由美国国家安全局(NSA)掌握的SMB v1漏洞「永恒之蓝(EternalBlue)」、于2017年4月被骇客组织影子掮客(The Shadow Brokers)公布,1个月内引发勒索软体WannaCry大规模感染的事故,但有研究人员指出,有其他骇客也利用这项漏洞打造恶意程式,并暗中活动超过5年,直到今年都还有数万台电脑受害。
值得留意的是,这些骇客发起恶意软体攻击的时间最早可能在2016年4月,比影子掮客声称于同年8月窃得相关资料的时间还要早。
【攻击与威胁】
他们发现此Shell Code会透过Wininit处理程序从Bitbucket、GitHub、GitLab下载恶意程式,然后执行PowerShell指令码,过程中利用2017年揭露的永恒之蓝(EternalBlue,CVE-2017-0144)漏洞,最终在受害电脑部署StripedFly。 此恶意程式酬载的档名为system.img,具备洋葱网路的用户端功能,目的是避免网路通讯遭到干扰,而在利用上述漏洞停用SMB v1通讯埠之后,就能透过SSH,将StripedFly散布到位处相同内部网路的Windows、Linux电脑。研究人员估计有超过100万台电脑遭到感染,其中在今年4月至9月仍有近6万台电脑受害。
微软对于该组织近期的攻击行动提出警告,2023年中,这些骇客成为勒索软体BlackCat的附属团体,并对目标组织部署勒索软体,近期主要集中于虚拟化环境VMWare ESXi的伺服器,针对客户支援或是IT服务台的员工进行社交工程攻击,从而取得入侵组织的初始存取权限,从而要求客服人员重置密码或是双因素验证设定。 一旦成功入侵目标组织,骇客便会执行侦察工作,从而掌握高权限,先是从AD大量汇出使用者、群组、装置资讯,再取得虚拟化环境的基础架构,并对于云端环境进行调查,最终部署勒索软体并执行档案加密。过程中为了避免遭到侦测,骇客还会对于资安部门的人员下手,目的是停用资安产品及安全功能,甚至会窜改IT人员的电子邮件规则,自动删除资安系统或是供应商发出的警告。 根据维护密码外泄查询网站Have I Been Pwned的研究人员 Troy Hunt表示,资安业者Gen Digital近期向系统清理程式CCleaner的用户寄送电子邮件,证实他们也在今年5月遭遇MOVEit Transfer零时差漏洞攻击影响,骇客窃取客户的姓名、联络资讯、购买的产品资讯。该公司发言人Jess Monney透露,约有2%用户受到波及,但不愿透露受影响客户数量。 无独有偶,该公司旗下另一家资安业者也传出遭遇该攻击事故,导致资料外泄,今年6月有研究人员发现,勒索软体骇客Clop将Norton LifeLock列为受害组织,Gen Digital也证实他们遭到相关攻击。 对此,研究人员Brett Callow推测,波音可能不是真正的受害公司,应该是该公司的供应商遭骇。 【漏洞与修补】
【资安产业动态】