研究人员揭露新出现的勒索软件黑客组织Mad Liberator,并指出这些黑客的作案手法相当特别,他们企图让电脑显示Microsoft Update更新画面的假象,让用户误以为电脑正在更新而无法使用
资安业者Sophos揭露从今年7月中旬出没的勒索软件黑客组织Mad Liberator,并指出这些黑客虽然在部分攻击行动可能会加密受害电脑文件,然后进行双重勒索,要胁若不付钱,他们就会外流窃得的数据,但根据研究人员自己的观察,这些黑客主要偏重于数据外泄,几乎没有看到使用勒索软件加密文件的事故。
在其中一起资安故里,这些黑客通过社交工程手法取得受害组织的网络存取权限,然后通过远程桌面软件AnyDesk发出连接请求,待用户授权而能存取目标主机,但究竟黑客如何寻找下手目标,研究人员表示不清楚。
一旦成功创建连接,攻击者就会发送名为Microsoft Windows Update的运行档并打开。而这个程序的作用,就是模仿操作系统更新的画面,让用户误以为电脑正在安装更新程序。正当用户以为电脑在运行系统更新作业的时候,黑客通过AnyDesk进行远程存取,先是存取受害者的OneDrive帐号、网络共享文件夹,然后借由AnyDesk的文件传输功能将偷到的数据外流,并留下勒索消息。
丰田美国分公司遭黑客公布公司数据
根据资安新闻网站Bleeping Computer报导,名为ZeroSevenGroup的黑客组织在地下论坛公开宣称是窃自丰田汽车美国分公司的数据240 GB,这些数据报含员工和客户联系数据、合约、财务、相片、电子邮件、数据库、以及网络基础架构等。黑客提供开源工具AD-Recon,供买家视图需要密码的网络数据。
丰田汽车向媒体证实确有此事。但表示受影响的范围有限,并非全系统问题。对此,丰田汽车已联系受影响人士,至于有多少人受影响,以及丰田何时发现事件、及攻击者如何骇入公司网络,他们并未进一步说明。
航班追踪平台FlightAware证实外泄用户数据
专门提供全球飞机航班追踪服务的FlightAware本周对外证实,因配置错误而外泄了该平台用户的个资,包括用户名、密码与电子邮件帐户,或许还包括其它更详细的个人信息。
FlightAware向受影响的用户表示,该平台是在今年7月25日发现系统配置错误,造成帐户信息外泄,除了用户名、密码与电子邮件帐户之外,也包括可能姓名、帐单地址、收货地址、IP位址、社群媒体帐户、电话号码、出生年份、信用卡号末4码、所拥有的飞机信息、产业、头衔、是否为驾驶员,以及帐户活动状态。
此外,FlightAware也通知加州的总检察长办公室,指出此错误自2021年1月即存在迄今,但并未说明有多少人受到影响。
北韩黑客Lazarus利用驱动程序零时差漏洞提权,并通过恶意程序匿踪
微软在8月例行更新修补零时差漏洞CVE-2024-38193,此漏洞发生在WinSock的辅助功能驱动程序(Ancillary Function Driver,AFD.sys),CVSS风险评分为7.8,该公司指出,此漏洞已被利用。上周通报此事的资安业者Gen Digital透露,2个月前北韩黑客组织Lazarus已将其用于攻击行动。
研究人员指出,他们在6月看到黑客利用这项漏洞的情况,而能在未经授权的情况下存取敏感系统区域,为了隐匿攻击行动,过程中黑客使用名为Fudmodule的恶意软件。
安全机制绕过漏洞Copy2Pwn成形,已用于散布恶意程序DarkGate
上周微软发布本月例行更新,总共公布10个零时差漏洞,其中1个是出现在Microsoft Defender SmartScreen的CVE-2024-38213(CVSS风险评为6.5分),通报此漏洞的漏洞悬赏项目Zero Day Initiative(ZDI)最近公布细节,并将这项漏洞命名为Copy2Pwn。值得留意的是,微软实际上在6月进行修补,但到了8月才公诸于世。
这项漏洞之所以能够发现,源于ZDI研究人员今年3月追踪恶意软件DarkGate攻击行动,黑客借由拷贝粘贴的方式感染受害电脑,而且,不仅利用2月公布的零时差漏洞CVE-2024-21412,还能在绕过SmartScreen防护机制的情况下,从WebDAV共享文件夹拷贝文件到受害电脑。
其他攻击与威胁
◆黑客通过恶意广告冒充数十种Google产品,意图对Windows、macOS用户发动技术支持诈骗
◆黑客运用Xeon Sender Tool锁定云端服务API下手,发动大规模钓鱼短信攻击
◆数千个Oracle云端ERP系统NetSuite组态配置不当,曝露客户敏感数据
◆以色列、阿塞拜疆外交官遭锁定,攻击者意图散布恶意程序ABCloader
【漏洞与修补】
SolarWinds修补服务台系统重大层级漏洞
8月13日SolarWinds发布资安公告,旗下IT服务台系统Web Help Desk(WHD)存在重大层级漏洞CVE-2024-28986,此为Java反串行化弱点,攻击者有机会远程运行任意代码,CVSS风险评分为9.8,影响所有版本的WHD,对此,该公司发布12.8.3 Hotfix 1更新软件修补。
通报这项漏洞的研究人员指出,这项漏洞攻击者可在未经身分验证的情况下利用,不过,SolarWinds表示只能在通过身分验证的状态下重现漏洞。但为求谨慎,他们还是呼吁所有IT人员尽速套用相关更新。
其他漏洞与修补
◆Google宣布8月底终止抓漏奖励计划,理由是安卓应用程序漏洞减少
近期资安日报
【8月19日】Google Pixel惊传内置具有高度权限的第三方组件
【8月16日】美国总统大选两大阵营遭伊朗黑客APT42锁定,黑客进行目标式攻击
【8月15日】全台首个专门针对诈骗防治与数位安全议题的非政府组织「台湾数位信任协会」正式成立
