研究人員揭露最近的Agent Tesla攻擊行動,駭客觸發此惡意軟體的手法,竟是利用老舊的漏洞CVE-2017-11882、CVE-2018-0802
資安業者Fortinet揭露最近一波的惡意軟體Agent Tesla攻擊行動,駭客先是透過釣魚郵件挾帶含有惡意Excel檔案,特別之處在於,該試算表檔案採用物件連結與嵌入(OLE)的格式,帶有偽造的方程式資料,但當中並未繼續透過巨集滲透與竄改系統,而是利用兩個5年前的漏洞CVE-2017-11882、CVE-2018-0802(CVSS風險評分皆為7.8)進行後續攻擊行動。一旦收信人依照指示開啟上述的Excel檔案,就有可能觸發漏洞,從而導致方程式編輯器(EQNEDT32.EXE)處理程序發生了記憶體中斷的現象,使得攻擊者能透過處理程序挖空(Process Hollowing)手法,執行任意程式碼,然後透過Shell Code下載、執行Agent Tesla。
根據研究人員的觀察,他們每天看到約1,300臺存在上述弱點的電腦遭到鎖定,並出現3,000起攻擊行動。
英國國防機密資料恐遭俄羅斯駭客組織LockBit存取,起因是合作廠商遭到入侵
9月1日英國柵欄設備製造商Zaun發布資安通告,證實他們於8月5日至6日遭遇勒索軟體LockBit攻擊,駭客透過其中一臺用於製造產品的Windows 7電腦入侵,並竊得約10 GB的資料,占該公司總資料量的0.74%。所幸該公司的資安防護措施奏效,阻止伺服器檔案遭到加密,事發後他們也將上述遭到攻擊的電腦移除。該公司認為,駭客有可能已經取得部分電子郵件、訂單、設計圖、專案資料,並將其流入暗網,但強調機密資料並未出現外洩的跡象。
但根據當地媒體Mirror的報導,由於英國的軍事要塞採用該公司的產品,駭客流出的數千頁資料,有可能讓犯罪分子入侵克萊德海軍核子潛艇基地(HMNB Clyde)、化學武器實驗室Porton Down、政府通訊總部(GCHQ)。英國下議院國防特別委員會委員Kevan Jones認為,這起資安事故很可能對該國最敏感的軍事機構造成危害,政府必須對該公司IT系統防護不佳的情況提出說明。
該媒體指出,外洩文件包含了GCHQ的銷售訂單,以及皇家空軍基地RAF Waddington、電子作戰兵團第十四信號團(14th Signal Regiment)駐紮的考德軍營安全設施。不願具名的資安專家認為,這起事故對英國的國家安全基礎設施帶來毀滅性的打擊。
1. https://www.zaun.co.uk/zaun-data-breach-update/
2. https://www.mirror.co.uk/news/uk-news/russia-linked-hackers-hit-uk-30850139
惡意軟體Kinsing鎖定Openfire漏洞而來
上個月資安業者VulCheck提出警告,超過3千臺開源即時通訊系統Openfire存在路徑穿越漏洞CVE-2023-32315(CVSS風險評分為8.6),如今有惡意軟體鎖定這項漏洞發起大規模攻擊行動。資安業者Aqua Security揭露惡意軟體Kinsing近期的攻擊行動,駭客在不到兩個月的時間,藉由上述高風險漏洞發動超過1千起攻擊,於目標伺服器部署該惡意程式與挖礦軟體,其中最常見的手法,是在伺服器上部署Web Shell,然後以此下載Kinsing及挖礦程式。
駭客先是利用漏洞建立新的管理員帳號,上傳名為cmd.jsp的外掛程式,之後攻擊者持續存取Openfire的主控臺並通過身分驗證,進而得到完整的存取權限,控制應用程式與伺服器主機。接著駭客利用ZIP壓縮檔上傳滲透測試工具Metasploit,觸發前述的cmd.jsp下載、執行Kinsing。該惡意程式與C2進行通訊,並下載第二階段酬載的Shell指令碼,以便攻擊者持續存取受害伺服器,並進一步部署門羅幣挖礦程式及執行其他攻擊行動。
研究人員指出,他們透過物聯網搜尋引擎Shodan進行搜尋,網路上有6,419臺Openfire伺服器,其中有984臺曝露在CVE-2023-32315的風險當中。
殭屍網路Mirai鎖定白牌安卓電視盒下手
防毒廠商Dr. Web揭露針對低價安卓電視盒的攻擊行動,駭客疑似透過供應鏈攻擊,在韌體更新的過程植入殭屍網路病毒Mirai,或是假借提供盜版影音內容的應用程式來對用戶發動攻擊,主要目標是搭載4核心處理器的電視盒,包含Tanix TX6、MX10 Pro 6K、H96 MAX X3。
一旦目標電視盒被植入此殭屍網路,就有可能遭到駭客控制,透過TCP或UDP通訊協定發動DDoS攻擊,發出SYN、ICMP、DNS洪水請求,或者,攻擊者也能藉此病毒執行反向Shell程式,竄改電視盒設備的檔案。
微軟調查中國駭客Storm-0558入侵25個組織電子郵件系統,他們發現導火線是2021年當機事故
微軟在今年7月透露,中國駭客組織Storm-0558藉由微軟帳號(MSA)的使用者簽章金鑰,偽造用於身分驗證的Token,進而存取歐洲、美國25個組織的Outlook Web Access in Exchange Online(OWA)或Outlook.com的電子郵件信箱。但究竟上述的簽章金鑰從何而來?最近有新的調查結果出爐。
9月6日微軟指出,很有可能是發生在2021年4月的當機事故所致,使用者簽章系統那時因當機發生,觸發相關處理程序的快照儲存作業(Crash Dump),然而因出現存取競爭狀況(race Condition)導致金錀不慎留存在快照裡面,卻未被察覺有異而沒處理,而流入了除錯環境,讓這些駭客有機可趁。後來駭客取得其中一名微軟工程師的帳號,從而引發這起攻擊事故。
【漏洞與修補】
Google發布9月份安卓更新,修補已出現攻擊行動的零時差漏洞
9月5日Google發布本月份的安卓例行更新,總共修補了33個漏洞,其中存在於該作業系統框架的高風險漏洞CVE-2023-35674,該公司表示已被用於攻擊部分用戶。
而根據漏洞的嚴重程度來看,本次他們修補了3項重大漏洞CVE-2023-35658、CVE-2023-35673、CVE-2023-35681,這些漏洞出現在系統層面,攻擊者可在尚未取得額外權限的情況下利用,並遠端執行任意程式碼(RCE),過程裡完全無須使用者互動。
【資安產業動態】
全球首批SEMI E187標準設備出爐
由臺灣主導的半導體產線設備資安標準規範SEMI E187,在2022年1月發布,抵達第一座里程碑,這一年半又有重大進展。
在2023國際半導體展期間舉行的SEMI E187合規設備發表會中,數位發展部數位產業署署長呂正華表示,最近已有兩家臺灣業者的設備通過驗證,分別是:均豪精密的自動光學檢測設備,以及東捷科技的空中行走式無人搬運系統。
呂正華認為,SEMI E187已經帶起了半導體產業上下遊供應鏈的資安意識,這樣的標準,未來若應用到面板、印刷電路板(PCB)、精密儀器,甚至進一步深入產業鏈裡面,會讓整個環境更重視資安。
