2個月前執法單位接管勒索軟體駭客組織LockBit的基礎設施,隨後表明掌握其首腦LockBitSupps身分,且此人已與他們合作,如今他們又有新的動作,預告即將宣布這名人士的身分
2月下旬多國執法單位聯手圍剿勒索軟體駭客LockBit的基礎設施,後來不到一個星期的時間,對方疑似捲土重來,並將美國聯邦調查局(FBI)列為受害組織,雙方之間的攻防,最近又有新的進展。
5月6日資安研究員Jon DiMaggio發現,執法單位疑似再度修改LockBit的網站,預告將在世界協調時間(UTC)7日下午2時公開發表聲明,內容包含該駭客組織首領LockBitSupps的身分,並並透露將公布其他不為人知的事情,在4天後關閉網站。該名研究人員認為,這次執法單位應該是來真的,可信度很高。
對此,駭客向另一個資安研究團隊VX-Vnderground透露,認為執法單位宣稱的並非事實,表明他們仍持續從事攻擊行動,將會公布新的受害組織名單。
微軟圖學資料分析服務Graph的API遭駭客用於惡意通訊,攻擊烏克蘭組織
資安業者賽門鐵克提出警告,他們看到有越來越多駭客,在攻擊行動當中,濫用微軟圖學資料分析服務Graph的API,並指出駭客這麼做的目的,通常是也利用微軟雲端服務架設C2基礎設施的情況下,能夠促進相關通訊的進行。
研究人員看到利用上述手法針對烏克蘭組織的攻擊行動,對方使用名為BirdyClient(或OneDriveBirdyClient)的惡意程式,並將其偽製成筆記型電腦觸控板驅動程式ALPS Pointing Device Driver(Apoint.exe)相關的DLL程式庫元件vxdiff.dll。
此惡意程式的主要功能,就是連接微軟Graph的API,並利用雲端檔案共享服務OneDrive充當C2伺服器,然後讓攻擊者能上傳或下載檔案。不過,攻擊者的動機為何?研究人員指出,由於尚未找到其他作案工具,目前無從得知意圖,也不確定攻擊者的身分。
其他攻擊與威脅
◆勒索軟體REvil附屬組織成員將面臨13年刑期
◆駭客冒充受害者所屬公司,寄送帶有QR Code的釣魚郵件,意圖騙取帳密資料
◆駭客買下Google贊助商廣告,對搜尋知名新聞網站、網路公司的用戶進行技術支援詐騙
◆間諜軟體Cuckoo鎖定macOS用戶而來,Intel與M系列處理器的電腦都是目標
【漏洞與修補】
研究人員揭露可洩露VPN流量的漏洞TunnelVision
5月6日資安業者Leviathan Security Group揭露名為TunnelVision的漏洞,一旦攻擊者觸發,就有機會將用戶的VPN流量洩露到相同區域網路上的其他電腦,該漏洞被登記為CVE-2024-3661列管,CVSS風險評分為7.6。
研究人員指出,TunnelVision可繞過VPN封包,藉由作業系統內建、用來自動分配IP位址的動態主機配置協定(DHCP),迫使目標使用者的流量離開VPN通道,進而有機會讓駭客可窺探流量。由於此手法並未破壞VPN所控制的通道,因而不會觸發VPN的網路自動斷開(Kill Switch)機制,使得用戶誤以為自己的流量仍受到VPN保護。
由於TunnelVision攻擊手法是讓用戶脫離VPN的保護,嚴格來說,這並非VPN系統本身的漏洞,但研究人員還是透過電子前線基金會(EFF)及美國網路安全暨基礎設施安全局(CISA),向超過50個VPN供應商通報此事。
其他漏洞與威脅
◆研究人員在小米行動裝置多個應用程式找出20個漏洞
【資安產業動態】
Google Cloud整合Gemini、Mandiant、VirusTotal,推出AI安全方案
5月6日Google Cloud於RSA大會宣布推出名為Google Threat Intelligence的威脅情資服務,將以Gemini 1.5 Pro模型為基礎,整合資安分析產品線Mandiant與惡意程式解析服務VirusTotal而成。這項服務以AI助理Gemini提供簡單易用的介面,方便用戶以自然語言查詢Google旗下產品及公開資源為基礎的資安知識。
該公司宣稱,結合其安全資料庫的Gemini,可簡化企業安全部門的研究作業。以分析WannaCry檔案為例,只需34秒就能完成逆向工程,並找出如何一擊阻絕運作。Gemini模型也提供實體萃取(Entity Extraction)工具,使AI助理能從網路搜尋公開研究資訊及產業報告,然後整理成結構清楚的資訊。
微軟公布安全未來倡議的6大支柱,將部署全新安全治理框架
去年微軟帳戶(MSA)消費者簽章金鑰的外洩,導致中國駭客組織Storm-0558於微軟服務中潛伏超過1個月,滲透歐美地區的25個政府組織,今年初俄羅斯駭客組織Midnight Blizzard又成功入侵微軟測試租戶帳戶,長達兩個月才被發現。對此,美國國土安全部網路安全審查委員會(CSRB)認為,微軟的資安文化不足,無法防堵這些可以預防的意外,應進行根本性的安全改革。
對此,5月3日微軟以去年提出的安全未來倡議(Secure Future Initiative,SFI)為基礎,提出相關的具體措施,他們根據SFI的3大核心概念:設計安全(Secure by Design)、以安全為預設(Secure by Default)、安全操作(Secure Operations),提出了6大支柱暨目標。包括:保護身分與機密、保護租戶並隔離生產系統、保護網路、保護工程系統、監控與檢測威脅,以及加快回應與修復速度。
再者,該公司也宣布將部署全新的安全治理框架,新設多個副資安長執位,執行長Satya Nadella更宣告,微軟的政策將全面以資安為優先。
近期資安日報
【5月6日】德國與捷克證實去年遭遇俄羅斯駭客APT28利用特定Outlook漏洞攻擊事故
【5月3日】殭屍網路Goldoon鎖定D-Link家用路由器DIR-645老舊漏洞發動攻擊
【5月2日】Docker Hub遭濫用,被用來散播惡意程式與架設釣魚網站的映像儲存庫比例高達2成
