本月初揭露的网钓工具包Rockstar 2FA,资安业者Trustwave指出它的前身是DadSec、Phoenix,但最近有新的调查指出,疑似即将重出江湖的Rockstar 2FA平台网路犯罪业者,近期改为经营新的网钓工具包租用服务。
资安业者Sophos指出,他们留意到骇客一个月前开始关闭Rockstar 2FA部分基础设施,事隔数周,名为FlowerStorm的工具包开始出现相关活动的迹象。
【攻击与威胁】
本月初资安业者Trustwave揭露网钓工具包Rockstar 2FA,卖家以租用型式提供买家运用(Phishing-as-a-Service,PaaS),此工具包主要的目标是使用者的Microsoft 365(M365)帐号,如今有研究人员发现,经营该网钓工具包的卖家疑似另起炉灶,再度开发另一款新的网钓工具包供打手租用。
资安业者Sophos指出,从去年11月出现的Rockstar 2FA,在今年11月活动突然变得极为安静,根据他们的遥测资料,骇客部分的基础设施出现停摆的情况,相关的网页无法使用,但这些现象发生的原因并非执法单位围剿,而是此系统后端出现异常所致。
事隔数周,研究人员发现新的网钓工具包租用服务FlowerStorm活动变得频繁,并发现该网钓工具包与Rockstar 2FA有共通特征,疑似源自另一个用Telegram机器人运作的网钓工具包租用服务Tycoon,因为两者之间有许多共通功能。
锁定老旧连网设备的攻击行动层出不穷,原因是这类设备很久以前就已进入生命周期结束(EOL)的状态,厂商不会提供更新软体修补相关漏洞,使得攻击者有机会持续用来发动攻击。
例如,资安业者Akamai最近揭露的僵尸网路攻击事故,就是典型的例子。他们发现台厂永恒数位通讯科技(Digiever)旗下网路视讯监视设备(NVR)DS-2105 Pro遭到锁定,攻击者针对一项漏洞而来,借此散布僵尸网路病毒Mirai的变种Hail Cock,其特别之处在于,骇客运用了ChaCha20、XOR演算法进行处理有效酬载,而能够回避资安系统侦测。
这起事故的发现,源于Akamai资安事件回应团队(SIRT),他们在11月中旬察觉针对全球蜜罐陷阱特定URI的攻击,当时他们初步分析认为,这是一起以Mirai为基础的恶意软体攻击行动,至少从10月开始进行,过程中骇客利用一项尚未登记CVE编号的漏洞。
德国联邦资讯安全办公室(BSI)于12月12日表示,他们已经利用DNS陷坑(Sinkholing)的手段,中断恶意程式BadBox的运作,并透露该国至少有3万台设备受害,但其他国家是否也出现灾情?有研究人员公布新的调查结果。
这些遭到BadBox感染的设备形成僵尸网路,主要是被骇客用来用作非法代理伺服器,或是远端程式码安装攻击、帐号滥用、广告诈欺。在前一波攻击行动里,一度有多达7.4万台装置遭到绑架,在相关活动被阻断后似乎就销声匿迹,然而,实际上并非如此,相关活动不仅持续进行,而且规模更大,僵尸网路的用途也变得更为广泛。
资安业者BitSight指出,他们近期找到BadBox新的基础设施,进一步进行遥测发现,骇客控制了超过19.2万台安卓装置,而且,这个数字目前仍持续增加当中。值得留意的是,这些遭感染的装置当中,大部分是研究人员过往不曾遇到的型号,例如Yandex 4K QLED智慧电视、海信(Hisense)智慧型手机T963。
其他攻击与威胁
12月18日CISA发布行动通讯最佳实作指引(Best Practice Guidance for Mobile Communications),并表明这些指引内容就是针对前述中国骇客相关攻击行动进行回应,适用于攻击者可能会高度感到兴趣的人士,例如:政府机关的高层。
当中最受到关注的部分,就是建议人们改用Signal这类实作全程加密(E2EE)的加密通讯软体,来对他人进行通讯,CISA提及用户挑选这类通讯软体的必要条件,是至少有针对iOS和安卓作业系统实作全程加密,使得用户能够在不同平台之间进行安全的通讯。