伊朗骇客攻击中东国家的情况越来越频繁,最近出现了新的骇客Scarred Manticore,他们主要针对目标组织的Windows伺服器而来。
但值得留意的是,这些骇客的恶意程式与C2连线的管道相当特别,竟是透过作业系统底层的驱动程式来进行,这种手法使得受害组织难以察觉他们的攻击行动。
【攻击与威胁】
研究人员指出,此后门程式与C2进行通讯的做法较为罕见,骇客利用IOCTL(Input and Output Control)介面,直接与底层的驱动程式HTTP.sys进行互动来达成,由于这种方式不透过IIS或HTTP的API,不仅资安防护系统无法监控,也不会留下任何事件记录。
攻击者先是在公开的Discord伺服器佯称区块链工程师,利用社交工程手法,提供加密货币套利机器人(arbitrage bot),引诱目标人士下载带有恶意程式码的ZIP压缩档。一旦目标人士执行其中的Main.py指令码,就有可能导致电脑被植入恶意程式。
在整个攻击链当中,Main.py会触发另一个指令码watcher.py,然后从云端档案储存服务Google Drive下载testSpeed.py,而这个指令码再从另一个Google Drive网址取得名为FinderTools的Python档案。FinderTools下载、执行恶意酬载Sugarloader,最终连线远端伺服器取得Kandykorn,并于记忆体内执行。此后门程式具备列出受害电脑存放的档案、执行恶意程式或命令、泄漏资料、终止处理程序的功能。
10月31日IT业者Atlassian发布资安通告,指出旗下DevOps协作平台Confluence存在重大漏洞CVE-2023-22518,影响所有版本的Confluence Data Center、Confluence Server,此漏洞原因与不适当的授权有关,CVSS风险评分为9.1。
对此,该公司推出7.19.16、8.3.4、8.4.4、8.5.3、8.6.1新版予以修补,并指出攻击者无法借此泄露伺服器的资料,不致影响机密性,目前也尚未出现遭到利用的迹象。
【资安防御措施】
值得留意的是,本次所有成员首度发布联合声明,CRI会员国的政府单位不应支付赎金,展现他们不愿向骇客低头的决心。