【資安日報】9月21日,中國駭客假借寄送發票的名義發動網釣攻擊,目的是散布新型態的木馬程式ValleyRAT
· 2023-09-22

研究人員指出,多個中國駭客組織鎖定簡體中文用戶下手,聲稱提供發票的名義來散布木馬程式,且範圍開始擴及日本

資安業者Proofpoint揭露從今年初出現的網路釣魚攻擊行動,中國駭客試圖散布木馬程式ValleyRAT、Purple Fox,以及Gh0st RAT變種Sainbox RAT(亦稱FatalRAT),最近半年內至少已有30起攻擊行動,其中散布最多的是Sainbox RAT,數量接近20起。

研究人員自今年4月,看到駭客使用簡體中文、以發票為誘餌寄送釣魚郵件,鎖定位於中國的辦公室,或處理發票的公司下手,這些釣魚郵件大多是透過Outlook.com或其他免費電子郵件服務寄出,信件內容含有惡意網址,或挾帶含有惡意網址的Excel附件檔案,一旦收信人點選連結,電腦就有可能被植入Sainbox RAT。

另一款引起研究人員注意的木馬程式,則是以程式語言Rust開發、在今年3月首度出現的ValleyRAT,這款新的惡意程式的攻擊模式大致與Sainbox RAT雷同,駭客也是藉由發票的名義,從Outlook.com、Hotmail、WeCom免費電子郵件服務寄送釣魚郵件來發動攻擊,但不同之處在於,此木馬程式入侵受害電腦的過程裡,駭客利用以Rust打造的惡意程式載入工具,此工具以DLL側載的方式啟動,執行時會下載SSL VPN應用程式EasyConnect,而有可能讓攻擊行動更為隱密。雖然攻擊者主要以發票做為誘餌,但在5月一起攻擊行動裡,駭客冒充求職者,藉由履歷表PDF檔案散布ValleyRAT。值得留意的是,其中一起散布Purple Fox的攻擊行動針對日本組織下手,代表駭客很可能打算將該國納入攻擊範圍。

惡意軟體VenomRAT假借WinRAR漏洞概念性驗證程式散布

資安業者Palo Alto Networks提出警告,有人在8月21日,聲稱針對RARLab修補的高風險漏洞CVE-2023-40477(CVSS風險評分為7.8)提供概念性驗證(PoC)攻擊程式,但實際上駭客意圖利用另外一個漏洞,在研究人員的電腦上部署惡意程式。

一旦研究人員依照對方指示執行此攻擊程式,就會下載偽裝成ZIP壓縮檔的Python指令碼,利用地圖服務伺服器程式GeoServer的SQL注入漏洞CVE-2023-25157(CVSS風險評分為9.8),建立批次檔並下載PowerShell指令碼,最終於受害電腦植入木馬程式VenomRAT。

若是該惡意程式在電腦上啟動,就會開始記錄使用者所有的按鍵內容,並與C2建立連線,接收駭客下達的指令。

亞塞拜然共和國遭到Rust惡意軟體攻擊

資安業者Deep Instinct揭露針對亞塞拜然的攻擊行動Operation Rusty Flag,目的是於受害電腦部署以Rust打造的惡意軟體,收集主機資訊並回傳給攻擊者。關於其攻擊手法,駭客先是透過假冒成JPG圖檔的捷徑檔(LNK),或是名為Overview_of_UWCs_UkraineInNATO_campaign.docx的惡意文件檔案(利用Office方程式編輯器漏洞CVE-2017-11882),引誘使用者上當,從Dropbox下載暗藏惡意的MSI封裝安裝程式。

研究人員指出,上述的Word誘餌檔案名稱,先前是俄羅斯駭客Storm-0978(亦稱RomCom、Tropical Scorpius)曾用於攻擊烏克蘭,但不同之處在於,俄羅斯駭客駭客利用的漏洞是上個月被修補的CVE-2023-36884,對此,研究人員推測,從事Operation Rusty Flag的駭客想要嫁禍給Storm-0978。

 

中東電信業者遭駭客組織ShroudedSnooper鎖定,假借提供端點防護系統元件散布惡意程式

思科的威脅情報團隊Talos揭露針對中東電信業者的網路攻擊行動ShroudedSnooper,駭客在攻擊行動中部署名為HTTPSnoop、PipeSnoop的後門程式,並將其偽裝成Palo Alto Networks的XDR元件,企圖回避偵測。

而對於這些惡意軟體帶來的危害,研究人員指出,HTTPSnoop利用低階的Windows API,從HTTP、HTTPS流量監控受害電腦是否存取特定的URL,一旦偵測到這些網址,該惡意軟體就會接收攻擊者傳入的資料並進行解碼,並組成Shell Code執行。根據URL監聽管道的不同,研究人員一共發現3種版本的HTTPSnoop,其中一種是監聽普通的HTTP請求,另外兩種則是監聽微軟Exchange Web Services 、網路電話系統OfficeCore基於位置的服務(LBS)OfficeTrack的流量,使得其攻擊行動更為隱密。

另一個後門程式PipeSnoop,其主要功能是藉由特定Windows處理程序之間的通訊(IPC)管道,執行任意Shell Code酬載。有別於HTTPSnoop用於攻擊能連接網際網路的伺服器,駭客將PipeSnoop用於較具價值的目標,並可能需要搭配其他程式才能運作。

挖礦攻擊行動Ambersquid鎖定不尋常的AWS服務下手

資安業者Sysdig揭露雲端挖礦攻擊行動Ambersquid,印尼駭客鎖定一系列不常見的雲端服務,如:AWS Amplify、AWS Fargate、Amazon SageMaker,駭客在Docker Hub散布帶有挖礦軟體的容器映像檔,大部分會從程式碼儲存庫GitHub下載挖礦程式 ,但也有的會執行存放在AWS的Shell指令碼。

不論針對那種AWS服務發動攻擊,其共同點是駭客濫用了代管程式碼儲存庫的服務AWS CodeCommit,產生私有儲存庫並在攻擊行動中運用,該儲存庫含有AWS Amplify應用程式的原始碼,前述的Shell指令碼便將原始碼拿來編譯Amplify網頁應用程式,最終執行挖礦軟體,迄今駭客不法獲利超過1.8萬美元

 

【資安產業動態】

OpenAI成立紅隊演練網路,招募各界專家改善大型語言模型安全

9月19日OpenAI宣布擴大紅隊演練的規模,成立名為OpenAI Red Teaming Network的紅隊演練網路,從數十個專業領域招募專家來協助改善其各種模型的安全。

這些專家專精認知科學、生物學、化學、物理、經濟、社會學、公平與偏見、教育、法律、網路安全、不實資訊、隱私、語言、健康照護、兒童安全、金融,或是人類學等,OpenAI強調,具備AI系統與語言模型知識並非必要條件,他們更看重專家能否提出該領域的專業觀點。有意願的人士可在12月1日前,向該實驗室提出申請。

因應量子電腦時代的安全威脅,加密通訊軟體Signal採用新加密協定PQXDH

重視隱私的通訊軟體Signal宣布升級加密規範,發表新的加密協定PQXDH,透過添加額外的保護層,以防止用戶受到先竊取、後解密(Harvest Now, Decrypt Later)攻擊。

目前PQXDH協定已經在新版Signal中使用,只要通訊雙方都使用最新版本發起新通訊,便能夠獲得PQXDH保護,該公司表示,他們將會在數個月後,停用較舊的X3DH協定,同時透過軟體更新,將現有聊天升級,套用這種新的加密協定。

 

 

熱門文章
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
UK MPs reopen 2025 gambling inquiry as reform stalls
Regulation
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
What’s on the SBC Summit Conference Agenda in 2026?
Marketing
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
首頁
遊戲
合作
發現
我的