又是鎖定臺灣廠商的供應鏈攻擊行動!有研究人員發現,北韓駭客組織針對訊連科技的軟體更新基礎設施下手,上傳了帶有惡意模組的安裝程式,已有超過100臺電腦受害
資安業者Hudson Rock指出,他們近期看到打造竊資軟體Lumma(亦稱LummaC2)的開發人員標榜特殊攻擊伎倆,這些駭客表示,能從受害電腦竊取與Google服務有關的cookie,之後再進行濫用,並強調使用者就算更換密碼,這類cookie仍然有效,不會過期或是遭到撤銷。
資安新聞網站Bleeping Computer指出,該惡意軟體的經營者在11月14日提供新功能,讓買家能透過金鑰復原已經失效的cookie,此功能僅適用Google帳號,且由於該金鑰只能使用2次,因此,買家僅有一次復原cookie的機會,不過,倘若賣家標榜功能確實存在,足以對企業組織造成嚴重威脅。此外,這項特殊新功能也並非人人可用,經營者只提供每個月付費1千美元的企業訂閱方案用戶。
上述的功能,雖然未得到研究人員或是Google的驗證,但這種挾持受害者Google帳號的能力,似乎並非特例,傳出有其他駭客掌握類似技術。
因為,事隔3天之後,另一名研究人員g0njxa發現,經營竊資軟體Rhadamanthys的駭客也宣稱提供類似的功能,所以,上述Bleeping Computer取得Lumma開發者的說法,很有可能是競爭對手從他們的竊資軟體複製而得。
1. https://www.linkedin.com/posts/alon-gal-utb_an-upcoming-update-to-lumma-infostealer-is-activity-7128433924380213248-hcEG/
2. https://www.linkedin.com/posts/alon-gal-utb_infostealer-cybercrime-activity-7129468853574598656-gboo/
3. https://twitter.com/g0njxa/status/1725486960750284847
研究人員揭露繞過筆電Windows Hello指紋驗證機制的手法,多個廠牌的電腦曝險
採用生物辨識技術來強化身分安全,如今相當常見,然而,仍有可能攻擊者會找出旁門左道,從而繞過這類身分驗證機制。威脅情報業者Blackwing Intelligence揭露在Windows筆電上發現的指紋辨識器弱點,從而繞過Windows Hello的身分驗證機制。
研究人員在今年10月下旬微軟舉辦的資安會議BlueHat,首度展示成果,並利用微軟Surface Pro X、聯想ThinkPad T14、Dell Inspiron 15進行驗證。這些筆電搭配的指紋感應器,分別由ELAN、Synaptics、Goodix製造,都具備「於晶片進行辨識(Match on Chip,MOC)」的感應器,以提供較為嚴謹的指紋比對流程,微軟也開發安全設備連線協定(SDCP),防範指紋辨識器與筆電之間的中間人攻擊(MitM),按理來說,應該無機可乘。
但研究人員透過逆向工程,發現感測器實作的缺陷,從而突破上述的防護機制,他們利用自製的Raspberry Pi 4裝置進行中間人攻擊,從而成功達到目的。
惡意軟體DarkGate及PikaBot透過網釣攻擊散布,攻擊者很可能是曾經利用QBot的駭客
8月惡意軟體QBot遭到歐美多個執法單位圍勦,清除70萬臺電腦上的惡意程式,沒收860萬美元加密貨幣,但這些駭客近期有東山再起的跡象。
電子郵件安全業者Cofense指出,他們分析了近期的惡意軟體DarkGate和PikaBot攻擊行動,發現攻擊者所發起的網路釣魚攻擊策略,與使用QBot的駭客相同,這些共通點包含:使用電子郵件回覆串來進行初期感染、具備獨有特徵的URL限制使用者存取,將惡意軟體傳送到受害電腦的方式也幾乎雷同。研究人員推測,這一波惡意軟體的攻擊者身分,就是原本使用QBot的駭客。
究竟駭客如何掌握特定的電子郵件,以便用於攻擊?研究人員推測,很有可能是透過ProxyLogon漏洞(CVE-2021-26855,CVSS風險評分9.8)入侵Exchange伺服器來達成目的。值得留意的是,駭客於受害電腦部署惡意軟體的手法,大部分是利用JavaScript Dropper,但也有透過Excel-DNA Loader,以及VBS或LNK下載工具的情況。
透過將1GB資料壓縮為6KB的ZPAQ檔案突破防毒軟體上限,Agent Tesla散布竊資軟體
防毒業者G Data揭露最新一波的竊資軟體Agent Tesla攻擊行動,其特殊之處在於駭客利用ZPAQ格式的壓縮檔來散布惡意軟體。
在其中一起攻擊行動裡,駭客寄送帶有Purchase Order pdf.zpaq附件的釣魚郵件,研究人員使用命令列進行解壓縮,結果這個僅有6 KB的壓縮檔,解開之後,竟是一個1 GB的大型檔案,原因很可能是駭客想要突破防毒軟體掃描檔案的大小上限。一旦電腦感染該竊資軟體,此惡意程式就會與架設於Telegram的C2進行連線,然後進行竊取機密資料的工作。
值得留意的是,支援這種格式的壓縮軟體並不多,但為何駭客要採用?研究人員認為,很有可能是因為相較於常見的ZIP、RAR格式,ZPAQ檔案更小,且有可能被防毒軟體放行。
攻擊行動ClearFake鎖定Mac電腦用戶,散布竊資軟體Atomic Stealer
資安業者Malwarebytes揭露新一波的惡意軟體攻擊行動ClearFake,駭客先是入侵WordPress網站,假借瀏覽器更新的名義來散布惡意程式。這起攻擊行動大約從8月出現,當時針對Windows使用者而來,但11月17日研究人員Ankit Anubhav提出警告,駭客的攻擊範圍如今也擴及Mac電腦的用戶,散布竊資軟體Atomic Stealer。
該資安業者進一步調查指出,對方製作冒牌的蘋果、Google網站,聲稱提供Safari 17.1更新檔案,或是要求使用者更新Chrome才能存取網站的內容,一旦使用者依照指示操作,電腦就有可能被植入竊資軟體。
中石化遭受網路攻擊事件
11月20日中國石油化學工業開發(中石化)於股市公開觀測站發布重大訊息,表示該公司遭遇網路攻擊,資安團隊察覺異狀即啟動相關防禦機制,並委請外部資安業者、技術專家共同處理,通報相關執法機關。而對於營運是否造成衝擊,該公司初步評估尚無重大影響。
【資安防禦措施】
為防範SIM卡挾持攻擊,美國FCC對電信業者祭出新規定
為了防範民眾遭遇SIM卡挾持(SIM Swapping)攻擊,11月15日美國聯邦通訊委員會(FCC)針對電信業者祭出新的規定,當中提及客戶專屬的網路資訊(Customer Proprietary Network Information,CPNI)、市話可攜( Local Number Portability,LNP)的部分,要求電信業者將客戶的電話號碼移轉至新裝置或是新的電信業者,必須採用嚴謹的方式來驗證客戶身分,例如。立即通知用戶,並採取額外的防護措施,來防堵這類攻擊行動。
