檔案同步工具Rsync存在重大漏洞,攻擊者有機會越界寫入,66萬伺服器恐曝險
【資安防禦措施】
美國對中國後門程式PlugX進行執法行動,清除逾4千臺受害電腦的惡意軟體
1月14日美國司法部宣布,他們與聯邦調查局(FBI)及國際合作夥伴聯手,進行數個月的執法行動,從全球數以千計的受害電腦清除中國駭客使用的惡意軟體PlugX,這些駭客組織由中國政府資助,包含匿稱為RedDelta、TA416、Earth Preta的Mustang Panda,以及原本被稱為Tantalum的Twill Typhoon。
根據美國法院的文件指出,中國政府付錢給駭客組織Mustang Panda,開發專屬版本PlugX進行電腦入侵工作。可能從2014年開始,駭客就對美國、歐洲、亞洲的政府及企業,以及中國異議人士下手,滲透數千臺電腦。儘管美國政府及資安業者都曾揭露相關攻擊行動,但許多受害者並未察覺自己的電腦感染PlugX,因此美國法院授權執法單位採取行動,對當地受害電腦採取補救措施。
FBI數位部門助理局長Bryan Vorndran表示,這項執法行動是透過與法國執法單位之間的合作來進行,他們也藉此宣示保護民眾的決心,以及抵禦國家級威脅的技術專業能力。他們從去年8月開始獲得賓州東區法院授權,展開清理作業,總共成功清除的電腦數量高達4,258臺。
近期資安日報
【1月15日】多組人馬利用零時差漏洞繞過身分驗證,攻擊Fortinet防火牆設備
熱門新聞
2025-01-15
2025-01-13
2025-01-16
2025-01-14
2025-01-14
2025-01-13