研究人員揭露新出現的勒索軟體駭客組織Mad Liberator,並指出這些駭客的作案手法相當特別,他們企圖讓電腦顯示Microsoft Update更新畫面的假象,讓使用者誤以為電腦正在更新而無法使用
資安業者Sophos揭露從今年7月中旬出沒的勒索軟體駭客組織Mad Liberator,並指出這些駭客雖然在部分攻擊行動可能會加密受害電腦檔案,然後進行雙重勒索,要脅若不付錢,他們就會外流竊得的資料,但根據研究人員自己的觀察,這些駭客主要偏重於資料外洩,幾乎沒有看到使用勒索軟體加密檔案的事故。
在其中一起資安故裡,這些駭客透過社交工程手法取得受害組織的網路存取權限,然後透過遠端桌面軟體AnyDesk發出連線請求,待用戶授權而能存取目標主機,但究竟駭客如何尋找下手目標,研究人員表示不清楚。
一旦成功建立連線,攻擊者就會傳送名為Microsoft Windows Update的執行檔並開啟。而這個程式的作用,就是模仿作業系統更新的畫面,讓使用者誤以為電腦正在安裝更新程式。正當用戶以為電腦在執行系統更新作業的時候,駭客透過AnyDesk進行遠端存取,先是存取受害者的OneDrive帳號、網路共享資料夾,然後藉由AnyDesk的檔案傳輸功能將偷到的資料外流,並留下勒索訊息。
豐田美國分公司遭駭客公布個資與機敏資料
根據資安新聞網站Bleeping Computer報導,名為ZeroSevenGroup的駭客組織在地下論壇公開宣稱是竊自豐田汽車美國分公司的資料240 GB,這些資料包含員工和客戶聯絡資料、合約、財務、相片、電子郵件、資料庫、以及網路基礎架構等。駭客提供開源工具AD-Recon,供買家檢視需要密碼的網路資料。
豐田汽車向媒體證實確有此事。但表示受影響的範圍有限,並非全系統問題。對此,豐田汽車已聯繫受影響人士,至於有多少人受影響,以及豐田何時發現事件、及攻擊者如何駭入公司網路,他們並未進一步說明。
航班追蹤平臺FlightAware證實外洩用戶資料
專門提供全球飛機航班追蹤服務的FlightAware本周對外證實,因配置錯誤而外洩了該平臺用戶的個資,包括使用者名稱、密碼與電子郵件帳戶,或許還包括其它更詳細的個人資訊。
FlightAware向受影響的用戶表示,該平臺是在今年7月25日發現系統配置錯誤,造成帳戶資訊外洩,除了使用者名稱、密碼與電子郵件帳戶之外,也包括可能姓名、帳單地址、收貨地址、IP位址、社群媒體帳戶、電話號碼、出生年份、信用卡號末4碼、所擁有的飛機資訊、產業、頭銜、是否為駕駛員,以及帳戶活動狀態。
此外,FlightAware也通知加州的總檢察長辦公室,指出此錯誤自2021年1月即存在迄今,但並未說明有多少人受到影響。
北韓駭客Lazarus利用驅動程式零時差漏洞提權,並透過惡意程式匿蹤
微軟在8月例行更新修補零時差漏洞CVE-2024-38193,此漏洞發生在WinSock的輔助功能驅動程式(Ancillary Function Driver,AFD.sys),CVSS風險評分為7.8,該公司指出,此漏洞已被利用。上週通報此事的資安業者Gen Digital透露,2個月前北韓駭客組織Lazarus已將其用於攻擊行動。
研究人員指出,他們在6月看到駭客利用這項漏洞的情況,而能在未經授權的情況下存取敏感系統區域,為了隱匿攻擊行動,過程中駭客使用名為Fudmodule的惡意軟體。
安全機制繞過漏洞Copy2Pwn成形,已用於散布惡意程式DarkGate
上週微軟發布本月例行更新,總共公布10個零時差漏洞,其中1個是出現在Microsoft Defender SmartScreen的CVE-2024-38213(CVSS風險評為6.5分),通報此漏洞的漏洞懸賞專案Zero Day Initiative(ZDI)最近公布細節,並將這項漏洞命名為Copy2Pwn。值得留意的是,微軟實際上在6月進行修補,但到了8月才公諸於世。
這項漏洞之所以能夠發現,源於ZDI研究人員今年3月追蹤惡意軟體DarkGate攻擊行動,駭客藉由複製貼上的方式感染受害電腦,而且,不僅利用2月公布的零時差漏洞CVE-2024-21412,還能在繞過SmartScreen防護機制的情況下,從WebDAV共享資料夾複製檔案到受害電腦。
其他攻擊與威脅
◆駭客透過惡意廣告冒充數十種Google產品,意圖對Windows、macOS用戶發動技術支援詐騙
◆駭客運用Xeon Sender Tool鎖定雲端服務API下手,發動大規模釣魚簡訊攻擊
◆數千個Oracle雲端ERP系統NetSuite組態配置不當,曝露客戶敏感資料
◆以色列、亞塞拜然外交官遭鎖定,攻擊者意圖散布惡意程式ABCloader
【漏洞與修補】
SolarWinds修補服務臺系統重大層級漏洞
8月13日SolarWinds發布資安公告,旗下IT服務臺系統Web Help Desk(WHD)存在重大層級漏洞CVE-2024-28986,此為Java反序列化弱點,攻擊者有機會遠端執行任意程式碼,CVSS風險評分為9.8,影響所有版本的WHD,對此,該公司發布12.8.3 Hotfix 1更新軟體修補。
通報這項漏洞的研究人員指出,這項漏洞攻擊者可在未經身分驗證的情況下利用,不過,SolarWinds表示只能在通過身分驗證的狀態下重現漏洞。但為求謹慎,他們還是呼籲所有IT人員儘速套用相關更新。
其他漏洞與修補
◆Google宣布8月底終止抓漏獎勵計畫,理由是安卓應用程式漏洞減少
近期資安日報
【8月19日】Google Pixel驚傳內建具有高度權限的第三方元件
【8月16日】美國總統大選兩大陣營遭伊朗駭客APT42鎖定,駭客進行目標式攻擊
【8月15日】全臺首個專門針對詐騙防治與數位安全議題的非政府組織「臺灣數位信任協會」正式成立
