这项消息来自云端服务业者Cloudflare,他们揭露冒牌的RedAlert – Rocket Alerts手机应用程式的攻击行动,骇客于10月12日架设恶意网站(hxxps://redalerts[.]me),其网站内容仿造Elad Nava打造的原始网站(hxxps://redalert[.]me)提供iOS与安卓版本应用程式的下载连结,若是使用者在恶意网站上点选下载安卓版本的按钮,手机会直接下载有问题的APK安装档,而非连往Google Play市集。
研究人员指出,这个冒牌的RedAlert应用程式,虽然看似具备正牌App的相关功能,但此冒牌应用程式安装的过程里,会向使用者请求各式的额外权限,包含存取联络人、简讯、已安装应用程式列表、通话记录、手机IMEI码、应用程式帐号等。一旦启动,此应用程式会启动背景服务来收集上述资料,并采用AES演算法处理后传给骇客。为防范研究人员进行调查,此App还加入了反除错、反模拟、反测试的机制。
Elastic旗下的安全实验室揭露中国骇客使用的后门程式Bloodalchemy,该程式为C语言开发,针对x86架构的电脑而来,攻击者将其注入合法的应用程式处理程序BrDifxapi.exe,透过DLL侧载(DLL Side-loading)的方式启动,当作Shell Code执行,主要攻击目标是东南亚国协(ASEAN)会员国的外交单位,是骇客组织使用的作案工具包REF5961的其中一项元件。
研究人员起初在针对蒙古政府的攻击行动看到相关工具,进一步分析发现该后门程式相当特别,必须透过特定的启动器才能执行,无法独立运作,其有效的功能算是相当有限,因此研究人员推测,此后门程式仍在开发阶段,也有可能是大型作案工具套件的其中一项子功能,也不排除是针对特定目标打造的恶意软体。
【漏洞与修补】
NTLM身分验证安全协定的中继攻击手法不断出现,例如:2021年7月揭露的PetitPotam弱点、2022年7月修补的ShadowCoerce弱点,微软为了解决这个问题,决定逐步降低既有产品对这类协定的依赖,最终达到停用这种协定的目标。
10月11日微软表示,该公司借由扩张Kerberos的能力,支援部分NTLM的功能,一种是IAKerb,允许用户端透过Kerberos在更多异质网路拓扑进行身分验证;另一种则是本机的金钥发布中心(KDC)支援。IAKerb是业界标准的Kerberos通讯协定延伸,允许无法探索网域控制器(DC)的用户端透过能够探索的伺服器进行身分验证,这项工作透过交涉(Negotiate)验证延伸套件执行,允许Windows身分验证堆叠透过代表用户端的特定伺服器,代理Kerberos讯息。
Kerberos本机KDC支援建置于电脑的安全帐号管理员,从而可以让用户透过Kerberos完成本机帐号的远端身分验证。这项功能的支援,主要是利用IAKerb允许Windows在远端及本机之间传递Kerberos讯息的能力,使得组织无须增加DNS、netlogon、DCLocator等服务的支援。另一方面,微软也著手修补Windows元件NTLM的缺陷,并将其移转为Negotiate通讯协定,未来组织透过Kerberos就能使用相关功能。
【其他新闻】