網站內容管理平臺WordPress的外掛程式出現影響重大的漏洞,最近幾個月受到矚目,而這次是出現在網站備份工具上。研究人員發現備份外掛程式UpdraftPlus的嚴重漏洞,可讓僅有低權限的用戶取得網站的備份資料,進而影響網站安全。值得留意的是,WordPress強制網站更新這項外掛程式,來修補這項漏洞,這樣的做法相當不尋常,也突顯WordPress對於此漏洞相當重視。

過往駭客利用微軟Office 365服務的名義來發動網釣攻擊,企圖竊取收信人微軟帳號的情況,很可能是透過SharePoint或OneDrive檔案共享、Teams留言訊息來做為幌子,但最近也有駭宣稱以提供資料分析圖像化工具Power BI製作的業務報表,來進行網釣攻擊。而這樣的狀況,也突顯了可存取多種雲端服務的單一使用者帳號風險。

而透過新興程式語言開發的惡意軟體,也相當值得留意。例如,以Go語言開發的殭屍網路病毒Kraken,攻擊者以此可做為植入其他惡意軟體的管道,資安業者發現,經由這樣的模式,駭客每月至少可進帳3千美元的不法所得。

【攻擊與威脅】

駭客以資料分析圖像化工具Power BI為幌子發動網釣攻擊,意圖竊取微軟帳號

微軟提供的資料分析圖像化工具Power BI,近期也成為駭客騙取微軟帳號的幌子。郵件安全業者Cofense發現捏造Power BI通知的釣魚郵件攻擊,郵件內容以每週銷售報表的名義,引誘收信人上當。

一旦收信人點選檢視報表內容的連結,就會被出現假的微軟帳號登入網頁,若是依照指示輸入資料,不只帳密會遭到挾持,該網頁還會顯示身分驗證錯誤的訊息,研究人員指出,駭客這麼做的目的,在於降低收信人意識到帳密遭竊的警覺。

以Go語言開發的殭屍網路病毒Kraken,被用於散布竊密軟體RedLine

透過較新的程式語言開發惡意軟體,很有可能因發展迅速,而在開發階段就開始為駭客賺入不法所得。例如,資安業者ZeroFox自2021年10月開始,追蹤名為Kraken的殭屍網路病毒,駭客使用Go程式語言進行開發,鎖定Windows電腦而來。該病毒具備執行第二階段酬載,或是觸發Shell命令的能力,並能對於受害電腦進行螢幕截圖的功能,甚至可竊取受害者的加密貨幣錢包。攻擊者疑似透過惡意軟體SmokeLocker來散布Kraken,再藉其於受害電腦上植入RedLine等惡意軟體。研究人員指出,雖然Kraken仍在開發階段,但該殭屍網路每月已為駭客竊得約3千美元。

網釣簡訊攻擊鎖定英國數位銀行Monzo用戶而來

沒有實體門市的數位銀行,近年來日益風行,但同時也成為駭客下手的目標。資安研究員William Thomas於2月16日,揭露針對英國數位銀行Monzo用戶的網釣簡訊攻擊,一旦用戶點選連結,就會被帶往假的Monzo登入網頁,若是用戶依照指示輸入相關資料,駭客將會挾持對方的電子郵件信箱,並騙走Monzo的PIN碼、用戶姓名與電話號碼,有了這些資料,駭客就能透過另一隻手機接管受害者的Monzo戶頭。

針對這起攻擊行動,Monzo也提出警告,他們不會使用手機應用程式以外的管道(如手機簡訊)來向用戶發送通知,假如使用者不慎上當,應該立即重設密碼,並在Monzo與電子郵件帳號上啟用雙因素驗證(2FA)機制。

NFT市集OpenSea驚傳用戶資產遭竊,疑似網釣攻擊所致

非同質化代幣(NFT)的買賣當紅,交易平臺OpenSea卻傳出用戶NFT遭竊的情況。近期有多名用戶在推特反應,他們的OpenSea帳號疑似遭駭,導致其NFT被竊,很可能是OpenSea的數位合約存在漏洞所致。對此,OpenSea於2月20日宣稱,這些受害者疑似是遭到網路釣魚攻擊,而疑似簽署了駭客的數位合約所致,總共有32人受害,駭客轉賣竊得的NFT得手約170萬美元的以太幣,但攻擊者的身分仍然不明。

誰說BEC只透過電子郵件散播?美國警告濫用線上會議平臺進行的攻擊增加

因疫情迫使許多人遠距辦公,並透過視訊或電話會議向他人進行溝通,但駭客也看上這樣的趨勢,用來發動商業郵件詐騙(BEC)攻擊。美國聯邦調查局(FBI)近日發布公告指出,自2019年至2021年,接獲BEC詐騙事件增加,其中,多數涉及透過線上會議來行騙,對此,他們呼籲企業與員工要提高警覺。

這樣的詐騙方式是如何進行?例如,攻擊者藉由公司執行長(CEO)或財務長(CFO)的名義,在這種會議中指示員工進行匯款;或是駭客挾持員工的帳號,在會議進行過程來收集公司營運的資料。

 

【漏洞與修補】

WordPress網站備份外掛UpdraftPlus出現任意下載漏洞,攻擊者恐用來竊取網站機密

提供給管理者自動、定時備份WordPress網站檔案的外掛程式,出現可允許低權限用戶下載網站備份檔案的漏洞,有可能被攻擊者挖掘能用來挾持網站的資料。資安業者Jetpack揭露外掛程式UpdraftPlus的嚴重漏洞CVE-2022-0633,一旦攻擊者運用這項漏洞,將能透過訂閱網站資訊的用戶(Subscriber)權限,下載整個網站的備份檔案,進而從網站的資料庫裡,竊取特權帳號使用者名稱與加鹽密碼,藉此控制整個WordPress網站,CVSS風險層級為8.5分。

UpdraftPlus獲報後推出1.22.3及2.22.3版予以修補,WordPress亦於2月16日實施自動更新的計畫,為所有安裝此外掛程式的網站進行更新。從WordPress罕見強制用戶更新的情況來看,這漏洞影響程度算是相當嚴重。

 

近期資安日報

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement