駭客組織Black Basta鎖定虛擬化平臺發展勒索軟體、攻擊者利用微軟Office重大漏洞對烏克蘭下手

在有許多企業導入虛擬化平臺的情況下,有越來越多勒索軟體駭客最近幾年也相繼開發針對VMware ESXi的勒索軟體。而傳聞可能是俄羅斯駭客組織Conti改名的Black Basta,在4月開始活動之後,現在也開始攻擊上述的虛擬化平臺。

微軟Office的MSDT零時差漏洞CVE-2022-30190自揭露至今,已傳出數起攻擊行動。而這樣的漏洞也出現在針對烏克蘭政府的攻擊行動,使得烏克蘭電腦緊急應變小組(CERT-UA)提出警告,並公布入侵指標(IoC)。

駭客運用Office檔案發動攻擊不時有事故傳出,其中有許多是利用惡意巨集下載作案工具,而使得資安系統難以從Office檔案發現攻擊徵兆。但最近有駭客使用過往相當罕見的手法,將惡意程式藏匿在檔案屬性資料當中。

【攻擊與威脅】

勒索軟體駭客組織鎖定企業的VMware虛擬化平臺發動攻擊,紛紛開發Linux版的勒索軟體,最近又有駭客組織投入這塊領域。根據資安新聞網站Bleeping Computer的報導,甫於今年4月開始行動的勒索軟體駭客組織Black Basta,最近針對VMWare ESXi伺服器製作新的勒索軟體,該勒索軟體執行後會搜尋受害伺服器的/vmfs/volumes檔案資料夾,使用ChaCha20演算法加密虛擬機器(VM)的相關檔案,並使用多個處理器加速作案的過程,最後在加密完成後留下勒索訊息。研究人員指出,這應該是該駭客組織首度針對虛擬化平臺而來的攻擊行動。

微軟的MSDT零時差漏洞CVE-2022-30190,也被駭客用於攻擊烏克蘭政府機關。烏克蘭電腦緊急應變小組(CERT-UA)於6月2日發出資安通告,指出他們發現有人以調整薪資的名義,發送挾帶Word檔案的釣魚郵件,一旦收信人開啟附件,電腦就會執行JavaScript指令碼,進而利用MSHTML漏洞CVE-2021-40444,以及近期被揭露的MSDT零時差漏洞CVE-2022-30190,下載滲透測試工具Cobalt Strike的Beacon到受害電腦。烏克蘭電腦緊急應變小組公布了入侵指標(IoC),供相關單位加以防範。

與Windows系統診斷工具(MSDT)有關的零時差漏洞CVE-2022-30190,自5月底揭露以來已有數起攻擊事故,如今這個漏洞也被用於傳送惡名昭彰的QBot。資安業者Proofpoint於6月8日指出,他們看到駭客組織TA570正在利用上述漏洞,投放惡意軟體QBot。

這些駭客挾持含有HTML附件的郵件訊息,收信人一旦開啟附件,電腦就會下載ZIP壓縮檔,其內容是IMG光碟映像檔,當中包含了Word檔案、LNK捷徑檔案,以及DLL程式庫。LNK檔案的作用是執行DLL程式庫,來啟動QBot,而Word檔案一旦被開啟,將會載入HTML檔案,進而執行PowerShell並利用CVE-2022-30190,下載QBot到受害電腦。資安新聞網站Bleeping Computer認為,駭客同時運用兩種執行QBot的方法,很有可能是正在挑選效果較佳的做法。

攻擊者透過Office檔案挾帶惡意軟體時有所聞,但最近出現了新的手法引起研究人員關注。HP的威脅情報團隊揭露近期的惡意軟體SVCReady攻擊行動,駭客組織TA551(亦稱Hive0106、Shathak)疑似從4月22日開始,發動釣魚郵件攻擊,挾帶含有惡意巨集的Word檔案,在受害電腦投放惡意程式SVCReady。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎?機會是留給努力改變現況的人們,別再浪費一分一秒可以接觸商機的寶貴時間!

但這起攻擊行動相當不同的是,駭客將載入惡意程式的管道,埋藏在Word檔案的屬性裡面,VBA巨集被觸發後,會重組上述檔案屬性的字串執行Shell Code,接著於受害電腦投放並執行SVCReady,不久後攻擊者又將該惡意軟體刪除。在上述的過程中,駭客不需要透過PowerShell或是MSHTA等內建工具,從遠端伺服器下載作案工具。研究人員在其中1臺受害電腦裡,看到駭客植入了竊密程式RedLine進行第二階段的攻擊行動。

 

【漏洞與修補】

受到許多廉價手機採用的中國紫光展銳(Unisoc),其手機晶片存在漏洞而引起資安人員注意。資安業者Check Point指出,他們透過搭載紫光展銳晶片的Motorola手機進行研究,結果發現重大漏洞CVE-2022-20210,CVSS風險評分達到9.4分,一旦攻擊者利用這項漏洞,很可能可以造成手機的LTE網路無法使用,甚至可以發動遠端執行程式碼攻擊。這項漏洞通報後紫光展銳已予以修補,Google亦打算將相關修補程式碼納入6月份的例行更新。

雖然目前上述漏洞尚未出現遭到利用的跡象,但該廠牌的系統單晶片多半運用於廉價手機(該廠牌全球市占約11%,僅次於蘋果、高通、聯發科),而這些手機的廠商很可能較少推送更新程式,有可能使得相關修補進度緩慢。

 

【資安防禦措施】

為提升國家關鍵基礎設施防護水準,全球各國均設法透過真實網路安全事件,舉行網路攻防實戰演練,例如,美國的CyberStorm,。今年6月初,歐盟將舉辦第6次的Cyber Europe,這項演練的主要目的,是測試歐洲關鍵基礎設施遭遇大規模網路事件時,現有的機制、程序,以及資訊流,是否足以因應危機,參與者能藉此機會,強化技術與行動上的專業知識,以及處理危機溝通的能力。為了因應COVID-19疫情導致的網路威脅加劇,Cyber Europe 2022將聚焦在醫療領域的資安應變,在6月進行為期兩天的演練。

 

來源鏈接:https://www.ithome.com.tw/news/151349

廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

網站的第一印象網頁設計,決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計,採用精簡與質感的CSS語法,提升企業的專業形象與簡約舒適的瀏覽體驗,讓瀏覽者第一眼就愛上它。

廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司,除了模組化的架站軟體,我們的營業主軸還包含:資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

您可能也會喜歡…