勒索軟體Cheerscrypt鎖定VMware ESXi而來、工業自動化系統OAS重大漏洞恐造成服務停擺

自去年有不少勒索軟體駭客開始打造可攻擊VMware ESXi虛擬化平臺的工具,這陣子又有新的勒索軟體投入攻擊這類系統的行列。但有所不同的是,這次駭客加密檔案的手法似乎較為複雜,且會特別檢查檔案的存取權限再下手。

駭客在竊得大筆企業客戶資料後,過了一段時間開始有人透過加密通訊軟體Telegram的頻道,散布給其他人士。最近有研究人員發現,駭客透過Telegram頻道來散布美高梅度假村(MGM Resorts)在2年前遭竊的住房資料,估計可能至少有3千萬房客受到影響。

在資安漏洞的消息中,物聯網與工控設備的資料自動化處理平臺存在的資安風險,很可能會導致用戶資訊外洩,或是相關系統面臨服務阻斷的情況。研究人員在自動化系統Open Automation Software Platform上發現8個漏洞,而值得相關產業的組織特別留意,並儘速更新軟體。

【攻擊與威脅】

勒索軟體駭客組織LockBit、Hive、RansomEXX等,這兩年紛紛投入Linux版勒索軟體開發,且主要目標就是鎖定組織的虛擬化平臺VMware ESXi,最近有新的勒索軟體也加入行列,同時攻擊手法出現了變化。

趨勢科技揭露名為Cheerscrypt的勒索軟體,駭客在成功入侵VMware ESXi伺服器後,下達要加密檔案的資料夾路徑,該勒索軟體便會先執行ESXCLI命令來終止所有正在運作的虛擬機器(VM),並在加密檔案之前,先為這些檔案加入.cheer的副檔名,這種先更動檔案名稱再加密的做法算是相當少見,但為何駭客要這麼做?研究人員認為,駭客的目的是為了確認能夠擁有足夠的權限,存取即將要加密的檔案。再者,該勒索軟體也在加密所有檔案後,找出事件記錄(Log)檔案與ESXi相關的檔案(VMDK、VMEM、VSWP、VMSN),並留下勒索訊息,向受害組織索討贖金。

值得留意的是,在檔案加密的過程裡,駭客透過一組公鑰與私錀,來產生私鑰,並透過Sosemanuk串流加密法製造密鑰(Secret Key),並在遭到加密的檔案嵌入公鑰,然後刪除受害系統上的私鑰,一旦受害者想要恢復檔案,就要向駭客取得前述的私鑰才有機會進行解鎖。

數名資安人員在5月上旬,揭露專門鎖定Linux、Solaris主機的後門程式BPFDoor,駭客運用此後門程式長達5年未被發現,最近有資安業者公布更多細節。資安業者CrowdStrike表示,他們從2019年開始針對電信業者的攻擊行動進行追蹤,也發現駭客組織Red Menshen(亦稱DecisiveArchitect)利用BPFDoor(亦稱JustForFun)的攻擊行動,並指出駭客如何掌控執行Solaris作業系統的主機。

研究人員指出,駭客在成功入侵Solaris作業系統後,就會利用存在於XScreenSaver元件的漏洞CVE-2019-3010,來取得root權限,這項漏洞存在於Solaris 11版作業系統,CVSS風險層級為8.8分,駭客很有可能連續使用了長達3年之久,且會在投放BPFDoor後利用此漏洞,然後透過LD_PRELOAD環境變數,在受害主機上進行命令列欺騙攻擊。

到了今年4月,這些駭客調整了攻擊手法,也在Linux主機上濫用相同的變數,同時透過處理程序/sbin/agetty將BPFDoor載入。除上述發現之外,研究人員也指出,駭客在初期的入侵階段也會攻擊Windows電腦,但他們沒有發現駭客對這些電腦植入惡意軟體。

駭客透過加密通訊軟體Telegram的頻道,來洩露竊得資料的情況,有可能讓許多人能夠進行濫用。例如,美高梅度假村(MGM Resorts)於2020年上半傳出資料外洩,駭客在地下市集以2,900美元的價格,出售逾1.42億筆住宿資料,但最近這些資料傳出有人透過即時通訊軟體免費散布。

VPN服務介紹網站vpnMentor的資安研究人員於5月22日表示,他們看到駭客在Telegram的頻道裡,免費提供上述外洩的資料,這些資料的檔案大小約8.7 GB,共有142,479,938筆住房記錄,至少有3千萬房客受到波及。這些資料的內容,包含了2017年以前的資料,內有房客全名、生日、地址、電子郵件信箱、電話號碼等。

不過,上述事故並非駭客首度透過Telegram公布竊得的資料,在今年5月上旬,有人透過Telegram頻道散布2,100萬名VPN用戶的個資,這些服務包含了SuperVPN、GeckoVPN,以及ChatVPN。

勒索軟體駭客往往要求受害者支付贖金,以換取解密金鑰,但也有駭客要求對方從事公益活動來換取。資安業者CloudSEK指出,他們在今年3月發現名為GoodWill的勒索軟體攻擊行動,而這些駭客最引起研究人員注意的地方,在於提供受害者解密金錀的條件,他們要求對方必須依照指示幫助窮人,然後在臉書、Instagram、WhatsApp等社群網站上公開發布相關訊息。

這3件事分別是為無家可歸的人士提供新衣服、帶5個貧窮的兒童到速食店(達美樂、必勝客、肯德基擇一)飽餐一頓,以及為需要緊急醫療的窮人支付相關費用。受害者完成上述要求後,還必須在社群網站上發布訊息,表明自己因為遭到勒索軟體GoodWill攻擊後,依照駭客的要求成為願意幫忙他人的人士。如此一來,駭客就有可能會提供給他們可復原檔案的解密金錀。

根據研究人員的調查,駭客很可能來自印度,GoodWill疑似修改自土耳其開發者的勒索軟體HiddenTear,入侵受害電腦後會休眠722.45秒來干擾端點防護系統的分析,並使用AES演算法加密檔案,此外,該勒索軟體還會檢查受害電腦的地理位置。

 

【漏洞與修補】

資料自動化排程及處理系統的資安威脅,有可能洩露組織的機敏資料,甚至讓攻擊者遠端執行任意命令。思科威脅情報團隊Talos指出,他們在自動化系統Open Automation Software Platform(OAS Platform)上,找到8個漏洞,當中包含了重大漏洞CVE-2022-26833與CVE-2022-26082,這兩個漏洞的CVSS風險評分達到9.4分、9.1分。攻擊者一旦利用這些漏洞,就有可能在未經身分驗證的情況下使用REST API,或是能執行任意程式碼。

其餘的6個漏洞,部分可讓攻擊者透過偽造的網路請求,發動阻斷服務(DoS)攻擊,有的則能讓攻擊者取得資料夾清單,甚至能截取使用者帳密列表,而也有漏洞可被攻擊者用於從外部竄改組態,建立新的群組與使用者帳號。

上述漏洞OAS獲報後,已發布OAS Platform 16.00.0112版予以修補,研究人員呼籲用戶應儘速安裝新版程式。

隨著遠距工作成為常態,視訊會議系統一旦出現漏洞,有可能讓他人可以隨意向用戶發送訊息。Zoom於5月17日發布用戶端軟體5.10.0版,這個版本修補了Google研究人員通報的4項漏洞,影響電腦版(Windows、macOS、Linux)與行動裝置(Android、iOS)用戶。

這些漏洞個別的CVSS風險層級為5.9分至8.1分,但研究人員指出,駭客一旦串連上述4個漏洞 ,就有可能發動XMPP Stanza Smuggling的攻擊行動,進而以發送XMPP訊息的方式,從遠端伺服器下載並部署惡意程式到對方裝置上,而且過程中無須受害者執行任何操作。Zoom呼籲用戶儘速更新軟體修補上述漏洞。

研究人員揭露去年通報的漏洞,有可能被用於點選挾持攻擊(Clickjacking)而引起外界關注。資安人員h4x0r_dz最近公布他在去年10月向PayPal通報的漏洞,並指出攻擊者一旦利用這項漏洞,有可能藉著劫持網頁上可點選的內容,引誘使用者點選另一個網頁上的按鈕或是連結。

該名研究人員指出,攻擊者可透過這樣的管道,從他人的PayPal帳號偷取金錢,或是利用受害者的PayPal帳號,為自己的Netflix、Steam等線上服務儲值。研究人員也提供概念性驗證攻擊影片驗證上述漏洞。PayPal獲報後已修補相關漏洞,並提供20萬美元獎勵。

 

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

來源鏈接:https://www.ithome.com.tw/news/151159

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

您可能也會喜歡…