两周前骇客入侵网际网路档案馆(Internet Archive),并窜改其网页,向密码外泄资料库Have I Been Pwned(HIBP)提供窃得的逾3千万笔帐号资料,如今这起事故出现新的发展。
在这波攻击行动里,骇客滥用该网站的IT服务台系统Zendesk向用户寄信「警告」,并取笑维护团队处理资安事故的速度极为缓慢,用户的资料外流到不知名人士手中。
【攻击与威胁】
10月9日网际网路档案馆(Internet Archive)传出遭到骇客入侵,该网站首页遭到窜改,骇客取笑其安全性弱不禁风,并向密码外泄资料库Have I Been Pwned(HIBP)提供窃得的逾3千万笔帐号资料,事隔2周,该网站传出再度遭到攻击的情况。
根据资安新闻网站Bleeping Computer报导,他们得知有些用户收到「来自网际网路档案馆团队」的电子邮件,内容提及在上一起资安事故2周后,网际网路档案馆对于所有被曝露在GitLab的API金钥,并未进行彻底轮替而持续曝险。
寄信人声称,根据他们发送的这封范例信,包含了IT服务台Zendesk的Token,他们能够借此存取自2018年寄出的逾80万笔工单资料。这样的讯息,显示寄信者实际上并非网际网路档案馆团队成员,这名寄信人强调,收信人的资料目前流落到某个不知名的人士手上,意思应该是提醒当事人资料外泄。
今年5月、6月资安业者Sekoia、Proofpoint针对社交工程攻击行动ClickFix提出警告,指出相关攻击最早在3月就出现,骇客组织TA571借由伪造错误讯息视窗,引诱使用者上当,执行PowerShell指令码,并在电脑植入Matanbuchus、DarkGate、NetSupport RAT等恶意软体,如今Sekoia再度提出警告,又有骇客加入ClickFix攻击的行列,他们利用冒牌Google Meet视讯会议网站,对于Windows和macOS使用者散布窃资软体。
骇客在这些视讯会议网页上,佯称麦克风或是耳机出现异常,引诱使用者按下Fix it或Try Fix,然而使用者若是依照指示操作,对方就会在Windows电脑植入窃资软体StealC、Rhadamanthys,macOS用户也无法幸免,因为骇客会趁机散布另一款窃资软体AMOS Stealer。