【資安日報】2022年12月21日,駭客利用新手法OWASSRF入侵Exchange、烏克蘭軍事情報系統遭駭客鎖定

針對資安業者在9月底揭露ProxyNotShell漏洞,微軟雖然提供了修補程式與緩解措施,但現在傳出這些做法已被駭客繞過!資安業者CrowdStrike發現駭客運用了名為OWASSRF的手法來攻擊Exchange,並指出有別於原本駭客濫用自動探索(Autodiscover)來觸發ProxyNotShell,這次濫用的是該系統的網頁版郵件管理介面OWA來達成目的。

駭客利用竊密程式來偷取各式資料的情況可說是相當氾濫,而這樣的工具也可能被用於攻擊軍事系統──烏克蘭電腦緊急應變小組(CERT-UA)揭露針對軍事情報系統而來的竊密軟體攻擊,駭客佯稱更新電腦憑證的名義來下手,企圖盜取軍人電腦裡的相關帳密資料。

現今熱門的AI機器人ChatGPT能力強大,但很有可能成為駭客濫用的目標!有研究人員進行實際驗證,利用該機器人打造釣魚郵件及惡意附件,藉此警告這樣的工具有可能遭到濫用。

【攻擊與威脅】

勒索軟體駭客利用新的攻擊手法OWASSRF,針對Exchange下手

資安業者CrowdStrike調查勒索軟體Play的攻擊行動裡,發現駭客利用新的手法OWASSRF來攻擊Exchange,進而繞過微軟為ProxyNotShell漏洞(CVE-2022-41080和CVE-2022-41082)的緩解措施,濫用網頁版郵件管理介面Outlook Web Access(OWA)來遠端執行任意程式碼(RCE)。在成功入侵受害組織後,駭客便利用遠端存取工具Plink、AnyDesk來維持存取的管道,並於Exchange上採取反制取證的手法,來隱匿攻擊行動。

該公司根據研究人員Dray Agha發現駭客的概念性驗證(PoC)工具進行分析,認為駭客利用的漏洞,很可能也與微軟今年11月修補的CVE-2022-41080有所關連。

烏克蘭軍事情報系統Delta遭到竊密軟體攻擊

烏克蘭電腦緊急應變小組(CERT-UA)於12月19日提出警告,該國用於進行軍事情資收集的管理系統Delta遭到鎖定,駭客對操作該系統的軍事人員發送釣魚郵件,聲稱使用者必須更新憑證才能繼續使用此情資系統,並在附上安裝說明的PDF檔案,內有下載憑證的URL,一旦收信人依照指示操作,電腦就有可能被植入竊密軟體StealDeal,以及FTP檔案竊密工具FateGrab。

CERT-UA指出,為了降低收信人戒心,駭客所提供的憑證部署工具,具有看似正常的安裝流程──先是產生數個DLL程式庫檔案,然後啟動ais.exe執行「安裝」,而這些作案工具駭客濫用VMProtect軟體保護機制加殼,使得防毒軟體難以偵測。

惡意PyPI套件假冒資安公司名義,竊取開發者電腦資料

資安業者ReversingLabs揭露惡意PyPI套件攻擊行動SentinelSneak,駭客疑似假借提供資安業者SentinelOne軟體開發套件(SDK)名義,自12月11日至13日,陸續在PyPI套件庫發行一款名為SentinelOne的惡意Python套件,總共被下載超過1千次。

研究人員進一步分析指出,此套件內含SentinelOne用戶端安裝程式與後門程式,但為了回避偵測,程式庫的相關惡意功能不會在此套件部署時就觸發,而是在編譯程式碼的過程才會啟動。該後門程式將會收集開發者在電腦上執行的Shell命令記錄,這些命令很有可能包含了SSH金鑰、Git、K8s、AWS服務的帳密。

駭客透過PyPI套件庫散播竊密軟體W4SP變種

資安業者Phylum在11月初,揭露濫用PyPI套件庫散布W4SP竊密程式的攻擊行動,但如今手法出現了變化。研究人員最近發現駭客於PyPI平臺發布一批惡意套件,這些套件被用於散布Satan Stealer、ANGEL Stealer、Leaf $tealer、@skid STEALER、Fade Stealer等竊密軟體,但進一步比對後,上述皆為W4SP的變種,駭客只是將W4SP的名稱換掉。

而對於攻擊者的身分,研究人員表示仍有待進一步調查,但這些駭客似乎在仿效W4SP的攻擊手法,他們研判並非11月初事件的那批駭客所為,而是另有其人。

AI機器人ChatGPT可用於社交工程攻擊,Check Point揭露能以此產生夾帶惡意程式碼的釣魚信攻擊手法

席捲全球的聊天AI機器人ChatGPT具備創作、翻譯、編寫程式碼的能力,但水能載舟亦能覆舟,駭客也有可能將其用於攻擊行動。資安業者Check Point揭露了濫用ChatGPT的攻擊手法,他們先是要求ChatGPT冒充一家公司,再反覆訓練產生含有惡意Excel檔案的釣魚郵件,以及替Excel檔案製作攻擊所需的惡意VBA程式碼。

經過這番訓練過程,研究人員便能藉此聊天機器人產生帶有惡意Excel檔案的釣魚郵件,一旦收信人上鉤,駭客就能在電腦部署反向Shell及對應的程式碼,進而控制受害電腦。研究人員認為,這樣的AI機器人將有可能改變網路威脅態勢。

中國電動車業者蔚來傳出車主資料外洩事故,對方向該廠商勒索225萬美元比特幣封口費

中國電動車業者蔚來於12月20日發出聲明,表示他們遭到勒索,對方聲稱握有該公司的內部資料,要求支付價值225萬美元的比特幣,來換取資料不被公開。該公司初步調查後得知,遭竊資料為2021年8月以前中國的使用者與車輛銷售資料,並向監管機關通報。不過,該公司並未透露有多少人士遭到這起資料外洩事故影響。

勞保資料傳出流入駭客論壇的消息!但勞保局表示無外洩情事

12月上旬立委召開記者會呼籲政府應積極說明全臺戶政資料外洩處理狀況,當時也提到同個駭客論壇上,有人兜售2800萬筆勞保資料。對此,勞動部勞工保險局於19日做出說明,經過比對後,駭客的資料與他們持有的內容、特徵、格式並不相符,研判並非勞保局資料庫的資料,相關調查單位初步排除該網站資料是勞保局的資料檔。此外,他們的資料庫也沒有遭到攻擊的記錄,勞保局研判無資料外洩情事。

【漏洞與修補】

研究人員揭露macOS漏洞Achilles,能繞過應用程式檢測機制Gatekeeper

微軟安全威脅情報小組(Microsoft Security Threat Intelligence)揭露向蘋果通報的macOS漏洞Achilles(CVE-2022-42821),一旦遭到利用,攻擊者就能繞過該作業系統的應用程式檢測機制Gatekeeper,進而於受害電腦執行惡意程式,影響2017年以後生產的所有Mac電腦。蘋果獲報後發布macOS Ventura 13、macOS Monterey 12.6.2、macOS Big Sur 11.7.2修補。

研究人員警告,對於濫用Achilles的攻擊,macOS Ventura用於保護高風險人士的封閉模式(Lockdown Mode),並無法抵禦此類手法,使用者應儘速安裝相關更新因應。

 

【其他資安新聞】

俄羅斯駭客企圖入侵北約國家的煉油廠

惡意軟體Glupteba濫用區塊鏈發動攻擊

竊密軟體RisePro透過惡意軟體服務PrivateLoader散播

安卓木馬BrasDex鎖定巴西銀行用戶而來

運動投注網站DraftKings證實資料外洩,6.7萬賭客個資曝光


近期資安日報

*【2022年12月20日】 FBI威脅情資交換平臺用戶個資驚傳流入暗網、4至5年前修補的思科產品漏洞出現攻擊行動*

*【2022年12月19日】 連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊*

*【2022年12月16日】 向量圖檔SVG被駭客用於偷渡惡意軟體QBot、臉書貼文被用於網釣攻擊鏈*

原文來自 iThome Online