俄羅斯總統普丁自2月24日下令對烏克蘭出兵,兩國之間的武裝衝突便成為本週末全球觀注的焦點。但在此同時,俄羅斯與烏克蘭之間的網路攻防戰仍舊持續,甚至傳出烏克蘭政府向駭客招手,號召有志之士攻擊俄羅斯的關鍵基礎設施。

這場戰爭引起的效應可說是相當廣泛,一如許多國家和企業揚言抵制俄羅斯,多個駭客組織開始表態他們支持的國家。較早發聲的是匿名者(Anonymous),但比較特別的是,勒索軟體駭客Conti表明力挺俄羅斯政府,而使得成員近期的對話內容疑似遭烏克蘭人士公布。

而在俄烏戰爭之外,汽車大廠Toyota的供應鏈攻擊事故也相當值得留意,他們疑似因汽車內裝供應商遭駭,而決定日本14座工廠於3月1日停工。但由於時機過於敏感,許多人認為很可能是俄羅斯的駭客出手,報復日本的經濟制裁。

【攻擊與威脅】

針對俄羅斯對烏克蘭出兵,匿名者、Conti等駭客組織選邊站

俄羅斯2月24日出兵烏克蘭,多個駭客組織積極為支持的國家表態,且已有網路攻擊行動。例如,駭客組織匿名者(Anonymous)揚言將對俄羅斯政府下手;而根據資安新聞網站Bleeping Computer的報導,駭客論壇Raidforums封鎖來自俄羅斯的用戶,且有人上傳一份宣稱是俄羅斯聯邦安全局(FSB)資料庫,內容是電子郵件帳號與加鹽密碼,警告俄羅斯政府的意味濃厚。

勒索軟體駭客組織Conti、CoomingProject,則是聲援俄羅斯政府。不過,Conti在表態的1個小時後改變說法,表示他們不與政府單位結盟,但還是會對西方國家攻擊俄羅斯關鍵基礎設施的行動有所回應。

勒索軟體Conti內部機密外洩,起因是表態支持俄羅斯

在俄羅斯對烏克蘭發動武裝攻擊後,勒索軟體駭客組織Conti表態聲援俄羅斯,但不久之後疑似遭到烏克蘭人士起底。根據資安新聞網站Bleeping ComputerRecorded Future的報導指出,一名烏克蘭人士取得了6萬多筆Conti成員的對話內容,並向多個新聞網站發送,經威脅情報業者Advanced Intelligence(AdvIntel)、資安業者Hold Security與Trellix確認,這些資料是從Conti所使用的即時通訊系統Jabber挖掘而得。根據這些被洩露的資料,也證實先前資安人員對於該駭客組織的調查確有其事,例如,Conti與惡意軟體TrickBot、Emotet之間的關係,以及殭屍網路TrickBot日前遭到關閉等。

但對於洩露相關資料的人士身分,目前有兩派說法,Bleeping Computer、The Verge根據Hold Security的說法,認為是烏克蘭資安人員入侵Conti取得;而Recorded Future則認為是親烏克蘭的Conti成員洩露。但無論外洩的來源為何,研究人員指出,這些資料將有助於執法單位圍剿Conti。

烏克蘭招募IT軍隊,鎖定俄羅斯31個關鍵基礎設施發動網路攻擊

俄羅斯出兵烏克蘭之後,烏克蘭疑似打算透過網路攻擊還以顏色。烏克蘭數位轉型部部長Mykhaylo Fedorov,於2月26日在網路上徵求自願的資安人員或是駭客,想要組織IT軍隊,針對俄羅斯31個關鍵基礎設施(CI)下手,這些包含了俄羅斯政府機關的IP位址、網路儲存裝置、郵件伺服器,以及3家銀行、當地大型搜尋引擎業者Yandex等。

根據網路流量分析業者NetBlock指出,克里姆林宮、下議院(State Duma)、國防部等俄羅斯政府單位的網站,同日疑似遭到分散式阻斷服務(DDoS)攻擊而離線。而這是在傳出烏克蘭國防部與資安業者Cyber Unit Technologies合作,在駭客論壇招募保護該國關鍵基礎設施的志士後,烏克蘭新一波的網路攻擊行動。

白俄羅斯駭客鎖定烏克蘭武裝部隊,發動網路釣魚攻擊

俄烏開戰,傳出白俄羅斯駭客疑似對烏克蘭士兵發動網路釣魚攻擊的現象。烏克蘭電腦緊急因應小組(CERT-UA)於2月25日提出警告,白俄羅斯駭客組織UNC1151鎖定烏克蘭武裝部隊的成員發動釣魚郵件攻擊,駭客發送帶有釣魚網站URL的信件,以要求郵件信箱帳號所有者的身分驗證為由,騙取帳密資料,並要脅收信人若不依照指示操作,帳號將會被永久停用。一旦收信人上當,駭客還會透過受害者的通訊錄來散布釣魚郵件。

但與這場武裝衝突相關的網路釣魚攻擊行動,不光是針對軍隊而來,例如,烏克蘭國家特別通訊暨資訊保護局(SSSCIP)與資安業者ESET,先後發現針對烏克蘭民眾、向烏克蘭組織捐款的人士下手的網釣攻擊。

惡意軟體FoxBlade於俄烏戰爭爆發前夕,攻擊烏克蘭軍事單位與政府機構

針對烏克蘭政府機關的網路攻擊,直到俄羅斯的武裝行動之前,仍接連出現。微軟宣稱於2月24日俄羅斯發射飛彈的幾個小時前,偵測到針對烏克蘭基礎架構的破壞性網路攻擊,其中,駭客運用名為FoxBlade的木馬程式,鎖定該國軍事單位、政府機構下手,受感染的電腦會被殭屍網路控制,用於發動分散式阻斷服務(DDoS)攻擊。該公司已向烏克蘭政府通報,並將FoxBlade的特徵碼加入防毒軟體Micorosoft Defender。

汽車大廠Toyota宣布日本14家工廠停工,起因疑似零件供應商遭到網路攻擊

汽車大廠因零件供應商遭駭,面臨車輛生產雪上加霜的情況。日本汽車大廠豐田於2月28日發布公告表示,他們因零件供應商小島工業(Kojima Industries)系統故障,決定自3月1日開始,關閉日本14家工廠、暫停共28條生產線的運作。豐田旗下的商用車公司日野(Hino),也同樣宣布將於3月1日關閉2家工廠的營運。隨後豐田於3月1日中午宣布,3月2日日本工廠將恢復正常運作。

但這起事故發生的時機相當敏感,因為俄羅斯對烏克蘭出兵後,許多國家相繼對俄羅斯祭出制裁,有些人對於Toyota這起事故發生的原因,認為很可能是俄羅斯進行報復。對此,日本首相岸田文雄表示,政府正在了解整起事故,目前尚未發現與俄羅斯有關的跡象。

Nvidia遭網路攻擊,透過對駭客掌握的電腦進行加密來反制

GPU大廠Nvidia於2月25日,證實遭到網路攻擊,暗網情資業者DarkTracer、資安研究員Soufiane Tahiri發現,疑似是勒索軟體Lapsus$所為,駭客宣稱竊得員工密碼與NLTM密碼雜湊,並揚言要公布1 TB資料,但事隔2天有了新的發展。

資安業者Emsisoft研究員Brett Callow於2月27日指出,該駭客組織指控Nvidia對他們發動攻擊,將虛擬機器(VM)裡面的資料進行加密,不過駭客因已備份相關資料,而不受加密影響。

保險集團怡安驚傳遭到網路攻擊

因資安險的崛起,保險業者近年來被駭客鎖定的情況,也有數起事故,而最近又有業者成為受害者。根據資安新聞網站Bleeping Computer的報導,跨國保險集團怡安(Aon)向美國證券交易委員會(SEC)通報,他們於2月25日遭到網路攻擊,部分系統受到波及,但對於營運沒有造成影響。但除此之外,怡安並未透露進一步細節。

 

近期資安日報

【2022年2月25日】  SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement