继许多科技业者对伊朗黑客干预美国总统大选采取行动,本周美国政府也祭出反制手段对付俄罗斯散布假消息的情况,他们封杀逾30个网域,并起诉2名俄罗斯人
上周趋势科技揭露锁定中东的恶意程序攻击,并指出黑客将其伪装成资安业者Palo Alto Networks旗下SSL VPN服务GlobalProtect的安装程序,此事相当值得关注,原因是这种手法相当具有针对性,很有可能是锁定该系统的用户而来,如今Palo Alto Networks也揭露相关攻击行动,呼吁用户提高警觉。
本周Palo Alto Networks旗下的威胁情报团队Unit 42揭露恶意程序加载工具WikiLoader变种攻击行动,并指出黑客借由搜索引擎优化中毒(SEO Poisoning)手法,佯称提供GlobalProtect应用程序的名义散布。
研究人员在今年6月看到相关攻击行动,并指出黑客的主要攻击目标是美国高等教育机构及交通单位,但研究人员特别提到,由于这次攻击者利用搜寻引擎优化中毒的手法,使得影响范围较过往利用网络钓鱼来得广泛。
红队演练工具MacroPack遭到滥用,黑客借此散布渗透测试工具Brute Ratel C4
黑客将防守方用来强化资安的工具,拿来用于攻击行动,最常见的莫过于渗透测试工具Cobalt Strike,后来也出现利用Brute Ratel C4的事故,如今有人开始利用新的工具从事攻击。
思科旗下威胁情报团队Talos指出,他们在今年5月至7月,在恶意软件分析平台VirusTotal看到数个Office文件,其共通点就是使用名为MacroPack的红队演练框架产生,经过分析发现,这些Office文件被用于散布多种恶意程序的有效酬载,例如:渗透测试工具Brute Ratel C4、Havoc、RAT木马程序PhantomCore,他们认为有多个黑客组织可能已在实际攻击行动当中,开始利用MacroPack。
研究人员总共归纳出4起攻击行动,其中一起范围涵盖台湾、中国、巴基斯坦而相当受到注意,黑客借此散布Havoc和Brute Ratel C4有效负载,而这些恶意程序会连往位于中国河南的C2服务器。
恶意PyPI套件使用新的挟持手法,假冒正牌套件引诱受害者上当
黑客发动恶意NPM、PyPI套件攻击,往往会通过域名抢先注册的手法,利用与正牌套件极为相似名称来混淆开发人员视听,但如今研究人员发现新的手法,并发现已被黑客广泛利用。
资安业者JFrog揭露名为Revival Hijack攻击手法,黑客寻找已经下架的合法PyPI套件,并重新注册相同的名称,上架恶意套件。这样的做法无须依赖开发人员出错才能趁虚而入,而且,若是原本套件的用户有良好的习惯,会使用最新版的套件,甚至通过CI/CD环境自动套用更新,就有可能中招。
根据研究人员的调查,这种挟持攻击手法影响12万个PyPI套件,他们进一步排除恶意套件和垃圾套件,并针对下载超过10万次,或是经营超过半年的套件进行统计,他们认为至少有2.2万个PyPI套件容易成为黑客下手的目标。研究人员指出,开发人员下架套件的情况相当常见,平均每个月就有超过300个,这样的情况,也导致可被滥用的套件名称不断增加。
安卓木马Rocinante锁定巴西用户而来,伪制成银行应用程序对其下手
资安业者ThreatFabric揭露针对巴西银行用户的金融木马Rocinante,黑客锁定当地大部分的银行机构而来,一旦手机遭到感染,此木马程序就能在受害设备侧录键盘内容,或是让攻击者能够进行远程存取。
研究人员进一步指出,此木马程序还能显示假冒银行网页的钓鱼窗口,窃取受害者的个人可识别信息(PII),最终攻击者便能借由木马程序收集到的数据,达到设备挟持(Device takeover,DTO)的目的。
黑客佯称提供系统安全更新,或是快递追踪、会员奖励、银行相关的应用程序,引诱用户存取钓鱼网站,借由恶意的APK文件散布Rocinante。一旦用户依照指示完成安装并打开,这些应用程序就会要求授予无障碍服务的权限,并显示银行表单画面,要求用户提供PII。
其他攻击与威胁
◆半导体业者Microchip证实因攻击事故导致数据外泄,勒索软件Play宣称是他们所为
◆思科网络商店惊传遭植入恶意JavaScript,信用卡数据、帐密恐外流
◆北韩黑客利用冒牌视频会议软件FreeConference,锁定求职者下手
其他漏洞与修补
◆Google发布安卓9月例行更新,修补6月揭露的Pixel权限提升漏洞
◆Yubico旗下FIDO设备存在Eucleak弱点,攻击者有机会取得ECDSA密钥
【资安产业动态】
半导体大型会议SEMICON Taiwan于9月4日举行,资安趋势高峰论坛即将于明日登场
SEMICON Taiwan 2024国际半导体展于9月4日至6日举行,SEMI全球总裁暨首席执行官Ajit Manocha表示,今年以「赋能AI无极限」作为大会主轴,不仅可以看到AI在不同领域的发展,也带动产业发展,台湾显然在AI浪潮和全球半导体产业扮演重要角色。随着半导体产业越来越重视资安,这几年来SEMICON Taiwan也持续举办这项主题的论坛,即将于大会的第三天(9月6日)召开。
在今年的半导体资安趋势高峰论坛,担任SEMI半导体资安委员会主席的台积电企业信息安全处处长屠震将在开场致词,并邀来零信任之父John Kindervag,以及奥义智能、TXOne、思科、Akamai、IBM、大猩猩科技、应用材料等公司的高层,发表谈话。探讨在全球化和数位化的趋势下,半导体产业的供应链面临的网络安全挑战。
而在此次活动期间,数位发展部数位产业署也与台湾资安业者于会场打造SecPASS资安馆,展示资安集成服务平台,6日上午将发表后量子资安产业联盟的阶段成果。
近期资安日报
【9月4日】黑客组织Head Mare锁定俄罗斯企业组织发动攻击
【9月3日】黑客盯上资安厂商的SSL VPN系统当作诱饵,意图散布恶意程序
【9月2日】勒索软件RansomHub受害企业组织半年已超过200家
