【資安日報】2022年12月9日,美國軍火供應商遭到俄羅斯駭客TAG-53攻擊、研究人員揭露惡意軟體封裝平臺Zombinder

俄羅斯駭客針對歐美國防產業發動攻擊的情況又添一樁!威脅情報業者Recorded Future揭露美國軍火供應商Global Ordnance的釣魚網站攻擊行動,值得留意的是,英國、波蘭的武器供應商也可能受害。

伊朗駭客利用合法的遠端管理工具Syncro來發動攻擊也值得留意,用戶難以從收到的郵件與附加檔案察覺有異,因為駭客寄信的電子郵件信箱看起來正常,使得收信人容易降低警覺,而照著信中的指示操作。

攻擊者竄改合法的應用程式安裝程式來挾帶惡意軟體的手法,現在也有專門的封裝服務出現!研究人員揭露名為Zombinder的惡意軟體封裝平臺,駭客利用這種平臺來散布Windows與Android的惡意程式,已有數千個受害者。

【攻擊與威脅】

威脅情報業者Recorded Future揭露俄羅斯駭客TAG-53的攻擊行動,駭客鎖定美國軍火供應商Global Ordnance進行網路釣魚,他們透過名稱相仿的網域,設置冒牌的微軟登入網頁,企圖騙取該公司員工的帳密。

然而研究人員進一步調查發現,這些駭客總共設置了38個用於網釣的網域,其中有9個網域他們推測出駭客的攻擊目標,這些組織又以歐美航空及國防產業最多,但也有衛星通訊業者、非政府組織(NGO)受害,當中有2個網域可能是針對俄羅斯內政部。

資安業者Deep Instinct自今年10月發現伊朗駭客組織MuddyWater的攻擊行動,駭客針對以色列、埃及、伊朗、約旦、卡達、阿拉伯聯合大公國(UAE)等國家下手,使用遠端管理工具Syncro來掌控受害者的電腦。

攻擊者寄送帶有HTML檔案的釣魚郵件,一旦收信人開啟附件檔案,該HTML檔案就會引導收信人從檔案共享服務OneDrive、Dropbox、OneHub下載Syncro安裝程式,使用者若是依照指示安裝,電腦將會成為駭客「列管」的對象,駭客將會部署後門程式並將其做為存取整個組織的管道。

研究人員指出,由於駭客散布的釣魚郵件與附件沒有顯著的攻擊特徵,而不會被郵件安全系統攔截。使用者若是收到要求安裝軟體的信件,應先向IT部門進行確認,再依照指示操作。

駭客利用Word、Excel檔案散布惡意軟體的情況相當常見,但現在也有其他Office應用程式遭到濫用。資安業者Trustwave揭露近期散布木馬程式Formbook的攻擊行動,駭客透過釣魚郵件挾帶微軟筆記軟體OneNote的檔案(.ONE),信件內容宣稱是確認收信人公司的報價回覆,並表示先前詢問的報價資料如附件。

一旦收信人開啟附件檔案,就會看到「檢視文件」的按鈕,按下後會觸發Windows指令碼檔案(WSF)執行,進而在受害電腦植入Formbook。研究人員指出,駭客為了混淆視聽,將上述的WSF檔案的檔名加入由右至左書寫的Unicode字元U+202E,導致檔名倒過來顯示,如:將xcod.wsf變成fsw.docx。

資安業者Morphisec揭露勒索軟體Babuk變種病毒的攻擊行動,駭客鎖定市值數十億的製造業者下手,該公司有上萬臺工作站電腦與伺服器主機,駭客先進行為期兩週的偵察行動,並入侵網域控制器,再設置群組原則物件(GPO)來大量部署惡意軟體。

研究人員指出,這次攻擊行動出現的Babuk,與過往的版本最為顯著的差異在於,駭客結合了開源的規避偵測軟體,以及更為隱蔽的側載手法,使得上述製造業者部署的次世代防毒軟體、EDR系統並未將其識別為有害。

駭客在發動惡意軟體攻擊的過程中,為了降低受害者警覺,很可能會改造應用程式的安裝檔案,從中偷渡惡意軟體,如今在網路犯罪圈也依此概念衍生出專門的軟體封裝平臺。

資安業者ThreatFabric在調查安卓惡意軟體Ermac的攻擊行動時,意外在暗網發現名為Zombinder的惡意軟體封裝平臺,多個組織的駭客將其用於製造帶有Ermac、金融木馬Xenomorph的安卓應用程式安裝檔案(APK),以及帶有Laplas剪貼簿截取工具、竊密軟體Aurora與Erbium的Windows軟體安裝程式。研究人員粗估有數千名受害者不慎執行由Zombinder產生的「安裝程式」,其中,竊密軟體Erbium已成功從1,300名受害者偷取各式帳密。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

微軟安全威脅情報團隊揭露DEV-0139駭客組織的加密貨幣詐騙攻擊,駭客看上加密貨幣投資公司利用Telegram群組提供VIP客戶服務,他們假冒是這類投資公司,邀請攻擊目標對他們與同行收取的手續費提供意見。一旦目標人士信以為真,他們就會收到惡意Excel檔案,並依照指示開啟巨集,此檔案將會下載帶有惡意程式的PNG圖檔,並解密惡意DLL檔案與後門程式,並在受害電腦部署。研究人員指出,駭客為引誘受害者啟用巨集,刻意為部分工作表加上密碼保護。

雲端服務業者Akamai的資安研究團隊於11月發現殭屍網路KmsdBot,該殭屍網路病毒專門透過SSH連線入侵採用弱密碼的裝置,目的是將其用於挖礦。但在調查的過程裡,研究人員調整了其中一個殭屍網路病毒的C2中繼站配置,結果因為指令有誤,導致所有受害裝置上的KmsdBot停擺。

 

【其他資安新聞】

 

近期資安日報

https://www.ithome.com.tw/news/154640

您可能也會喜歡…