文/周峻佑 | 2025-02-27發表

針對Linux作業系統的惡意程式,過去一年不時傳出相關的攻擊活動,最近一起資安事故相當值得留意,原因是攻擊者使用的手法升級,相關攻擊行動變得更加難以察覺。

特別的是,揭露此事的資安業者Palo Alto Networks表示,駭客使用的惡意軟體Auto-color非常刁鑽,而且防守方想要清理還必須倚賴特定工具,否則會難以完全清除。

 

【攻擊與威脅】

北美及亞洲政府機關、大學遭Linux後門程式Auto-Color鎖定

針對Linux作業系統的攻擊行動越來越常出現,而且駭客的手段日益複雜,使得防守方難以察覺,在後續進行復原的工作更加困難。

資安業者Palo Alto Networks指出,他們自去年11月初至12月,發現名為Auto-color的Linux後門程式,駭客為了迴避偵測,使用多種手法,其中包含使用看起來良性的檔案名稱來掩人耳目,刻意埋藏C2連線的通訊,以及將相關通訊與組態資訊進行加密處理。研究人員強調,這款後門程式能讓攻擊者完全存取受害電腦,防守方若要清除,必須搭配特定工具,否則會很難清除。

針對這個後門程式的發現,Palo Alto Networks資深主任安全工程師Alex Armstrong指出,他們在去年11月5日發現第一個檔案,而該惡意軟體家族主要鎖定的目標,是北美及亞洲的大學及政府機關辦公室,但究竟後門程式如何入侵受害組織,Alex Armstrong表示目前仍不清楚。

高達2.84億筆帳密資料收入Have I Been Pwned,都源自駭客盜取的Log資料

可查詢自己密碼是否遭外洩的網站Have I Been Pwned(HIBP),最近納入1.5TB巨量事件記錄資訊,它們都是遭竊的資料,該網站的創辦人Troy Hunt指出,內容多達230億筆,其中包含4.93億組網站及電子郵件資料,影響2.84億個(284,132,969)電子郵件信箱,而這批資料的來源,是一個名為Alien Txtbase的Telegram頻道。

究竟這批資料有多龐大?Troy Hunt表示,這批資料含有2.44億組新密碼,比原本HIBP留存的1.99億筆還要來得多。

對於資料的發現過程,Troy Hunt提及是一名政府機關的人士提供相關情報,並交給他這批資料的其中兩個檔案,經過他循線調查之後,總共在Telegram頻道找到744個檔案,從而拼湊出上述資料。

其他攻擊與威脅

存在弱點的病毒掃描工具元件遭濫用,駭客發起大規模自帶驅動程式攻擊,散布惡意程式HiddenGh0st

駭客利用中國CDN服務攻擊亞太工業,散布RAT木馬程式

13萬設備遭殭屍網路綁架,被用於對M365帳號進行密碼潑灑攻擊

中國資安業者天融信資料外洩,透露該公司提供中國政府言論審查監控服務

臺灣學術機構遭到鎖定,駭客佯稱資安院進行社交工程攻擊,假借執行勒索軟體偵測工具為由散布惡意軟體

 

【漏洞與修補】

WordPress表單外掛Everest Forms存在重大漏洞,10萬網站曝險

專精WordPress網站安全的資安業者Wordfence接獲研究人員Arkadiusz Hydzik通報漏洞,他發現,提供網站管理者建立表單、問卷、投票的外掛程式Everest Forms,存在重大層級的任意檔案上傳漏洞CVE-2025-1128。

未經身分驗證的攻擊者,可經由此弱點將任意檔案上傳到WordPress網站,從而遠端執行任意程式碼,並且還能進一步讀取或刪除網站上的任何檔案,漏洞的CVSS風險達到9.8分(滿分10分),而且,所有版本Everest Forms都存在這項弱點,目前10萬個部署該外掛程式的網站都有可能曝險。

Wordfence將所有資料都交給WordPress佈景軟體與外掛開發商ThemeGrill,Everest Forms的開發者於2月20日發布3.0.9.5版修補,Wordfence也頒發4,290美元抓漏獎勵給Arkadiusz Hydzik。

微軟修補低程式碼網站建置平臺Power Pages零時差漏洞

2月19日微軟發布資安公告,修補低程式碼網站建置平臺Power Pages、搜尋引擎Bing的高風險漏洞CVE-2025-24989、CVE-2025-21355,並指出CVE-2025-24989已被用於實際攻擊行動。

CVE-2025-24989是權限提升漏洞,起因是Power Pages存取控制不當造成,未經授權的攻擊者能繞過使用者註冊的控制機制,並進行權限提升,CVSS風險達到8.2分,微軟評估風險達到重大層級。

有部分用戶目前受到這項漏洞的影響,因為這項漏洞被用於攻擊行動,微軟雖然已在服務層級進行緩解,但仍無法讓所有用戶都不受到衝擊,他們已發出通知,提供檢查網站是否受害的檢測方法,以及清理的步驟。

 

【資安防禦措施】

澳洲政府禁用卡巴斯基軟體

2月21日澳洲政府發布禁令,從4月1日起禁止在政府所有系統和裝置上,安裝俄國資安業者卡巴斯基的產品和網頁服務,現有安裝的軟體必須移除。

澳洲移民暨國境保護部(Department of Home Affairs)部長Stephanie Foster指出,經過威脅和風險分析,她認為澳洲政府實體使用卡巴斯基產品和網頁服務,會對澳洲政府、網路和資料造成不可接受的安全風險,包括外國干預、間諜和破壞。她也認為有必要對關鍵基礎設施及其他澳洲政府單位釋出明確政策訊號,告知使用該產品的安全風險。

 

近期資安日報

【2月26日】郵件傳輸代理平臺Exim修補高風險層級的SQL注入漏洞

【2月25日】臺澎三號海纜發生全斷事故,疑為具有中國背景的貨輪拖斷造成

【2月24日】2024十大網站攻擊技術臺灣專家再度稱霸第一

iThome Security

熱門新聞

Advertisement