2024年度「十大網站攻擊技法」(Top 10 Web Hacking Techniques 2024)年初公布,本次有103件研究成果入選,較往年倍增,同時品質也更加精進。PortSwigger首席研究員James Kettle指出,這次是他歷年見過最高品質的一批研究成果。
特別的是,這次第一、第四為臺灣資安研究員的成果,分別是Apache HTTP Server的混淆攻擊手法,以及Windows作業系統ANSI字元轉換弱點WorstFit。
【攻擊與威脅】
中國駭客Earth Preta假借打擊犯罪為由散布惡意程式ToneShell,意圖利用作業系統預載公用程式迴避偵測
專門鎖定臺灣、越南、馬來西亞等亞太國家發動攻擊,被稱做Mustang Panda、Earth Preta的中國駭客組織,自2022年至今已有200家企業組織受害,如今有資安業者提出警告,這些駭客更換手法相當值得留意。
資安業者趨勢科技指出,他們最近觀察到新一波的攻擊行動裡,Earth Preta一旦發現受害電腦執行ESET防毒軟體,便將程式碼注入Windows公用程式Microsoft Application Virtualization Injector(MAVInject.exe),使得有效酬載注入另一個用來與其他網路上的電腦傳送及接受訊號的公用程式waitfor.exe。此外,這些駭客也濫用安裝程式建置工具Setup Factory,投放並執行有效酬載。這麼做的目的,主要是為了迴避偵測,並且能持續在受害電腦活動。
罕見的是,研究人員特別提及這支惡意程式並非只針對部署ESET防毒的電腦而來。假若駭客發現受害電腦並非使用該廠牌的防毒軟體,就會直接利用特定的API將程式碼注入waitfor.exe。
駭客組織RedCurl利用Adobe元件側載惡意程式,意圖假借求職對法律產業發動攻擊
駭客假借求職名義向企業組織發動網路釣魚攻擊的情況,有不少是為了籌措營運資金的北韓駭客所為,但近期有其他駭客這麼做而引起關注。
資安業者eSentire今年1月發現被稱做Earth Kapre、RedCurl的駭客組織攻擊行動,這些駭客鎖定律師事務所及法律服務行業而來,過程中利用Adobe應用程式元件ADNotificationManager.exe,以側載的方式執行他們的惡意程式載入工具,並利用微軟網路公用程式Active Directory Explorer這類工具從事偵察,然後以7-Zip打包竊得資料且設置密碼保護,最終使用PowerShell發出請求,將資料透過雲端儲存服務供應商Tab Digital外流。
究竟這些駭客如何接觸受害者?他們假借求職為誘餌寄送釣魚郵件,信中挾帶PDF檔案,一旦收信人開啟並點選其中的連結,電腦就會下載ZIP壓縮檔,其內容為IMG光碟映像檔,若是收信人開啟,就會在電腦裡掛載。
網釣工具包Astaroth同時針對Gmail及M365帳號而來,能繞過多因素驗證並挾持帳號
網路釣魚攻擊的活動出現分工,駭客製作工具包吸引更多打手參與,最近兩到三年更製作出能繞過多因素驗證(MFA)的作案工具,但大部分鎖定目標主要是Microsoft 365帳號,如今有駭客開發能對其他帳號下手的新工具,因而引起研究人員的注意。
資安業者SlashNext揭露今年一月底出現的網釣工具包Astaroth,賣家標榜此工具能挾持連線階段(Session)及即時帳密攔截,從而繞過Gmail、Yahoo、M365等帳號的多因素驗證機制。
乍聽之下,Astaroth的主要功能,與其他能進行對手中間人(AiTM)的網釣工具包雷同,但Daniel Kelley指出做法有明顯的差異,其中一項就是駭客的網釣網域具備SSL憑證,使得瀏覽器不會彈出警示訊息,受害者也難以察覺有異,但在此同時,Astaroth會將使用者發出的請求轉送到真正的身分驗證服務,並秘密攔截相關敏感資料。
其他攻擊與威脅
◆JAR檔案簽章工具遭到濫用,攻擊者藉此於受害電腦啟動惡意軟體XLoader
◆假借提供驅動程式部署、瀏覽器更新工具,北韓駭客意圖藉由Dropbox散布惡意程式
◆SpyLend貸款詐騙App鎖定安卓用戶而來,已被下載逾10萬次
◆駭客假借提供檔案管理工具Total Commander盜版名義,意圖散布竊資軟體LummaC2
其他漏洞與修補
◆Atlassian修補旗下Confluence、Crowd重大層級漏洞
【資安產業動態】
今年1月,PortSwigger網站發布了年度「十大網站攻擊技法」(Top 10 Web Hacking Techniques 2024),再次受到我們關注,原因是臺灣專家的研究成果,同時榮獲了第1名與第4名。
本屆總共有103件研究報告獲得提名,比起往年數量呈現接近倍增的情形,不僅是數量大增,負責舉辦此計畫的PortSwigger首席研究員James Kettle指出,這是他自2018年負責此專案以來,見過最高品質的一批研究成果。
這次臺灣資安研究人員能夠再次從中脫穎而出,獲選為第1名與第4名,更是難得,而且,兩項都與臺灣資安公司戴夫寇爾(DEVCORE)首席資安研究員Orange Tsai(蔡政達)有關。
針對外傳英國政府施壓開存取用戶資料的後門,蘋果證實即將移除英國iCloud進階資料防護功能
今年1月英國要求蘋果開放存取iCloud加密備份的後門,蘋果2月21日向彭博社與The Verge證實,他們不再向英國的新用戶提供iCloud的進階資料防護(Advanced Data Protection,ADP)功能,且最終會在當地全面禁用。
當時傳出英國政府使用的法源依據,是名為「監聽者憲章(Snooper's Charter)」的《2016年調查權法案》,他們向蘋果下達名為技術能力通知(Technical Capability Notice)的命令,希望透過這後門讓他們能存取蘋果帳號以全程加密(E2EE)上傳到iCloud的檔案備份的完整內容。值得留意的是,這道命令適用對象是全球蘋果用戶,而非只有針對英國人。
而在這次蘋果發出的聲明當中,透露無法藉由ADP保護英國用戶的資料,暗示採取這些措施可能並非出自蘋果的意願。
近期資安日報
【2月21日】中國駭客使用勒索軟體Ghost在全球70個國家發動大規模攻擊
熱門新聞
2025-02-24
2025-02-23
2025-02-21
2025-02-21
2025-02-21