【資安日報】2022年10月21日,WordPress推出6.0.3版修補16個漏洞、惡意軟體Ursnif要求受害者文件輸入驗證碼來降低警覺

WordPress最近發布了6.0.3版,當中修補了16個漏洞,但值得留意的是,其中一項漏洞最有機會被利用,原因是攻擊者不需通過身分驗證就能發動攻擊。

駭客為了降低受害者的警覺,近年來也會利用一些使用者經常會遇到的真人與機器人程式驗證機制,讓大家誤以為會查核身分的網站就是合法網站。例如,近期發動的Ursnif惡意軟體攻擊,駭客就將惡意檔案放在需要輸入CAPTCHA驗證碼的網頁。

小心線上轉檔服務也成為駭客傳播惡意軟體的管道!有人架設冒牌的文件格式轉換服務網站,雖然此網站提供上傳功能,但若是照做,使用者很可能會在電腦裝上竊密軟體。

【攻擊與威脅】

資安業者Mandiant揭露近期新的惡意軟體Ursnif變種(LDR4版),研究人員在6月下旬觀察到被用於攻擊行動,駭客主要以人才招募為幌子寄送釣魚郵件,要求收信人點選連結下載Excel檔案。一旦收信人照做,就會被引導至下載網頁,該網頁會要求輸入CAPTCHA驗證碼才能取得。若是收信人開啟此Excel檔案,電腦將會被植入Ursnif。

這個惡意程式的用途也有所變化。研究人員表示,過往版本Ursnif的主要功能是金融木馬,新的LDR4則是後門程式,駭客很有可能藉此散布勒索軟體或其他惡意程式。

提供將不同格式文件轉換的網站,現在也成為駭客假冒的對象!資安業者Cyble揭露散播竊密軟體RedLine Stealer的攻擊行動,駭客設置了冒牌的Convertio轉檔網站,一旦使用者依照指示上傳想要轉換的檔案,並選擇輸出格式,該網站就會提供ZIP壓縮檔案,但若是使用者下載到電腦解壓縮,只會看到LNK捷徑檔YourConvertedFile.lnk。

一旦執行,電腦就會透過批次檔執行PowerShell命令,在系統內建防毒軟體Microsoft Defender的排除清單當中,加入可執行檔、批次檔,以及C磁碟機,讓系統對這些檔案與儲存位置停止惡意檔案的掃描,然後再下載帶有PDF檔案圖示的YourConvertedFile59417.exe並執行,進而在受害電腦植入RedLine Stealer。

在美國擁有26家醫院的非營利醫療照護系統Advocate Aurora Health,發出公告坦承發生外洩病患資料的事故,起因是為了改善服務而使用Google與Meta等第三方的網路追蹤技術,而外洩了病患的資料,為了謹慎起見,已通知所有病人(約300萬人)。該機構發現,安裝在MyChart、LiveWell及其他預約工具中的追蹤程式,會將特定的病患資訊回傳這些追蹤程式的製造商。

而類似的情況已非首例,今年8月,,將132萬名病人健康資料曝露給Meta及其合作夥伴。

勒索軟體駭客組織OldGremlin自2020年開始鎖定俄羅斯發動攻擊,過往都是加密Windows電腦,但最近該組織也對Linux主機下手。資安業者Group-IB在調查今年發生的攻擊行動中,發現OldGremlin的主要目標是一臺Linux伺服器,駭客使用了勒索軟體TinyCrypt的變種版本,而這個變種與Windows版本採用的演算法相同,都是使用AES演算法並以RSA-2048非對稱金鑰加密檔案。

除此之外,研究人員也發現駭客的入侵手段仍是寄送釣魚郵件,但從原本將惡意軟體挾帶於附件,如今變成引誘受害者從檔案共享服務下載,而難以察覺異狀。

 

【漏洞與修補】

內容管理系統WordPress於10月17日發布6.0.3版,當中總共修補了16個漏洞,有4個達到高風險等級。資安業者Wordfence指出,其中最容易被利用的漏洞,是可透過媒體庫SQL注入的跨網站指令碼(XSS)漏洞,CVSS風險評分達8.8分(尚未取得CVE編號),原因是攻擊者不需經過身分驗證就能利用。

 

【資安防禦措施】

巴西聯邦警察於8月啟動黑雲行動(Operation Dark Cloud),緝拿2021年橫行巴西政府單位的駭客組織Lapsus$成員,最近有了新的成果,他們於10月19日宣布逮捕了其中一名成員,不過並未公布嫌犯姓名、年齡,或是其他資訊。

 

【其他資安新聞】

 

近期資安日報

https://www.ithome.com.tw/news/153764

您可能也會喜歡…