曾遭到圍剿而銷聲匿跡的駭客組織,待風頭一過東山再起的情況再度傳出,而且還是不同組織之間的合作。例如,最近IBM的研究人員發現,前駭客組織Conti及FIN7的成員聯手開發了惡意程式Domino,並用於收集受害電腦的系統資訊,以便進行後續的攻擊行動。
針對網頁瀏覽器而來的竊資軟體攻擊,也同樣值得我們留意──資安業者Uptycs揭露俄羅斯駭客流傳的竊資軟體Zaraza Bot,並指出該惡意程式能針對38款瀏覽器的使用者組態檔案進行解密,進而竊取存放的各式帳密資料。
除了竊資軟體的攻擊行動,駭客散布惡意程式的手法也變得更加複雜,例如,研究人員發現,有人同時運用惡意PDF檔案及Windows指令碼來散布惡意軟體QBot,若收件者為了要檢視PDF文件內容而未及早察覺有異,即有可能依照指示執行指令碼而中標。
【攻擊與威脅】
IBM旗下的威脅情報團隊X-Force揭露名為Domino的惡意軟體,他們在追蹤利用Dave Loader惡意程式載入器的攻擊行動裡,發現駭客從2023年2月下旬,投放過往沒有記錄的惡意軟體,研究人員將其命名為Domino。
該惡意程式由Domino Backdoor、Domino Loader等兩個元件組成,前者會收集受害電腦的系統資訊,將其回傳攻擊者的C2伺服器之後,再將Domino Loader下載至使用者電腦;而Domino Loader則被用於部署竊資軟體Nemesis Project,在部分攻擊行動裡,駭客還會植入Cobalt Strike來維持在受害電腦運作。
究竟這場攻擊行動的幕後主使身分為何?根據程式碼的比對,研究人員推測是前勒索軟體駭客組織Conti,以及FIN7成員所為。
資安業者Uptycs揭露名為Zaraza Bot的竊資軟體,駭客透過俄羅斯駭客的Telegram頻道吸引用戶上門,此竊資軟體以C#打造而成,主要的攻擊目標是網頁瀏覽器,範圍包含了Chrome、Edge、Firefox、Brave、Vivaldi、Opera、Yandex等38款軟體。
研究人員指出,該竊資軟體鎖定上述瀏覽器的特定配置檔案下手,並能解開瀏覽器存放帳號密碼預設使用的兩種加密格式,再將這些資訊回傳攻擊者的Telegram頻道,讓駭客掌握受害者儲存於瀏覽器的帳密資料。此外,Zaraza Bot也具備截取螢幕畫面的能力。
資安研究團隊Cryptolaemus近日看到惡意軟體QBot新的攻擊行動,駭客先是透過釣魚郵件來挾帶PDF檔案,為了降低收信人戒心,這封信的內容是以回覆其他信件的形式打造。
一旦收信人開啟附件的PDF檔案,就會顯示此文件包含受到保護的內容,要求按下開啟按鈕。然而收信人照做,電腦就會下載含有Windows指令碼的ZIP檔案。若是收信人執行這個指令碼,攻擊者就會透過PowerShell指令碼在受害電腦部署QBot。
研究人員Kostas提出警告,駭客開始在攻擊行動裡濫用名為Action1的遠端管理平臺(RMM),並指出駭客可藉此得知受害組織網路環境裡的電腦詳細資訊,如作業系統版本、硬體配置、安裝的應用程式,以及尚未安裝的更新程式等,進而找到能夠滲透的管道。
資安新聞網站Bleeping Computer進一步追查,發現至少有3起勒索軟體攻擊行動裡,駭客利用了Action1來入侵受害組織。針對該遠端管理系統被用於攻擊行動的情況,Action1表示,他們去年開始利用人工智慧系統來檢測異常使用行為,來遏止這類惡意用途。然而,該公司顯然仍有很大進步空間,因為若真能有效攔阻,研究人員應該很難有機會發現這項工具遭濫用。
新聞網站Cyberwarzone揭露新的網路釣魚攻擊手法,駭客鎖定需要透過微軟Teams來查看薪資單的人士下手,他們設置貌似能以微軟帳號登入的釣魚網站,企圖竊取他們的微軟帳號資料。
感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑? 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的
比較特別的是,為了騙取受害者信任,在他們存取這個釣魚網站的時候,駭客還裝模作樣地設置了reCAPTCHA的真人操作驗證機制,企圖阻止資安掃描機制,使其無法將其辨識為釣魚網頁。
資安業者Cyble揭露名為Chameleon的安卓惡意軟體,駭客將其偽裝成澳洲政府經營的加密貨幣交易所CoinSpot、波蘭銀行IKO的App,鎖定澳洲及波蘭使用者而來。
值得留意的是,駭客為了回避研究人員的分析,此惡意程式會先檢查目標裝置是否被奪走root最高權限、除錯模式是否啟用,若無上述功能開啟的情況,此惡意軟體才會向請求受害者開放Android輔助功能的權限,進而停用Google PlayProtect、防止使用者移除,並藉此擴張可運用的權限。
生產自動櫃員機(ATM)聞名的製造商NCR於4月12日,傳出旗下資料中心發生異常的情況,並於15日表示是勒索軟體攻擊所致,部分使用雲端PoS系統Aloha服務的飯店用戶受到影響,該公司進一步調查發現,另一款針對零售業提供的PoS系統Counterpoint也可能受到波及。不過,他們強調沒有客戶的系統或是網路受到影響。
而對於攻擊者的身分,研究人員Dominic Alvieri於4月14日發現,勒索軟體BlackCat(Alphv)聲稱成功入侵NCR,並表示取得該公司用戶環境的帳密資料,但很快就移除網站上的相關資訊。資安新聞網站SecurityWeek推測,很有可能雙方已經展開交涉。
資安新聞網站Cybernews的研究人員發現,汽車製造商Volvo的巴西經銷商Dimas Volvo在網站上曝露敏感資料,其中研究人員認為影響最嚴重的部分,是PHP網頁應用程式框架Laravel的金鑰,因為該金鑰可被用於解開加密的使用者Cookie,進而得知該經銷商用戶的帳密資料及連線階段(Session)ID,並挾持他們的帳號。
此外,該網站也曝露此經銷商的MySQL與Redis資料庫的主機IP位址、連接埠、帳號及密碼,而有可能讓更多人取得該公司的使用者資料。研究人員通報Dimas Volvo與Volvo總部,上述情況已獲得處理。
【其他新聞】
近期資安日報
https://www.ithome.com.tw/news/156455