【資安日報】5月2日,Docker Hub遭濫用,被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成
· 2024-05-02

研究人員提出警告,駭客不光濫用Docker Hub映像檔儲存庫對Kubernetes環境發動攻擊,也將其進一步用來從事網路釣魚攻擊,或是散布惡意軟體

攻擊者濫用Docker Hub映像檔儲存庫的情況,最常見的手法是上傳帶有惡意元件的映像檔,再從目標Kubernetes環境拉取,而能於受害系統植入惡意程式,從事相關攻擊。但也有其他駭客以不同方式濫用這種儲存庫,其手法的共通點,就是沒有上傳Docker映像檔。

資安業者JFrog揭露濫用映像檔儲存庫Docker Hub的攻擊行動,就屬於這種例子。研究人員發現這波攻擊行動的原因,在於他們找到近460萬個並未包含Docker映像檔的儲存庫,研究人員進一步清查,結果發約有281萬個被用於攻擊行動,占全部的18.7%,換言之,平均每6個Docker Hub儲存庫就有1個被用於惡意行為。

這些遭到濫用的Docker Hub儲存庫,大致上攻擊者將其用於3種類型的攻擊,其中大部分是被用於聲稱提供盜版軟體、遊戲作弊程式下載器(Downloader)的惡意軟體攻擊,有1,453,228個,占整體儲存庫的9.7%;其次是佯稱提供電子書的網路釣魚攻擊(eBook Phishing),有1,069,160個儲存庫被用來從事這類攻擊,占整體的7.1%。

從雲端服務下載檔案要小心!惡意軟體Latrodectus透過多次回覆釣魚信夾雜此類誘餌,並搭配冒牌Cloudflare圖靈驗證降低心防

研究人員ProxyLife與Cryptolaemus指出,攻擊者藉由回信互動型的網釣郵件(reply-chain phishing emails)來散布惡意程式Latrodectus,當中通常會含有PDF附件或是URL,一旦收信人依照指示開啟附件,或是點選URL,就有可能看到檔案存放於微軟Azure雲端空間的訊息。

若是點選下載文件檔案的按鈕,收信人就會被導向偽造的Cloudflare圖靈驗證流程,要求解開簡單的數學問題。研究人員指出,駭客這麼做的目的,就是為了迴避資安系統的偵測。

值得留意的是,一旦收信人輸入正確答案,電腦就會自動下載經重度混淆處理的JavaScript指令碼,執行後將從特定URL下載MSI安裝檔,於受害電腦植入DLL程式庫Latrodectus,並透過rundll32.exe載入,在後臺運作,等待接收惡意酬載或是攻擊者的命令。

惡意程式Cuttlefish鎖定小型路由器而來,企圖透過監控流量盜取帳密資料

資安業者Lumen揭露專門針對家用及小型辦公室路由器而來的惡意程式Cuttlefish,主要用途是從區域網路(LAN)流量發出的請求當中,挖掘帳密及各式身分驗證資料,但也能用於DNS及HTTP挾持,讓攻擊者存取受害組織的內部網路環境。

研究人員指出,此惡意軟體還能透過零點擊攻擊的能力,藉由網路邊際設備擷取使用者及裝置的資料,並會透過被動的狀態嗅探封包,而且只有在符合駭客事先定義的環境條件下,才會啟動進行相關工作。Cuttlefish採用的封包探測器主要功能,就是在挖掘身分驗證資料,特別針對公有雲服務而來。

安卓惡意程式Wpeeper利用已遭入侵的WordPress網站接收攻擊命令

中國資安業者奇安信揭露惡意軟體Wpeeper的攻擊行動,此為鎖定安卓作業系統的後門程式,攻擊者可藉此收集受害裝置的系統資訊,並且進行檔案管理、上傳、下載,甚至可執行特定命令。

但這款惡意軟體引起研究人員關注的地方在於,攻擊者在網路基礎設施上的規畫相當特別。首先,對方透過遭到入侵的WordPress網站,建立透過多個層次進行通訊的C2架構,企圖遮掩真正的C2伺服器位置。

再者,他們利用連線階段(Session)的欄位來區分請求,並透過HTTPS加密通訊協定來保護攻擊流量。而對於C2發出的命令,攻擊者也透過AES演算法處理。

其他攻擊與威脅

針對俄羅斯駭客接連攻擊水力設施工控系統的現象,美國政府提出警告

美國證實去年底修補的GitLab危急漏洞CVE-2023-7028已出現攻擊行動

駭客組織Muddling Meerkat利用中國長城防火牆操縱DNS

美國健康保險巨擘UnitedHealth坦承選擇低頭,向駭客支付贖金

 

【漏洞與修補】

程式語言R編譯過程存在高風險漏洞,恐導致供應鏈攻擊

專精AI應用程式安全的資安業者HiddenLayer指出,程式語言R存在高風險漏洞CVE-2024-27322,此為反序列化(deserialization)瑕疵,可透過載入R資料序列(R Data Serialization,RDS)檔案、R套件來觸發,一旦攻擊者利用上述漏洞,就有機會執行任意程式碼,甚至有機會造成供應鏈攻擊,CVSS風險評分為8.8。對此,開發團隊推出4.4.0版予以修補。

研究人員表示,這項漏洞牽涉R程式序列化及反序列化的過程。該程式語言在反序列化狀態下,載入RDS檔案或是套件時,因R語言支援惰性求值(Lazy Evaluation)的特性,未能及時檢查Promise物件相關參數造成。一旦攻擊者能覆寫RDX或RDB檔案,就機有會發動供應鏈攻擊。

其他漏洞與修補

美國國稅局傳出系統漏洞,恐導致財務報表不準確

 

【資安防禦措施】

英國擬禁止特定物聯網裝置採用預設密碼

4月29日英國的《產品安全暨電信基礎設施法案(Product Security and Telecommunications Infrastructure Act,PSTI Act)》正式生效,當中規定物聯網裝置(IoT)最低安全標準,其中一項就是不得使用容易猜測或是在網路上可找到的預設密碼,而這是全球首度針對這類密碼進行規範的法令。

這項法案要求物聯網裝置製造商必須遵守最低要求,除不得採用容易猜到的密碼,也明定要提供客戶窗口來受理及處理資安問題,再者,該法案也要求製造商及零售業者,必須公布產品能夠收到重要安全更新的最短時間。

 

近期資安日報

【4月30日】安卓金融木馬Brokewell透過冒牌Chrome更新網頁散布

【4月29日】互動式BI系統Qlik Sense危急漏洞遭到鎖定,對方利用勒索軟體Cactus發動攻擊

【4月26日】駭客鎖定網管人員散布後門程式MadMxShell,意圖取得入侵企業組織的管道

熱門文章
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
GAT Expo Puerto Rico Will Pulse with the New Era of Gaming in the Caribbean
Marketing
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
What’s on the SBC Summit Conference Agenda in 2026?
Marketing
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
British gambling levy rates confirmed for each vertical
Regulation
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
Kazakhstan plans to penalise online casino promotions
Regulation
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
Institutional Academy that exceeded expectations marked the opening of GAT CDMX
Online Game
首頁
遊戲
合作
發現
我的