多國警告全球關鍵基礎設施成俄羅斯下一波攻擊目標、手機晶片漏洞恐波及安卓用戶

俄羅斯國家級駭客在烏克蘭戰爭中頻頻對烏克蘭出手,不時破壞該國的關鍵基礎設施,或是散布不實訊息,擾亂民眾視聽。但最近五眼聯盟提出警告,這些駭客在烏克蘭戰爭的戰況僵持不下的時候,疑似打算改對全球其他國家進行報復,鎖定關鍵基礎設施下手。

手機晶片的聲音解碼器模組出現漏洞,而很可能影響大量安卓手機用戶,雖然晶片業者已著手修補,但用戶很可能要等待製造商將其納入新版韌體。

在雲端服務中,攻擊者利用管理不當的帳密,或是藉由配置不當進行入侵,使得管理者人心惶惶。但為了避免管理者察覺,近期駭客也採取了較為隱密的手法,而比較不易東窗事發。

【攻擊與威脅】

俄羅斯對烏克蘭發動戰爭後,受到許多國家的經濟制裁,現在傳出聲援該國政府的駭客組織打算對全球發動網路攻擊。美國、加拿大、英國、紐西蘭、澳洲於4月20聯手發布資安通告指出,俄羅斯政府支持的駭客組織與網路攻擊行動,很可能不再集中攻擊烏克蘭,而是對於全球其他國家下手,呼籲基礎設施業者應嚴陣以待。這些駭客這麼做的原因,很可能是想要報復各國對俄羅斯的經濟制裁,或是反擊各國發動的網路攻擊。

遭到五眼聯盟點名的俄羅斯國家級駭客組織,包括俄羅斯聯邦安全局(FSB)、駭客組織Dragonfly(亦稱Energetic Bear)、俄羅斯外國情報局(SVR)、俄羅斯情報局(GRU)、GRU特別技術中心(GTsST)、特勤中心(GTsSS),以及俄羅斯FGUP中央化學暨機械學研究所國家研究中心(TsNIIKhM)。

在全球因疫情導致糧食短缺之際,勒索軟體駭客看準了可能會影響收成的時機,向相關組織發動攻擊,而使得受害組織為了避免先前的努力付諸流水,選擇支付贖金。美國聯邦調查局(FBI)於4月20日對食品生產與農業業者提出警告,勒索軟體駭客很可能選擇在種植或是收成的期間展開攻擊,該單位獲報在2021年秋季的收成期間,勒索軟體駭客針對6家糧食合作社下手,在2022年初駭客也發動2起攻擊行動,企圖中斷種子與肥料的供應,進而延誤耕種的時間。FBI指出,駭客認為合作社在農業生產過程扮演了重要的角色,很可能願意支付贖金來避免營運中斷,而將其視為主要的攻擊目標。

勒索軟體Black Cat(亦稱Alphv)因其前身是BlackMatter、DarkSide,而引起資安人員關注,但這些駭客更改組織名稱後依舊持續發動攻擊。美國聯邦調查局(FBI)於4月19日發布資安通告指出,勒索軟體Black Cat於2021年11月至2022年3月,至少入侵全球超過60個組織,是全球第一款採用程式語言Rust打造的勒索軟體,意味著該勒索軟體可能具備較佳的執行效率,以及擁有較為可靠的工作排程,而讓受害組織更難以防範。該組織多半利用已經外洩的使用者帳密入侵,一旦建立連線,駭客將會挾持AD管理者與使用者的帳號,進而使用群組原則(GPO)與Windows工作排程來部署勒索軟體。在攻擊的過程中,駭客不只會運用Cobalt Strike,還會濫用Windows管理者工具與Sysinternals工具包進行寄生攻擊(LoL)。FBI也提供入侵指標(IoC)與建議緩解措施,供組織防範相關攻擊。

趨勢科技於今年3月揭露駭客組織TeamTNT鎖定AWS的攻擊行動,但駭客疑似在研究人員公布細節後再度進行調整,而能夠規避資安系統的偵測。思科於4月21日指出,他們看到TeamTNT蠕蟲程式的變種,駭客利用惡意的Shell程式碼,鎖定AWS發動攻擊,但研究人員發現,上述的程式碼也能在內部建置或是容器的Linux環境中運作。

這些駭客的主要目的是竊取帳密,但研究人員也發現負責其他工作的TeamTNT酬載,有的被用於挖掘加密貨幣,有的供駭客橫向移動或是持續在受害環境運作。此外,他們發現也有TeamTNT的程式碼針對阿里雲而來,能夠停用阿里巴巴提供的防護工具。值得留意的是,TeamTNT的挖礦攻擊僅會占用7成處理器資源,而非全部,管理者可能要透過相關的儀表板才能察覺。

,許多新的竊密軟體接連出現,近期甚至有人打著免費的旗號,提供這類作案工具給駭客使用。防毒軟體業者G Data指出,他們從3月下旬開始看到有人免費散布名為Ginzo Stealer的竊密軟體,自3月20日至30日於惡意軟體檢測平臺VirusTotal上就發現超過400個檔案,這代表了此竊密軟體相當受到駭客的歡迎。此竊密軟體可竊取Chrome、Firefox、Opera等瀏覽器的Cookie與密碼,以及存放於桌面的檔案、Telegram連線階段、Discord的Token、加密貨幣錢包等。

但駭客為何會採取免費提供Ginzo Stealer的策略?研究人員認為很有可能是為了培養未來的買家,而且,在其他攻擊者使用Ginzo Stealer的時候,也會將竊得的資料同時回傳給提供此竊密軟體的駭客組織。

駭客竊取加密貨幣的管道,從過往主要針對加密貨幣交易所下手,演變至今已將目標轉向去中心化(DeFi)平臺。資安業者Chainalysis近期公布他們對於加密貨幣犯罪的調查報告,駭客在2021年總共偷取價值32億美元的加密貨幣,但在2022年第1季,駭客已經竊得13億美元,而且幾乎(97%)都是來自DeFi平臺。為何駭客會特別針對這類平臺而來?研究人員認為,主要與這類平臺採取開放原始碼的開發模式有關,駭客經由原始碼來找尋可利用的漏洞而較能得逞;其次,則是這類平臺上維護各類加密貨幣的定價機制不穩定,而讓駭客有機會發動閃電貸款(Flash Loan)攻擊。

研究人員認為,DeFi平臺業者可能需要透過更嚴格的程式碼審查,並採取較為嚴格的安全防護機制來防堵上述攻擊行為。

臺灣大型電子佈告欄批踢踢實業坊(PTT)自4月19日起,有多名網友在ID_Problem看板發文表示無法登入,帳號疑似遭到挾持。批踢踢實業坊於22日凌晨3時在粉絲專頁做出說明,表示這些使用者無法存取自己帳號的原因,很可能是與其他網站共用密碼而遭外洩,或是過去曾使用不安全的連線方式所致。批踢踢實業坊已連繫警方,並提供異常登入相關資訊供警方調查,並指出目前沒有發現密碼被暴力破解的狀況。

 

【漏洞與修補】

蘋果研發的無失真聲音壓縮格式ALAC,於2011年開放相關原始碼,而使得其他廠牌的裝置也能支援這類格式,但蘋果在發布之後,未曾針對這些公開的原始碼進行維護,而使得導入這些原始碼的裝置曝露於危險。資安業者Check Point指出,高通與聯發科在行動裝置晶片裡,就採用了這些老舊的原始碼支援播放ALAC檔案,攻擊者一旦利用相關漏洞,將能透過錯誤格式的聲音檔案,在行動裝置上發動RCE攻擊,恐有三分之二的安卓裝置受到波及。

經研究人員通報後,高通與聯發科皆於2021年12月予以修補,前者將上述漏洞登記為CVE-2021-30351,後者則是以CVE-2021-0674與CVE-2021-0675列管。

Apache基金會於3月中旬,發布網頁伺服器軟體HTTP Server的2.4.53版,修補數個漏洞,最近有NAS業者公布旗下產品受到影響的情況。威聯通於4月20日發出資安通告指出,Apache於2.4.53版網頁伺服器軟體裡總共修補了4個漏洞:CVE-2022-22719、CVE-2022-22720、CVE-2022-22721、CVE-2022-23943,該公司的NAS設備主要是受到CVE-2022-22721與CVE-2022-23943影響,前者影響執行32位元版系統的設備,後者則與啟用mod_sed的Apache HTTP Server有關。

該公司表示,他們仍在針對漏洞的影響範圍進一步調查,並儘快提供更新軟體,但用戶可先透過調整相關設定來緩解漏洞帶來的風險。例如,該公司建議將LimitXMLRequestBody的參數調回預設的1M,來緩解CVE-2022-22721;而針對CVE-2022-23943,他們建議停用mod_sed模組來因應。

思科於4月20日發布3.3.2版的Umbrella的虛擬應用設備(Virtual Appliance),主要是修補SSH連線身分驗證漏洞CVE-2022-20773,這項漏洞與Umbrella系統本身的靜態SSH主機金鑰有關,一旦攻擊者加以利用,就有可能在Umbrella虛擬應用設備的SSH連線過程進行中間人(MitM)攻擊,進而取得管理員帳密、竄改配置,或是讓攻擊者重新讀取此虛擬應用設備,CVSS風險層級為7.5分。不過,該公司也強調,採用預設配置的Umbrella虛擬應用設備因沒有啟用SSH服務,不受上述漏洞波及。

 

來源鏈接:https://www.ithome.com.tw/news/150572

您可能也會喜歡…