【資安日報】2022年5月25日,駭客竄改PyPI與PHP套件意圖竊取AWS帳密、美國汽車製造商通用遭帳號填充攻擊

針對開發人員的攻擊行動,本週我們在23日報導有人假冒知名的Apache Kafka用戶端Python套件,在PyPI套件庫上架名為pymafka的惡意軟體,但這種鎖定PyPI套件庫而來的攻擊行動今天再度發生,而且,攻擊者也同時針對PHP版本的套件出手。

使用者在不同網站服務共用相同帳密的情況,也相當嚴重,這也使得駭客可能得以透過帳號填充攻擊(Credential Stuffing),取得他們多個系統的帳號控制權。美國汽車製造商通用(GM)近期指出,有部分車主的帳號遭人利用上述手法存取,並盜用當中的紅利點數。

日前VMware針對旗下的多項產品修補身分驗證漏洞CVE-2022-22972,近期有資安業者表示他們已能觸發漏洞,並提出警告。因為,這樣的情況表示也可能有人可能也破解漏洞,並打算加以用於攻擊行動。

【攻擊與威脅】

駭客針對開發者下手的資安事故,有不少是針對NPM套件而來,但近期有人同時對於兩種不同的套件庫出手。資安業者Sonatype於5月15日發現,近期名為ctx的PyPI套件出現新的版本0.2.2,但在該公司進一步分析後,確認此版本帶有惡意程式碼,開發者安裝後將會在受害電腦收集相關環境變數,並回傳到特定的網域。

值得留意的是,研究人員在21日,看到攻擊者再度出手,針對原本於2014年發布的0.1.2版進行竄改,加入上述的惡意程式碼。對此,研究人員對開發人員提出警告,即使使用這些套件的先前版本,還是有可能遭到波及,因此,使用者下載套件後還是要進行檢查,來確保取得的是沒有遭到竄改的版本。

無獨有偶,駭客也對於ctx程式庫的PHP版本PHPass出手,提交有問題的程式碼,功能同樣是收集受害電腦的相關變數並進行回傳。而駭客發動攻擊的意圖,研究人員Somdev Sangwan推測,很有可能是為了竊取開發人員的AWS帳密與相關參數。

先前有駭客針對航空公司的里程點數下手,入侵旅客的帳號,但最近汽車產業走向數位轉型,有些車廠藉由提供車主保養記錄,並搭配消費贈送紅利點數的制度,長期經營客戶,有人鎖定上述汽車製造商提供車主的系統發動攻擊。

美國汽車製造商通用(General Motors,GM)自5月16日開始,開始發送電子郵件通知部分車主,他們的GM帳號可能在4月11日至29日之間,出現異常登入的情形,而且,這些車主的紅利點數疑似遭到盜用。

經過調查後發現,車主外洩的資料包含了姓名、電子郵件帳號、照片、搜尋記錄、累積點數的記錄等,不包括生日、社會安全碼、駕照、金融資訊。該公司察覺此事後已停用這些帳號的點數功能,並要求用戶重設密碼。

而對於此事造成的原因,GM指出駭客是透過帳號填充(Credential Stuffing,亦稱撞庫)攻擊而得手,藉由車主已遭外洩的其他網站應用程式帳密,嘗試存取GM網站,他們呼籲用戶,不要在多個服務使用相同的帳號和密碼,讓攻擊者有機可乘。根據資安新聞網站Bleeping Computer的報導指出,GM的車主網站未提供雙因素驗證機制,也是這起事件之所以發生的另一項原因。

中國與俄羅斯關係匪淺,但在中國政府遲遲沒有具體表明烏克蘭戰爭的立場下,近期卻不斷傳出該國駭客攻擊俄羅斯的情況。例如,資安業者Check Point揭露他們在上個月發現的Twisted Panda攻擊行動,中國駭客組織APT10(亦稱Cicada、Stone Panda)與Mustang Panda(亦稱HoneyMyte、RedDelta)聯手,針對俄羅斯國防公司Rostec旗下的兩個研究機構,以及位於白俄羅斯明斯克的實體下手,這些駭客假冒俄羅斯聯邦衛生部(Russian Ministry of Health),並以美國對當地企業進行制裁的名義,發動釣魚郵件攻擊,挾帶含有惡意內容的Word檔案。

一旦收信人開啟,該文件就會從外部下載DOTM範本檔案,而這個Word範本內含的巨集程式碼則會從作業系統核心導入API函數並使用,進而載入名為cmpbk32.dll或cmpbk64.dll的程式庫,並在受害電腦植入後門程式Spinner。

研究人員指出,根據他們進一步調查的結果,這些攻擊工具約從2021年3月開始開發,並採用進階的規避偵測手法,像是透過記憶體內多層載入,或是編譯器層級的混淆手法等,很可能約自2021年6月就用於攻擊行動。

 

【漏洞與修補】

VMware於5月18日修補CVE-2022-22972、CVE-2022-22973(CVSS風險層級為9.8分與7.8分),,現在有資安業者拆解漏洞後提出警告。資安業者Horizon3.ai近日表示,他們已經成功重現存在於Workspace ONE等產品的漏洞CVE-2022-22972,該公司也預告將會發布概念性驗證攻擊程式(PoC),以及對於該漏洞詳細的技術細節。研究人員亦呼籲用戶要儘速採取緩解措施。

資安業者於5月初,揭露,最近有防毒業者針對旗下產品修補相關弱點。根據資安新聞網站Bleeping Computer的報導,趨勢科技於5月20日發布資安通告,表示他們針對Moshen Dragon駭客組織利用的漏洞著手修補,並已透過主動式更新機制(ActiveUpdate)派送到用戶電腦。該公司指出,這項漏洞波及的範圍,主要是個人版的端點防護產品,企業版解決方案不受影響,但沒有明確列出受影響的產品名單。

但對於其他遭到駭客濫用的防毒軟體元件,相關業者是否會跟進予以修補?,目前僅有Bitdefender向他們提出說明,表示旗下防毒產品用戶不會受到DLL搜尋順序挾持(DLL Search Order Hijacking)攻擊影響,該公司也不會發布資安通告。

 

近期資安日報

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

來源鏈接:https://www.ithome.com.tw/news/151130

廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

您可能也會喜歡…