【资安日报】11月6日,滥用企业脸书帐号散布NodeStealer窃资软体的攻击行动再度出现,想看裸照的使用者是目标

利用企业脸书帐号来散布窃资软体NodeStealer的攻击行动,约莫半年前开始出现,迄今已发生数起。这些攻击行动的共通点,在于骇客的主要目标,都是锁定经营企业脸书帐号的使用者,或是想要牟取相关职务的人士。

但在近期发生的一起攻击行动里,骇客改变了攻击目标,针对一般的使用者下手,在短短10天内就有10万人上当。

 

【攻击与威胁】

骇客先是设置多个脸书个人页面,这些帐号都能显示上述的裸露照片,然后再假借提供一整组色情图片的名义打广告,表明他们更新了相簿内容,或是限时开放下载,引诱使用者上当。一旦使用者点选广告内容,就有可能从程式码储存库Bitbucket、GitLab,或是云端档案共享系统Dropbox下载压缩档,其内容包含名为Photo Album的.EXE档案。

使用者若是开启这些执行档,电脑就有可能被植入以.NET打造的窃资软体NodeStealer,攻击者不只能借此控制受害者的脸书帐号、加密货币钱包,这次出现的新版窃资软体还能入侵Gmail、Outlook帐号,并下载其他恶意程式。值得留意的是,为了避免有人举报广告而东窗事发,攻击者同时最多只会上架5组广告,并在一天之内就进行切换。

资安业者BitSight揭露名为Socks5Systemz的代理伺服器僵尸网路,骇客透过名为PrivateLoader及Amadey的恶意程式载入工具,将僵尸网路机器人注入电脑的记忆体内执行,并设置名为ContentDWSvc的服务,以便持续于受害电脑运作。此机器人酬载为32位元DLL程式库,大小仅有300 KB,并透过网域产生演算法(DGA)与C2连接,传送受害电脑的系统资讯。

研究人员透过骇客利用TCP的1074埠,总共发现了1万个遭到入侵的电脑,以及53台用于基础设施的伺服器,这些伺服器分布于法国、保加利亚、荷兰、瑞典等欧洲国家。

而对于事件发生的原因,他们认为可能是其中一名员工的Google帐号遭骇所致,该名员工在公司的笔记型电脑上,于Chrome浏览器登入自己的Google帐号,并储存了客户支援系统的服务帐号及密码。

根据Okta透露的事件发生时间表,最早察觉异状的是密码管理解决方案业者1Password,他们在9月29日向Okta通报,但直到两周后,身分验证业者BeyondTrust于10月13日提供相关IP位址,Okta才确认是他们的客户支援系统遭骇,并于17日停用前述的服务帐号、终止连线阶段(Session),隔日于骇客入侵数个小时后,找出了该系统的漏洞。

 

【漏洞与修补】

11月2日微软揭露未来安全倡议(Secure Future Initiative),将从3个层面推动资安,包含:聚焦以人工智慧(AI)为基础的资安防御、强化基础软体工程以及宣导更强大的国际规范。这项倡议的其中一项重要支柱是人工智慧,原因是现今最大的网路安全挑战,就是专业资安人才的严重缺乏,再加上攻击速度、规模、复杂程度加深攻防不对等的情况,导致组织难以全面预防、破坏攻击行动。

另一方面,该公司也透露他们内部软体工程的相关变更,包括软体开发的转型,采用新的身分保护,以及加快漏洞回应速度。该公司借由自动化与AI改变开发方式,采用动态安全开发生命周期(dynamic Security Development Lifecycle),在撰写程式、测试、部署及运作的过程中,把持续整合与持续交付(CI/CD)的理念延伸为持续整合防护(Continuously Integrate Protections)。再者,他们将加速自动化威胁模型的运用,于商业产品全面利用CodeQL进行程式码分析,持续扩大C#、Python、Java、Rust等记忆体安全的程式语言采用。

资料来源

1.  

【其他新闻】