近期有許多資安業者針對中國駭客的攻擊行動提出警告,並有部分涉及勒索軟體攻擊,其中,美國政府針對一種由中國駭客發起的勒索軟體Ghost攻擊行動提出警告,而引起資安界高度關注。
值得留意的是,這款勒索軟體的攻擊範圍相當廣泛,橫跨70個國家,但究竟是否包含臺灣?有待其他資安業者進一步揭露相關細節。
【攻擊與威脅】
美國警告勒索軟體Ghost橫行,駭客攻擊範圍橫跨全球70個國家
2月19日美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)、各州資訊共享及分析中心(MS-ISAC)聯合針對勒索軟體Ghost(也被叫做Cring)的威脅態勢提出警告,指出該勒索軟體的危害範圍橫跨70個國家,包含關鍵基礎設施相關的企業組織等各行各業都有受害的情形,且在1月有相關資安事故傳出。
該勒索軟體背後的駭客來自中國,主要的目的是為了得到經濟利益,相關攻擊行動最早可追溯至2021年初。這些駭客專門鎖定面向網際網路的服務,尋找執行舊版軟體或韌體的系統下手,利用已知漏洞入侵伺服器。
一旦成功利用漏洞,駭客就會上傳Web Shell,然後部署Cobalt Strike Beacon,竊取處理程序使用的Token,藉此冒充SYSTEM使用者提升權限,最終使用勒索軟體加密檔案。
勒索軟體NailaoLocker鎖定歐洲地區醫療機構而來,疑為中國駭客用來掩蓋竊取資料的意圖
為了掩蓋真正的攻擊目的,發動勒索軟體攻擊並有模有樣地索討贖金,很有可能因此讓受害組織忽略駭客另有意圖。最近有一起勒索軟體攻擊行動,就是典型的例子。
資安業者Orange Cyberdefense揭露於去年6月至10月發生的攻擊事故Green Nailao,駭客主要針對歐洲的醫療體系而來,作案過程中運用了中國駭客常見的惡意程式ShadowPad、PlugX,而引起研究人員的注意,值得留意的是,他們入侵受害組織的主要管道,就是這波攻擊出現之前不久,Check Point去年5月修補的VPN設備資訊洩露漏洞CVE-2024-24919(CVSS風險評分為8.6)。
研究人員認為,駭客真正的目的可能是竊取資料,利用勒索軟體NailaoLocker加密檔案並索討贖金是為了分散注意力,而且,勒索軟體還能掩護用來執行網路間諜活動的後門程式。
其他攻擊與威脅
◆JAR檔案簽章工具遭到濫用,攻擊者藉此於受害電腦啟動惡意軟體XLoader
◆惡意軟體Snake Keylogger出現變種,透過Telegram機器人傳送竊得資料
【漏洞與修補】
全錄印表機漏洞恐讓攻擊者能截取AD帳密資料,於受害組織網路環境持續活動
今年1月底全錄(Xerox)修補Versalink系列多功能印表機(MFP)的資安漏洞CVE-2024-12510、CVE-2024-12511,通報這些漏洞的資安業者Rapid7最近公布細節,攻擊者可經由這兩個弱點進行回傳攻擊(Pass-Back Attack),從而取得印表機的LDAP、SMB、FTP組態,隨後就能在受害組織的內部網路環境進行橫向移動,並且破壞其他Windows伺服器或是檔案系統。
針對這兩項資安漏洞,Rapid7物聯網首席資安研究員Deral Heiland指出,CVE-2024-12510能用於收集LDAP資訊的弱點,而CVE-2024-12511則能被用來收集SMB及FTP連線的組態資訊。
研究人員揭露LibreOffice近期修補的資安漏洞細節,指出攻擊者利用的過程無需使用者互動
為了節省成本,有些企業會採用開放原始碼的辦公室生產力軟體,若有資安漏洞,勢必影響前端使用者,甚至伺服器存取文件的安全性。1月7日文件基金會(The Document Foundation)發布資安公告,指出他們在去年底發布的24.8.4版開源辦公室套件LibreOffice當中,修補兩項資安弱點CVE-2024-12426、CVE-2024-12425,最近通報這些漏洞的資安業者公布相關細節,指出一旦遭到利用,攻擊者就有機會在幾乎無須使用者互動的情況下進行攻擊。
通報漏洞的資安業者Codean Labs指出,這些漏洞都與LibreOffice載入文件檔案的過程有關,過程中無須使用者互動,無論是使用者開啟攻擊者提供的惡意檔案,或是伺服器以無頭模式(headless)執行LibreOffice轉換檔案,都會觸發上述弱點。
其他漏洞與修補
◆MongoDB的程式庫Mongoose存在重大漏洞,攻擊者有機會竊取資料庫內容、執行任意程式碼
◆微軟修補低程式碼網站建置平臺Power Pages零時差漏洞
◆登入模組PAM-PKCS#11存在重大漏洞,攻擊者恐繞過Linux主機身分驗證機制、提升權限
近期資安日報
【2月20日】Palo Alto Networks防火牆已知漏洞被用於攻擊網頁管理介面
熱門新聞
2025-02-17
2025-02-17
2025-02-17
2025-02-18
2025-02-18
2025-02-14