今年6月资安业者趋势科技揭露黑客组织Void Arachne的攻击行动,他们锁定简体中文用户,声称提供中国常见的应用程序,以及人工智能工具,意图在受害电脑部署恶意程序Winos 4.0,如今攻击手法出现变化。
资安业者Fortinet指出,他们看到最新一波的Winos 4.0攻击行动,攻击者声称提供游戏安装程序与优化工具,一旦用户运行安装,电脑就会从特定的网域搜索BMP图档,并使用XOR算法解码,取得名为you.dll的程序库文件,进行一连串的攻击行动。
针对这项恶意程序的发展,研究人员指出Winos 4.0已从原本趋势科技找到的后门程序,发展成能够搭配多种插件的恶意程序框架,功能已与渗透测试工具Cobalt Strike、Silver相当,能被用于控制受害电脑并具备多种功能。
黑客锁定Windows电脑散播恶意捷径档,若不慎点击,会运行内含后门的虚拟机
利用虚拟机(VM)从事攻击行动的事故,约莫5至10年前曾出现数起,当时黑客使用搭配旧版窗口操作系统(如Windows XP)的VM,意图绕过受害电脑的资安防护机制,进行恶意活动,如今类似的攻击行动再度出现。
资安业者Securonix揭露名为Cron#Trap的资安事故,他们在调查利用恶意捷径文件(LNK)的攻击行动当中,发现该文件一旦运行,就会加载并启动以QEMU打造的Linux环境,而且,这些VM已经事先设置了后门程序,启动后会自动与C2进行连接。
研究人员指出,由于在开发环境或是研究经常会使用QEMU,攻击者运用这样的做法,能够在受害电脑维持隐形的状态,并进行后续的恶意活动,且难以被杀毒软件察觉。研究人员提到,这是他们首度看到有攻击者将QEMU用于挖矿以外的攻击行动。
其他攻击与威胁
◆恶意软件SteelFox利用自带驱动程序手法窃取信用卡数据、挖掘加密货币
◆攻击行动VEILDrive滥用微软旗下服务,意图发动网钓攻击、散布恶意软件
◆北韩黑客Andariel使用键盘侧录工具攻击美国企业组织
◆黑客组织Anonymous Sudan近2年发动逾3.5万次DDoS攻击
【漏洞与修补】
思科修补工控无线URWB路由器风险达到10分的重大漏洞
11月6日思科发布资安公告,指出旗下工业级无线路由器Ultra-Reliable Wireless Backhaul(URWB)搭配的软件系统当中,网页管理界面存在重大层级漏洞CVE-2024-20418,攻击者可在未经授权的情况下,远程使用root权限,在操作系统底层运行命令注入攻击,CVSS风险达到10分(满分10分)。
这项漏洞影响运行URWB作业模式的部分机种,包含:Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients,以及Catalyst IW9167E Heavy Duty Access Points。
对此,该公司已发布软件更新,并强调这项漏洞没有其他缓解措施能够因应,呼吁IT人员应尽速采取行动。截至目前为止,该公司尚未察觉此漏洞遭到恶意利用的情况。
其他漏洞与修补
◆ServiceNow修补重大层级的沙箱逃逸漏洞CVE-2024-8923
【资安产业动态】
CrowdStrike买下SaaS安全控管业者Adaptive Shield
今年造成全球数百万Windows电脑当机的主要EDR资安厂商CrowdStrike,周三(11月6日)宣布同意买下专精SaaS安全领域的以色列资安业者Adaptive Shield,CrowdStrike宣称,在买下Adaptive Shield之后,他们成为唯一能为整个现代云端生态体系统,提供全面性端对端保护,来协助客户对抗身分验证相关攻击的资安业者。
CrowdStrike认为,买下Adaptive Shield将让该公司得以提供从本地端、云端到SaaS一致的端对端保护,在整个云端生态体系中防范与身分验证相关的攻击行动。
双方并未公布交易金额,仅说预计于CrowdStrike的第四财季完成。CrowdStrike的2025财年第四季指的是今年11月至明年1月,而外传该交易价值3亿美元。
Google Cloud明年将强制运行多因素身分验证
Google周二(11月5日)宣布,明年起将强制Google Cloud用户采用多因素身分验证(MFA)。根据该公司统计,目前仍有30%用户尚未部署。有鉴于网络钓鱼及被窃凭证依然是黑客的首要攻击媒介,使得Google决定强制用户全面采用。
此政策将分阶段展开,第一阶段属于推广鼓励时期,即日起Google Cloud用户就会在控制台中看到有关MFA的信息与各种资源,协助用户规画与测试MFA的部署;明年初进入第二阶段,将要求以密码登录的所有Google Cloud用户采用MFA,包括Google Cloud主控台、Firebase主控台、gCloud等,若要继续使用便必须注册MFA。
第三阶段则是锁定采用联合身分验证的用户,预计于明年底实施。届时用户在造访Google Cloud之前,必须向主要的身分提供者激活MFA,或者是直接于Google帐户中添加MFA。
近期资安日报
【11月6日】国际警方破获2.2万个用于网钓及勒索软件攻击的恶意IP位址
【11月5日】脸书粉专管理员、广告管理员请提高警觉!窃资软件锁定台湾用户攻击
【11月4日】安卓语音网钓恶意软件FakeCall出现新手法



2024-11-07
