资安新闻网站Bleeping Computer指出,该恶意软体的经营者在11月14日提供新功能,让买家能透过金钥复原已经失效的cookie,但这项功能仅限于针对Google帐号,且由于该金钥只能使用2次,买家仅有一次复原cookie的机会,假若卖家标榜的功能确实具备相关功能,这足以对企业组织造成严重的威胁。这项特殊的新功能,经营者只有提供给每个月付费1千美元的Corporate plan用户使用。值得留意的是,上述的功能,并未得到研究人员或是Google的验证。
但这种挟持受害者Google帐号的能力,似乎还有其他骇客掌握相关技术。事隔3天,另一名研究人员g0njxa发现,经营窃资软体Rhadamanthys的骇客也宣称提供类似的功能,Bleeping Computer取得Lumma开发者的说法,很可能是竞争对手从他们的窃资软体复制而得。
资料来源
1.
3.
采用生物辨识技术来强化身分安全,如今相当常见,然而一旦遭到破解,就有可能让攻击者绕过这类身分验证机制。威胁情报业者Blackwing Intelligence揭露在Windows笔电上发现的指纹辨识器弱点,从而绕过Windows Hello的身分验证机制。
研究人员在今年10月下旬微软举办的资安会议BlueHat上,首度展示成果,并利用微软Surface Pro X、联想ThinkPad T14、Dell Inspiron 15进行验证。这些笔电搭配的指纹感应器,由ELAN、Synaptics、Goodix制造,都具备晶片上辨识(Match on Chip,MOC)感应器,以提供较为严谨的指纹比对流程,微软也开发了安全设备连线协定(SDCP),防范指纹辨识器与笔电之间的中间人攻击(MitM)。
但研究人员透过逆向工程,发现感测器实作的缺陷,从而突破上述的防护机制,他们利用自制的Raspberry Pi 4装置进行中间人攻击,从而成功达到目的。
电子邮件安全业者Cofense指出,他们分析了近期的恶意软体DarkGate和PikaBot攻击行动,发现攻击者所发起的网路钓鱼攻击策略,与使用QBot的骇客相同,这些共通点包含了使用电子邮件回复串来进行初期感染、具备独有特征的URL限制使用者存取,以及传送恶意软体到受害电脑的方式也几乎雷同。研究人员推测,这一波恶意软体的攻击者身分,就是原本使用QBot的骇客。
究竟骇客如何掌握特定的电子邮件,以便用于攻击?研究人员推测,很有可能是透过ProxyLogon漏洞(CVE-2021-26855,CVSS风险评分9.8)入侵Exchange伺服器来达成目的。值得留意的是,骇客于受害电脑部署恶意软体的手法,大部分是利用JavaScript Dropper,但也有透过Excel-DNA Loader,以及VBS或LNK下载工具的情况。
11月20日中国石油化学工业开发(中石化)于股市公开观测站发布重大讯息,表示该公司遭遇网路攻击,资安团队察觉异状即启动相关防御机制,并委请外部资安业者、技术专家共同处理,通报相关执法机关。而对于营运是否造成冲击,该公司初步评估尚无重大影响。
【资安防御措施】
近期资安日报