资安业者Positive Technologies渗透测试员Arseniy Sharoglazov于5月底,公布Rejetto文件服务器系统HTTP File Server(HFS)的资安漏洞CVE-2024-23692,此为未经身分验证的RCE漏洞,CVSS风险评为9.8分,在相关细节公布后一个多月,传出已被用于攻击行动的情况。
7月4日资安业者AhnLab指出,在渗透测试框架Metasploit上个月加入漏洞攻击模块后,他们发现有人开始实际用于攻击行动。对方在攻击过程中,会先运行whoami、arp等命令,收集系统信息。然后,他们会添加后门帐号,用来运行远程桌面连接,但在此同时,对方也会将帐号隐藏起来,以免用户察觉有异。
这些黑客最终于受害电脑部署挖矿软件XMRig、木马程序XenoRAT,以及用于扫描系统弱点的脚本。但除了XenoRAT,对方也使用中国黑客常用的恶意程序,例如:Gh0stRAT、PlugX,此外研究人员也看到植入渗透测试工具Cobalt Strike、网络扫描工具Netcat的情况。
研究人员针对锁定拉丁美洲的金融木马Mekotio提出警告,相关攻击行动大幅增加
资安业者趋势科技针对金融木马Mekotio的攻击行动提出警告,这个木马程序主要锁定拉丁美洲用户,在巴西、智利、墨西哥、秘鲁造成广泛的灾情。该公司指出,近期遭遇相关攻击事故的用户数量大幅增加,呼吁当地民众要提高警觉。
攻击流程如何进行?对方通常假冒税务机关寄送电子邮件,佯称收信人有税款尚未缴纳,这些信件内含ZIP档附件,或是连往恶意网站的链接。假若用户依照指示运行,电脑就会被植入Mekotio。这个木马程序主要的功能是窃取网络银行帐密,攻击者借由显示冒牌的登录网站来达成目的,但也能截取电脑屏幕画面、侧录键盘输入内容、窃取剪贴板的数据。
恶意程序FakeBat借由偷渡式下载植入受害电脑
资安业者Sekoia指出,今年第一季最常利用偷渡式下载手法散布的恶意程序加载工具,FakeBat是最常见的恶意程序,攻击者通常会制作冒牌的应用程序登录网页,然后借由恶意广告,或是在合法网站植入假的浏览器更新网页,或是通过社群网站借由社交工程攻击,引诱用户中招。
这款恶意程序加载工具最早约从2022年12月出现,开发该软件的黑客以租赁的型式提供买家运用,号称具备多种反侦测功能,能回避Google或Microsoft Defender的警报,而且VirusTotal也不会侦测出异状。买家可借由管理界面,通过范本产生特定的FakeBat程序,同时能够管理与监控恶意软件散播与感染情形。
而到了今年,研究人员发现多起攻击行动,并大致归类为3种手法:冒牌软件下载网站、伪造的浏览器更新弹出式窗口,以及社交工程手法。
资安业者SentinelOne发布3年追踪APT黑客组织的调查,证实勒索软件具备分散注意力的效果
资安业者SentinelOne、Recorded Future联手,追踪从2021年至2023年对全球政府机关及关键基础设施下手的黑客组织,并发现对方在大部分的攻击行动里,都会通过勒索软件把文件加密。而这些黑客使用勒索软件的动机,不光只是对受害组织进行勒索,从而达到经济利益,还有为了破坏、分散防守方注意力,误导事故调查方向,以及清除迹证的目的。
研究人员发现中国黑客组织ChamelGang使用勒索软件CatB的攻击行动,并看到有人滥用合法数据保护工具进行寄生攻击(LOLBins),加密文件进行勒索的手段。这些工具包含了数据保护暨清除业者Jetico推出的BestCrypt,以及微软于窗口操作系统内置的BitLocker。
其他攻击与威胁
◆以色列企业组织成黑客利用渗透测试框架Donut、Sliver下手的目标
◆保德信金融集团证实今年2月的数据外泄事故波及逾250万人,传出是勒索软件黑客组织BlackCat所为
◆澳洲逮捕对航班旅客进行名为Evil Twin的Wi-Fi无线网络攻击的嫌犯
◆加拿大路由器制造商客户窗口传出遭骇,填写表单的用户被要求强制更新Metamask加密货币钱包帐号
◆研究人员解析窃资软件偷到的数据,找到3千名涉及儿童性虐待人士的数据
【资安防御措施】
行政院宣布通过资安法修正草案,纳管机关若遭遇重大资安事故须配合调查,若不配合最高可罚百万
7月4日行政院宣布,他们正式通过数位发展部去年底提出的资通安全管理法(资安法)修正草案,接下来将送交立法院审议。
行政院长卓荣泰表示,本次修正草案的主要目的,将进一步强化国家整体资通安全法律规范,明确化法律位阶,促进政府跨机关的合作及区域联防,有效落实纳管机关及关键基础设施的资安管理及防护,并推动资安人员培力机制,解决实务运行落差。
值得留意的是,我们看到许多媒体针对行政院通过的修正条文,皆特别提及根据添加的25条及31条内容,若是发生重大资安事件,资安署得稽核所有纳管的公务机关或特定非公务机关,若是规避、妨碍或拒绝调查者,最高可开罚一百万元罚锾。
【资安产业动态】
Proton发表全程加密的文档编辑服务Docs in Proton Drive
本周专门提供基于隐私之在线服务的瑞士业者Proton发表了Docs in Proton Drive,于其云端全加密存储服务Proton Drive中提供Docs文档编辑服务,除了支持即时协作、评论、添加照片及存储功能外,同样也提供全程加密(E2EE)。
该公司也提及推出这项服务的动机。他们指出提供相关服务的大型科技业务往往收集用户相关信息牟利,再加上并未默认采用全程加密,很有可能导致数据外泄的风险,此外,文档内容还有可能遭未经授权的监控,或是供他人运用。
近期资安日报
【7月4日】欧洲最大云端服务供应商揭露DDoS攻击规模与日俱增的现象,并指出大多恶意流量来自MikroTik路由器
【7月3日】巴基斯坦黑客假借提供安卓应用程序发动攻击,意图散布恶意软件CapraRAT,目的是为了监控特定用户
【7月2日】研究人员揭露polyfill供应链攻击事故最新发现,黑客同时运用多个网域犯案,保守估计超过30万个网站受害



2024-07-05
