受到許多企業採用的CentOS作業系統,其中有一款便於管理者以圖形介面來遠端管理伺服器的軟體Control Web Panel(CWP),傳出存在可被串連利用的2個漏洞,而引起關注。

而在過往的勒索軟體攻擊中,LockBit 2.0在加密受害電腦後,以置換桌布的方式,明目張膽向受害者徵求能存取企業的入侵管道。但這樣意圖收買企業員工的做法,如今變得更加肆無忌憚。最近有研究報告指出,在美國的大型企業裡,有6成5的受訪企業表示,有駭客向他們的員工招手,而且是直接透過電子郵件、電話、社群網站聯繫,研究人員認為,這樣的情況可能會日益猖狂。

【攻擊與威脅】

白俄羅斯鐵路公司遭到加密軟體攻擊,駭客要求釋放50名政治犯

駭客發動攻擊的目的,也有可能為了政治訴求。例如,名為白俄羅斯網路游擊隊(Belarus Cyber Partisans)的駭客組織,於1月24日宣稱,他們入侵了白俄羅斯國營鐵路公司(BR),對部分伺服器、資料庫、工作站電腦加密檔案,來中斷營運,目的是要求當局釋放50名需要醫療救助的政治犯,且希望俄羅斯軍隊撤離白俄羅斯。BR也發出公告指出,該公司線上的電子旅行文件核發作業暫時無法使用,旅客要直接向售票處進行申請。

駭客組織APT36運用安卓木馬程式,鎖定印度軍事與外交單位下手

駭客組織發動針對性的APT攻擊,也開始盯上使用者的手機下手。例如,鎖定印度軍事與外交單位的駭客組織APT36(亦稱Earth Karkaddan、Operation C-Major、Mythic Leopard),趨勢科技發現該組織於2021年底,開始針對安卓手機用戶,使用網路釣魚手法,來散布RAT木馬程式CapraRAT。一旦使用者依照指示安裝APK檔案,這個木馬程式可開啟相機,並存取麥克風、地理位置資料、通話記錄等資料,還能執行其他安裝程式。研究人員呼籲使用者,要從可信賴的來源取得應用程式。

希臘議會60個電子郵件帳號遭駭,緊急關閉郵件伺服器

國家議會遭到網路攻擊的情況,又再添一樁。根據希臘新聞網站To BHMA的報導,該國議會約於1月20日中午,偵測到外部IP位址在企圖存取議會的電子郵件帳號,為了保護使用者,該單位隨即停止網路郵件信箱的運作,並通報主管機關。根據消息人士指出,駭客成功入侵約60個電子郵件帳號,這些帳號是國會議員、議會員工,以及記者所擁有。

安卓惡意軟體Brata鎖定網路銀行用戶,並在竊密後重置手機

使用手機網路銀行的用戶要注意了!針對安卓手機而來的竊密軟體,不只鎖定多個國家的銀行用戶,發展至今更出現了會清理作案現場的功能。資安業者Cleafy發現,安卓惡意軟體Brata近期針對英國、中國、拉丁美洲等地區而來,駭客為各家網路銀行的用戶製作多種版本的Brata,並加入數項新功能,其中最值得留意的,是能夠在攻擊行動失敗,或是偵測到在沙箱環境的情況,將感染的安卓裝置恢復原廠預設狀態,以清除相關跡證。

駭客透過加殼軟體鎖定足球迷,散布多種竊密木馬

為了在受害電腦投放惡意軟體,駭客使用了看似無害的下載器(Downloader)、加殼工具(Packer),將惡意軟體下載到這些電腦裡。例如,資安業者Proofpoint指出,他們約自2021年3月,發現駭客以冒牌的利物浦(Liverpool)足球俱樂部網站,吸引用戶下載名為DTPacker的加殼工具,目的是要在受害電腦植入Agent Telsa、Ave Maria、AsyncRAT等竊密工具。研究人員指出,DTPacker在第2階的攻擊模組,需要透過密碼解密才能執行,駭客先後使用了Trump2020、Trump2026作為密碼。

惡意軟體Emotet透過十六進位、八進位的IP位址來散布

駭客為了規避資安系統的偵測,刻意使用一些手法來隱藏攻擊行動的IP位址。例如,趨勢科技在近期偵測到Emotet的垃圾郵件攻擊行動中,駭客在郵件裡的惡意Office文件裡,分別使用十六進位、八進位的方法,來存放遠端伺服器的IP位址,進而讓 Emotet下載第2階段的惡意程式。研究人員指出,駭客使用這種方式取代2021年11月至12月時,投放Cobalt Strike的Beacon,或是使用TrickBot的手法,現行的資安防護系統很可能無法察覺異狀。

勒索軟體駭客意圖收買目標組織的內部員工,以利進行攻擊

駭客發動勒索軟體攻擊,除了向初始入侵管道掮客(IAB)購買存取受害組織內部網路的帳密,還可能會串通的內部員工,以利攻擊進行。根據身分驗證解決方案業者Hitachi ID在2022年1月,針對北美100家擁有超過5千名員工的大型企業進行調查,結果發現,在2021年12月7日至今年1月4日的期間內,有65%受訪者表示,駭客意圖收買他們或公司員工,要求建立初始存取的管道,這樣的比例,相較於2021年11月公布的48%高出許多。在北美員工面臨與公司共體時艱而大幅減薪,而引發大辭職(Grand Resignation、亦稱Big Quit)勞工運動的情勢下,很可能讓員工鋌而走險,選擇被駭客收買。

 

【漏洞與修補】

CentOS伺服器遠端管理介面軟體存在漏洞,攻擊者可用於RCE攻擊

許多企業用於架設伺服器的CentOS作業系統,針對其開發的遠端管理介面軟體出現漏洞,有不少企業會曝露在相關風險之中。資安業者Octagon Networks發現,Linux伺服器網頁管理介面軟體Control Web Panel(CWP,原名CentOS Web Panel),存在檔案包含漏洞CVE-2021-45467,以及檔案寫入漏洞CVE-2021-45466,該業者指出,攻擊者一旦串連這2個漏洞,可在未經身分驗證的情況下,以root權限遠端執行命令。研究人員指出,從物聯網搜尋引擎Shodan和Censys執行搜尋,至少有10萬個CWP可透過網際網路存取。雖然CWP獲報後已修補上述漏洞,但研究人員指出,他們看到有人繞過漏洞並入侵一些伺服器。

即使紅帽改變CentOS的發布規畫,終止CentOS 8的支援,未來以提供測試版本CentOS Stream為主,但仍有不少企業使用CentOS,或是開始移轉到其他的衍生版本,上述漏洞帶來的影響可能相當廣泛。

可被未經授權人士存取SonicWall的VPN系統漏洞,已遭到利用

甫修補不到2個月的重大漏洞,已有攻擊者躍躍欲試的跡象。SonicWall於2021年12月,針對旗下的VPN產品Secure Mobile Access(SMA)修補CVE-2021-20038,一旦攻擊者利用這項漏洞,可透過nobody的帳號執行程式碼,該漏洞沒有安裝修補程式以外的緩解措施。但資安業者NCC Group於1月25日指出,有駭客鎖定尚未修補的SMA 100系列設備,最近幾天利用密碼潑灑的方式進行攻擊,他們呼籲用戶要儘速安裝修補程式。

 

【近期資安日報】

2022年1月24日,鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

2022年1月22日,WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

2022年1月21日,Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

2022年1月20日,臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

2022年1月19日,再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

2022年1月18日,數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement