台湾厂商遭遇网路攻击的情况不时传出,但最近出现一起资安事故相当特别,骇客窜改该公司的网站,宣称窃得大量的资料,并扬言若不付钱,将公布所有客户资料,并让该公司员工失业。
今日鸿海旗下的半导体设备厂京鼎的网站出现遭到窜改的情况,但究竟是只有网站受到影响,还是公司的IT环境遭到勒索软体攻击,仍有待进一步厘清。
【攻击与威胁】
鸿海旗下的半导体设备厂京鼎网页遭到窜改,骇客声称窃得该公司5 TB内部资料
研究人员指出,以RV320为例,骇客利用了35个在2019年揭露的韧体漏洞,所有的CVSS风险评分皆在9分以上。而针对骇客所使用的工具,在名为中国菜刀(China Chopper)的Web Shell之外,他们还看到另一个档名为fy.sh的作案工具,而且,对方的目标不光是针对美国,也锁定英国、澳洲的政府机关下手。
在针对Hadoop的攻击行动里,他们看到对方锁定其中的元件YARN下手,利用ResourceManager的不当配置,从而在未经身分验证的情况下建置并执行应用程式。攻击者远端发出特制的HTTP请求,而有机会在目标主机上执行任意程式码。另一个遭到针对的对象则是Flink,骇客也是针对组态不当而来,在无须通过身分验证的情况下远端执行任意程式码。 在这起攻击行动里,骇客会在上述2种系统部署名为dca的恶意软体酬载,执行后会下载挖矿软体及其他恶意程式,为了回避侦测,攻击者将ELF程式加壳,亦使用Rootkit,而且还会窜改特定资料夹内容及系统配置来抹除踪迹。
资安业者趋势科技揭露利用上述漏洞散布窃资软体Phemedrone Stealer的攻击行动,他们发现骇客在即时通讯软体Discord、档案传输服务FileTransfer.io等云端环境,上传一系列恶意的网际网路捷径档案(.URL),骇客亦将其中的网址透过Shorturl.at等短网址服务进行处理。一旦使用者上当,执行这些URL档案,电脑就会连上攻击者的伺服器,下载、执行Windows控制面板项目(.CPL)档案,从而回避SmartScreen的防护机制,呼叫rundll32.exe执行恶意DLL档案,执行PowerShell从GitHub下载名为DATA3.txt的恶意程式,从而载入更多作案工具,最终于受害电脑执行Phemedrone Stealer。 此窃资软体由C#打造而成,能挖掘浏览器、密码管理器、加密货币钱包、Discord、Telegram、Filezilla、Steam的使用者资料,或是借由萤幕截图来收集硬体、位置、作业系统资讯,然后经由Telegram频道或C2伺服器回传。 CISA将该漏洞列入KEV后,联邦机构必须在1月31日前完成修补。 根据资安业者Forescout的调查指出,在5月24日至26日出现12起锁定上述漏洞的攻击行动,但攻击来源的IP位址与SektorCERT公布的不同,也有其他骇客在25日对丹麦的关键基础设施发动攻击。 他们认为这起攻击行动并非专门锁定该国能源基础设施而来,也不是国家级骇客的针对性攻击,而且攻击在SektorCERT公布的时间之后仍然持续进行,范围也随之扩大,且并未锁定特定行业,不过,其中有近8成的攻击行动是锁定欧洲地区而来。 会出现这样的情况,Forescout的判断是该地区采用兆勤的防火墙比例相当高,因为他们透过物联网搜寻引擎Shodan就找到逾4.3万台可透过网际网路存取的防火墙,其中有78%在欧洲、义大利就占近四分之一。 【其他新闻】