

资安业者Fortinet针对恶意软件SmokeLoader最新一波攻击行动提出警告,指出黑客锁定台湾制造业、医疗保健、信息技术等多个领域的公司,从事攻击行动
今年5月,欧洲刑警组织与十多个国家的执法单位联手,针对包含SmokeLoader在内的多款恶意程序加载工具(Loader)、僵尸网络,摧毁相关基础设施,并逮捕嫌犯、冻结不法所得,但事隔数个月,这些黑客又再度从事攻击行动,而且,这次疑似针对台湾而来。
资安业者Fortinet指出,他们在今年9月看到新一波的SmokeLoader攻击行动,黑客针对台湾的制造业、医疗保健、信息技术,以及其他领域的公司而来。值得留意的是,过往攻击者将SmokeLoader作为散布其他恶意程序的管道,但在这波资安事故里,黑客从C2服务器下载其他的SmokeLoader插件程序,以便进行后续的恶意活动。
攻击者先是通过钓鱼信对目标下手,他们假借提供报价的名义,要求收信人依照指示进行确认、回复,一旦收信人打开附件的报价数据文件,电脑就有可能运行VBS脚本,启动恶意程序加载工具AndeLoader,最终加载SmokeLoader的有效酬载。
Word文件修复功能遭到滥用!攻击者借此绕过电脑资安防护机制,假借公司人资与员工福利的名义从事网络钓鱼

提供恶意软件分析沙箱的资安业者Any.run指出,他们发现疑似利用零时差漏洞的攻击行动,黑客在过程中不仅能回避杀毒软件的侦测,还能绕过收信软件Outlook的垃圾信过滤机制,并防有人上传到沙箱进行检查。
针对攻击者接触受害者的管道,研究人员提及是通过钓鱼信来进行,一旦收信人打开附件Word文件,Word就会显示警告窗口,表示侦测到文件已经损坏,并指出内含无法读取的内容,询问用户是否尝试进行修复。资安新闻网站Bleeping Computer取得Any.run找到的恶意文件,指出攻击者假借人力资源部门,使用薪资、员工福利、奖金为诱饵,寄送挟带ZIP档或Word文件附件的电子邮件,而且,这些文件名称皆包含以Base64编码的字符串。
其他攻击与威胁
◆勒索软件Interlock疑从9月出现,对8个国家企业组织发动攻击
◆安卓恶意软件SpyLoan通过Google Play市集散布,已被下载800万次
◆黑客组织UNC2465佯称提供合法工具,散布后门程序Smokedham以从事勒索软件攻击
Windows Server 2012、2012 R2存在MotW零时差漏洞
11月28日专门提供微修补的资安业者0patch指出,他们在服务器操作系统Windows Server 2012、2012 R2发现零时差漏洞,一旦遭到利用,电脑对于来自互联网的特定类型文件,运行Mark of Web(MotW)安全检查的流程,就有可能被攻击者绕过。
根据该公司的调查,这项弱点很可能是在2年前引入Windows Server 2012,目前尚未登记CVE编号,他们已通报此事,但截至目前为止,微软并未提供更新软件。
而对于这项漏洞影响范围,研究人员表示,Windows Server 2012与2012 R2已于去年10月终止支持,但即便用户已购买延伸安全性更新(ESU)并套用,还是会曝露在这项漏洞的危险。
针对资安业者公布的工业用无线基地台漏洞,研华科技提出进一步说明
上周资安业者Nozomi揭露研华科技(Advantech)EKI工业用无线基地台一系列漏洞,并指出攻击者有机会通过空中下载(Over-the-Air,OTA)的管道用于攻击。虽然研华已于11月20日发布新版固件修补漏洞,但并未在公告里列出Nozomi公布的20项漏洞。对此,我们进一步向研华进行确认。
该公司表示,他们在8月5日接获Nozomi的通报,随即指派软件团队着手分析,并进行修复。经过多轮测试,他们完成新版固件并经由Nozomi进行验证,11月25日确认完全修复所有漏洞,并符合业界的资安标准。
针对客户修补的情况,研华表示他们的产品团队已陆续通知所有使用EKI-6333系列的客户,提供相关固件更新信息与指引,并建议根据实际使用需求,更新至最新版固件。
国际刑警组织与40个国家联手运行大规模扫荡,逮捕逾5千人、查获4亿美元不法所得
上周国际刑警组织(Interpol)宣布,他们与40个国家及地区的执法单位联手,从今年7月至11月运行名为Operation Haechi-V的执法行动,结果逮捕超过5,500名从事金融犯罪的嫌犯,并没收超过4亿美元的不法所得。
这波执法行动他们针对7种通过网络从事的诈欺行为进行调查,这些包含:语音网络钓鱼(vishing)、爱情骗局、色情勒索、投资诈骗、非法赌博、商业邮件诈骗(BEC),以及电子商城诈欺。
他们提及韩国与中国联手破获大型语音网络钓鱼集团,迄今已有超过1,900人受害,造成11亿美元的损失。此犯罪组织的作案手法相当复杂,他们可能会假扮执法人员,或是使用伪造的身分来行骗。两国执法单位逮捕至少27人,其中19人已遭到起诉。
其他资安产业动态
◆台新银行加入国际资安事件应变小组论坛FIRST,为台湾第一家参与该组织的金融机构
【12月2日】网钓工具包Rockstar 2FA针对汽车相关主题网站而来,意图窃取用户的M365帐号
【11月29日】黑客利用CleverSoar恶意程序于中国、越南电脑散布多种恶意软件
【11月28日】第一款针对Linux主机的UEFI Bootkit现身