【資安日報】8月25日,北韓駭客Lazarus鎖定歐洲、美國組織,利用Zoho ManageEngine服務臺系統漏洞發動攻擊
北韓駭客Lazarus近期的動作頻頻,不時傳出對於臨近的韓國,以及位於地球另一端的歐洲國家發動攻擊,而最近研究人員揭露的新一波攻擊行動,是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是,駭客在漏洞公布的數天後,就將其用於攻擊行動,而讓尚未修補的企業組織措手不及。
另一方面,研究人員發現駭客也改良了作案工具,使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。
【攻擊與威脅】
思科威脅情報團隊Talos發現,北韓駭客組織Lazarus鎖定IT服務臺系統Zoho ManageEngine ServiceDesk而來,他們利用重大漏洞CVE-2022-47966(CVSS風險評分為9.8)發動攻擊,目標是歐洲及美國的網際網路基礎設施供應商、醫療保健機構。
研究人員在今年初看到駭客入侵歐洲網際網路基礎設施供應商,並成功於受害組織部署惡意程式QuiteRAT,後續他們調查駭客的基礎設施,發現這個攻擊團體同時打造另一款惡意程式CollectionRAT。
分析它們的特性之後,研究人員指出,QuiteRAT可能是MagicRAT的改良版本,功能大致相同但程式碼較為精簡,且縮減使用的Qt程式庫,使得本體從18 MB降為4 MB;CollectionRAT則是從EarlyRAT衍生而來,其特色是整併了Microsoft Foundation Class(MFC)程式庫,而能動態解密並執行程式碼,進而迴避資安系統偵測。
資料來源
1.
2.
資安業者Secureworks揭露名為Whiffy Recon的惡意程式,他們發現建置殭屍網路Smoke Loader的駭客,約自8月8日開始向感染病毒的電腦投放此Wi-Fi掃描工具,藉由電腦附近的Wi-Fi節點,並將相關資料透過Google的地理位置追蹤API進行定位。
一旦電腦被植入Whiffy Recon,就會先偵測是否存在名為WLANSVC的服務,然後透過機器人程式向C2伺服器註冊,接著每分鐘執行一次Wi-Fi無線網路的掃描,濫用Windows作業系統的WLAN API收集所需資料,並向Google的地理位置定位API發送HTTPS POST請求,提供Wi-Fi節點的資料。待Google回傳對應的坐標位置後,該惡意程式會向C2回傳受害電腦的無線網路與地理位置資訊。
資安業者Malwarebytes揭露新一波的惡意軟體DarkGate攻擊行動,駭客透過惡意廣告及搜尋引擎最佳化中毒(SEO Poisoning)手法,假借提供網管工具Advanced IP Scanner的名義來散布DarkGate。
一旦使用者從駭客的網站下載安裝程式並執行,就有可能在安安前述的網管工具過程中,電腦也被植入惡意程式。研究人員後來又看到數起DarkGate的攻擊行動,其共通點是駭客所提供的安裝程式當中,皆包含了Autoit指令碼,並將惡意酬載進行混淆處理而能迴避防毒軟體偵測。
資安業者ESET揭露名為Telekopye的Telegram機器人,駭客將其用於發動自動化的網路釣魚攻擊,透過範本檔案產生釣魚網頁,然後寄送URL給目標使用者。
研究人員找到多個版本的Telekopye,駭客很可能從2015年就開始使用這套機器人工具,捏造eBay、BlaBlaCar 、YULA、OLX的購物網頁,一旦使用者上鉤,在駭客的付款網頁上輸入信用卡或借記卡的資料,此機器人就會將其用來洗劫被害人,然後透過加密貨幣洗錢,最終統籌贓款。另一種釣魚手法則是鎖定賣家而來,說服他們必須支付押金才能收到貨款來行騙。
屏東借錢。感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器。大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車。三洋服務站全台據點。
資安業者Barracuda於5月20日派送更新程式,遠端修補郵件安全閘道ESG的重大漏洞CVE-2023-2868(CVSS風險評為10分),後來在6月7日呼籲用戶更換設備,現在美國政府也提出類似的看法。
美國聯邦調查局(FBI)於8月23日發布資安通告,指出由於迄今中國駭客積極利用上述漏洞發動攻擊,再加上Barracuda提供的更新程式無法助緩解已遭到攻擊的系統,他們呼籲用戶應儘速隔離並更換所有受到影響的ESG系統,並掃描網路環境是否出現遭到入侵的跡象。
【漏洞與修補】
資安業者Tenalbe在Rockwell Automation的精簡用戶端設備管理系統ThinManager上,發現CVE-2023-2914、CVE-2023-2915、CVE-2023-2917,CVSS風險評分介於7.5至9.8。這些漏洞出現在遠端桌面連線(RDP)伺服器的管理元件ThinServer上,由於未進行正確的輸入驗證,而可能導致該系統發生記憶體整數溢位,或是造成路徑穿越的情形,攻擊者有可能藉此來發動阻斷服務攻擊,或是利用系統權限刪除任意檔案,或是上傳檔案到部署ThinServer的磁碟。
研究人員指出,利用這些漏洞必備條件是存取目標伺服器所在的網路環境,之後就有機會完全控制ThinServer。由於這套系統通常被用於監控OT環境的人機介面(HMI),攻擊者很有可能藉著漏洞入侵HMI,甚至進一步攻擊網路環境裡其他的設備。對此,美國網路安全暨基礎設施安全局(CISA)於8月22日發出警告,呼籲企業組織應儘速套用緩解措施。
資料來源
1.
2.
【其他新聞】
近期資安日報
https://www.ithome.com.tw/news/158448