資安業者Sophos提出警告,他們針對中國駭客入侵網路設備挖掘零時差漏洞的情況進行超過5年的調查,結果發現,有多組人馬利用相關成果從事後續攻擊行動
今年8月、9月,資安業者Team Cymru及Sekoia針對殭屍網路Quad7的攻擊行動提出警告,指出駭客鎖定TP-Link、兆勤(Zyxel)、華碩、Ruckus等廠牌的網路設備而來,最近有新的調查結果出爐,發動攻擊的駭客可能與中國有關。
10月31日微軟發布調查報告指出,他們從2023年8月開始,發現有客戶遭到入侵的情況,而這些資安事故的共通點,在於駭客成功竊得帳密資料,而能夠在高度迴避偵測的情況下,進行密碼潑灑(password spray)攻擊,研究人員循線找到遭駭裝置組成的殭屍網路,並指出中國駭客Storm-0940使用該殭屍網路竊得的帳密資料。
研究人員指出,這個殭屍網路由SOHO路由器組成,其中又以TP-Link的網路設備占大多數,根據他們的調查,經營該殭屍網路的人士很可能位於中國,並透過路由器的漏洞而能夠遠端執行程式碼進行相關攻擊,而且,有多組中國駭客使用該殭屍網路竊得的帳密資料,其中一組人馬就是自2021年開始活躍的Storm-0940。
北韓駭客Andariel傳出與勒索軟體Play狼狽為奸
國家級駭客彼此互通有無,交換戰術及共享惡意程式的情況相當常見,但如今有國家級駭客與網路犯罪生態圈打交道的情況,引起研究人員的注意。
資安業者Palo Alto Networks表示,他們確認匿稱為Onyx Sleet、Jumpy Pisces的北韓駭客組織Andariel,參與了近期的勒索軟體Play攻擊行動,這樣的情況代表該組織的策略出現變化,針對這樣的現象,研究人員指出,此為這批人馬首度運用現有的勒索軟體基礎設施情況,後續動態相當值得留意。
針對這樣的現象,研究人員推測,很有可能Andariel部分派系正與經營勒索軟體Play的駭客團體Fiddle Scorpius進行合作,有可能是成為Play旗下的附屬組織,或是擔任初始入侵掮客(Initial Access Broker,IAB)的角色。
勒索軟體Black Basta透過微軟Teams進行社交工程攻擊
今年勒索軟體駭客Black Basta的動作頻頻,其中發生在今年5月的美國大型醫療照護系統Ascension事故最為受到關注,美國網路安全暨基礎設施安全局(CISA)與聯邦調查局(FBI)當時特別提出警告,如今這群駭客也結合社交工程手法,引誘使用者上當,從而入侵企業組織的內部網路環境從事後續攻擊行動。
資安業者ReliaQuest指出,他們在10月下旬看到駭客使用的戰術、手段、流程(TTP)出現顯著的變化。首先,發動大規模垃圾郵件攻擊後,上鉤的使用者就會被引至與特定微軟Teams用戶交談,攻擊者通常會透過貌似微軟技術支援人員、管理者、服務臺成員的Entra ID帳號登入微軟Teams,而且在Teams用戶身分顯示沿用這些名稱,使一般人誤以為他們是微軟的這些工作人員,而且,駭客通常會將帳號的顯示名稱設置為含有Help Desk的字串,聊天室的名稱多半是OneOnOne。
Teams群組裡面會發生什麼事?對方試圖引誘目標用戶使用QuickAssist尋求支援,但也有使用AnyDesk的情況,此外,駭客會在Teams對話提供偽造合法品牌的QR Code條碼,但這些條碼的用途目前仍不清楚。研究人員推測,攻擊者有意藉此引誘使用者存取惡意基礎設施。
勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來,意圖入侵企業網路環境
9月初資安業者SonicWall針對防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766(CVSS風險評分為9.3),表明他們掌握這項漏洞有實際攻擊行動出現,資安業者Arctic Wolf也觀察到相關資安事故,如今他們公布更多調查結果。
10月24日Arctic Wolf表示,他們最早是在8月初察覺勒索軟體Akira及Fog的攻擊行動顯著增加的情況,而且,駭客初期入侵受害組織環境的管道,就是利用SonicWall防火牆設備的SSL VPN帳號。
截至10月中旬,駭客已發起約30起攻擊行動,這些資安事故當中,約有四分之三與Akira有關,其餘則是被植入Fog。研究人員提及,駭客從入侵到加密檔案的時間並不長,大部分接近10個小時,但最短的僅有1.5至2個小時。
其他攻擊與威脅
◆大規模攻擊行動EmeraldWhale掃描曝露的Git組態,竊得1.5萬組雲端帳密資料
◆惡意廣告透過臉書轉傳,意圖散布竊資軟體SYS01stealer
◆PTZ視訊鏡頭重大層級的零時差漏洞遭到鎖定
其他漏洞與修補
◆研究人員利用十六進位編碼、表情符號,繞過ChatGPT-4o防護措施
◆AMD與Intel處理器出現新的Spectre攻擊手法
【資安產業動態】
微軟首度提供Windows 10個人用戶延伸安全更新,1年要價30美元
Windows 10即將在2025年10月14日終止支援,對此,微軟本周宣布將對於Windows 10個人用戶提供為期1年的延伸安全更新(Extended Security Update,ESU),費用是30美元,而這是該公司首度對一般消費者開放ESU服務。此外,他們本月起開放企業和教育用戶購買。
微軟在多年前就已公布Windows 10的安全更新終止日期,並表示屆時Windows 10電腦將再也無法接收到安全更新,對此,一直以來微軟鼓勵企業用戶及消費者升級到Windows 11,並呼籲硬體規格不足的用戶購買新電腦因應。
由於為數眾多的PC用戶仍然停留在Windows 10,微軟於今年4月對企業及教育客戶公布ESU價格,並在本週公布個人版解決方案,但值得留意的是,個人版僅能購買1年,而企業用戶最多可取得3年服務。
近期資安日報
【10月30日】竊資軟體RedLine遭到執法單位查封
【10月29日】中國駭客開發專偷雲端資料的惡意軟體工具包並用於實際攻擊行動
【10月28日】上周四勒索軟體RansomHub聲稱攻擊臺灣被動元件製造廠
