使用Emotet惡意軟體的駭客,近期鎖定美國報稅季下手,散布惡意軟體,值得留意的是,與過往歷年的攻擊行動相比,今年加入難以讓收信人和郵件防護系統識破的手法。

駭客針對易受攻擊的關聯式資料庫發動攻擊的情況,偶有事件發生,而這次攻擊者同時對微軟SQL Server和MySQL下手,並使用木馬程式Gh0stCringe進行偵查,然後下達攻擊命令。

加密通訊程式庫OpenSSL的漏洞也相當值得關注。開發者最近修補可導致無限循環的阻斷服務(DoS)漏洞CVE-2022-0778,而這項漏洞在OpenSSL發布更新軟體的隔日,疑似已被用於攻擊行動。

【攻擊與威脅】

臺灣PCB大廠健鼎遭網路攻擊,部分資訊系統受影響

在3月16日下午1時38分,國內上市公司健鼎在臺灣證券交易所發布資安事件重大訊息,說明發生部分資訊系統遭受駭客網路攻擊的事件,在偵測到事件發生時,該公司資訊部門已全面啟動相關防禦機制與復原作業,同時與外部資安公司技術專家協同處理,並已通報政府執法部門與資安單位。

至於此次事件的影響是否衝擊營運?目前該公司初步評估不會造成重大影響。健鼎也指出,由於主要是IT系統受影響,他們目前對所有網域、網域,以及相關檔案,做全面徹底的掃描檢測,確保資訊安全後,再復原運作。

惡意軟體Emotet鎖定美國報稅季,以國稅局的名義散布

美國報稅季將於4月18日截止,但就在1個月前,駭客鎖定打算尚未報稅的民眾,散布惡意軟體。郵件安全業者Cofense約自3月14日開始,發現使用Emotet的駭客宣稱是美國國稅局(IRS),並以提供W-9退稅表單的名義,發動釣魚郵件攻擊來散布Emotet。

研究人員指出,與過往不同的是,這些駭客今年為了取信收信人,不只在簽名檔加入美國國稅局的標誌,還會在信件內文提及收信人所屬的公司名稱。此外,為了規避郵件安全系統的檢查,駭客使用以密碼保護的ZIP壓縮檔做為附件,並在內文提供解壓縮密碼。

木馬程式Gh0stCringe鎖定兩大關聯式資料庫下手

駭客鎖定關聯式資料庫發動攻擊的情況再度發生,但這次是同時針對2大知名資料庫下手。資安業者AhnLab揭露使用Gh0stCringe木馬程式的攻擊行動,駭客同時針對執行微軟SQL Server,以及MySQL資料庫的Windows電腦下手,利用這兩款資料庫的主程式處理程序,將名為Mcsql.exe的惡意程式寫入。研究人員在同一臺電腦上,發現有多種版本的Gh0stCringe,研判很可能有多組駭客同時發動攻擊。

而此木馬程式最主要的功能,是側錄鍵盤輸入的內容,並回傳受害電腦安裝的防毒軟體等資訊給C2伺服器,以便攻擊者進一步遠端下達各式攻擊命令,像是下載其他惡意程式、破壞主要開機磁區(MBR),或是清除受害電腦的事件記錄等。

勒索軟體LokiLocker攻擊東歐和亞洲,鎖定英文使用者而來

新興的勒索軟體家族出現,且伴隨著破壞資料(Wiper)的能力。BlackBerry的資安研究團隊揭露名為LokiLocker的勒索軟體,這款勒索軟體最早約於2021年8月出現,且全球各地都有受害者,但多數在東歐和亞洲。駭客使用.NET開發LokiLocker,並透過NETGuard和KoiVM等應用程式保護工具,來防堵研究人員進行反組譯。

該公司提到,駭客要求LokiLocker受害者限期支付贖金,但逾期後駭客可透過該勒索軟體的資料破壞功能,刪除受害電腦的資料,並破壞磁碟的主要開機磁區(MBR)。至於攻擊者的身分,基於駭客所使用的英文文法,以及不會對位於伊朗的電腦發動攻擊等特性,研究人員認為很有可能是伊朗駭客所為。

經營殭屍網路TrickBot的駭客利用逾500個網域發動網釣攻擊,意圖竊取Naver用戶帳密

在南韓擁有許多用戶的入門網站Naver,旗下也如同Google提供各式各樣的服務,而這類使用者帳號也成為駭客眼中的肥羊。資安業者Prevailion在2022年1月下旬,發現專門鎖定Naver用戶的網路釣魚攻擊,當中駭客使用多達532個網域,研究人員留意到這些網域與駭客組織Wizard Spider的基礎設施部分相同,研判就是這個經營殭屍網路TrickBot的俄羅斯駭客組織所為。

GoDaddy代管的WordPress網站疑遭惡意軟體攻擊,1天內近300個網站受害

駭客攻擊WordPress網站的管道,不少是針對外掛程式下手,但最近出現鎖定代管業者的攻擊行動。資安業者Wordfence指出,他們在3月11日開始,發現有298個WordPress網站在一天內被植入後門程式。這些網站至少有281個是由GoDaddy代管,且為MediaTemple、tsoHost、123Reg等經銷商提供相關服務。

而駭客在這些WordPress網站上散布相同的後門程式,是在2015年出現的冒牌Google搜索引擎最佳化(SEO)工具,會產生含有惡意網站的搜尋結果,進而將想要瀏覽WordPress網站的使用者帶往惡意網站。

研究人員呼籲,使用GoDaddy網站代管服務的WordPress用戶,應檢查wp-config.php是否遭到竄改,並清除惡意搜尋的結果。

微軟企業版防毒軟體驚傳誤報,這次是將Office更新當作勒索軟體

微軟提供的企業版防毒軟體Microsoft Defender for Endpoint,日前曾在Emotet重出江湖的時候,將部分Office文件當作Emotet惡意軟體而引起恐慌,最近再度傳出誤報的情況。根據資安新聞網站Bleeping Computer的報導,自3月16日開始,有不少系統管理者指出,他們看到這款防毒軟體將Office更新程式誤判為勒索軟體的警示通知。隨後微軟也確認這是一起誤報事故,根據該公司調查,疑似此防毒軟體近日的更新元件引發此事,他們也著手進行修復。

遠傳Friday購物傳出客戶個資外洩,近期連3周被165列為高風險賣場

165反詐騙諮詢專線持續針對疑似個資外洩業者或組織示警,近期值得關注的是「遠傳Friday購物」,自2月中我們即注意到該公司入榜的情況,至今為止,已連續3週被列入高風險平臺通報名單之中,並都是件數第二高,僅次於去年底就一直最嚴重的東森購物。而根據國內媒體蘋果日報報導,前兩周已有消費者投訴,指稱接獲不明人士假冒遠購物客服來電,並且來電中明確指出民眾購買過的品項、時間與分期方式。後續,3月5日遠傳已在官方網站上提醒用戶慎防詐騙,但目前尚未公告此事件的調查狀況。

 

【漏洞與修補】

加密通訊程式庫OpenSSL存在憑證解析漏洞,一旦遭到攻擊者利用,恐導致服務中斷

加密通訊程式庫OpenSSL於3月15日發布安全性更新,修補CVE-2022-0778漏洞,這項漏洞一旦遭到利用,將可能觸發功能無限循環執行,並導致阻斷服務(DoS)的情況。此漏洞出現於BN_mod_sqrt()函數的解析錯誤,一旦有人使用OpenSSL解析惡意證書,就有可能導致此程式庫進入無限循環執行,該漏洞影響1.0.2、1.1.1、3.0等多個版本,開發者已推出對應的修補程式供用戶更新。值得留意的是,義大利電腦資安事件應變小組(CSIRT-ITA)於16日提出警告,這項漏洞可能已被用於攻擊行動。

 

【資安產業動態】

SentinelOne併購Attivo Networks,強化身分驗證防護能力

資安業者SentinelOne於3月15日宣布,他們將以6.17億美元的價格,買下身分威脅偵測與回應(ITDR)公司Attivo Networks。該公司表示,併購完成後,他們會借助Attivo Networks的ITDR檢測能力,來強化Singularity XDR平臺的零信任策略防線。

英國暫緩NortonLifeLock與Avast併購案,要求業者提出說明

防毒廠商NortonLifeLock去年8月宣布,將以80億美元的價格買下另一家防毒業者Avast,但此事最近可能出現變數。英國競爭與市場局(CMA)自今年1月開始,針對這起併購案進行調查,於3月16日宣布結果,由於這兩家公司在當地是主要競爭對手,CMA認為,一旦併購後很可能導致市場競爭減少,從而影響消費者選購防毒軟體產品的權利。CMA要求這兩家防毒廠商在5個工作天內進一步說明,再決定是否需要啟動第2輪調查。

由於NortonLifeLock今年初將挖礦功能加入防毒軟體引發爭議,且旗下併購的另一款防毒軟體Avira也同樣內建相關功能(Avira Crypto),若是NortonLifeLock將Avast併入旗下,Avast用戶很可能將必須被迫接受防毒軟體綑綁挖礦功能的情況。

 

近期資安日報

【2022年3月16日】  新的殭屍網路病毒利用Log4Shell漏洞散布、俄羅斯駭客繞過雙因素驗證機制取得使用者權限

【2022年3月15日】  公視新聞備份出包導致勒索軟體攻擊事故曝光、汽車電氣零件供應商Denso遭勒索軟體攻擊

【2022年3月14日】  勒索軟體LockBit攻擊輪胎大廠普利司通、勒索軟體Lapsus$對遊戲公司下手

【2022年3月11日】  勒索軟體Conti宣稱在3個月內攻陷逾50個大型組織,GKE自動化管理工具Autopilot驚傳漏洞

【2022年3月10日】  俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞

【2022年3月9日】  APC不斷電系統驚傳可被挾持的漏洞、微軟發布3月份Patch Tuesday

【2022年3月8日】  Linux驚傳檔案竄改漏洞Dirty Pipe、駭客鎖定石油公司發動攻擊

【2022年3月7日】  駭客以俄烏戰爭名義散布木馬程式、勒索軟體Lapsus$洩露三星程式碼

【2022年3月4日】  駭客入侵烏克蘭政府網站散布該國宣布投降的假消息、勒索軟體Conti與Karma攻擊相同醫療機構

【2022年3月3日】  網釣攻擊鎖定幫助烏克蘭難民的國家、逾30所烏克蘭大學網站遭駭

【2022年3月2日】  駭客在俄烏戰爭持續發動網路攻擊、中國駭客運用後門程式Daxin長達10年

【2022年3月1日】  俄羅斯出兵烏克蘭,引發不同立場的駭客集團發動攻擊、汽車大廠Toyota疑因零件供應商遭駭停工

【2022年2月25日】  SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement