随著国际局势日益紧张,航太设施的重要性变得越来越重要,与这个领域有关的企业与组织也成为骇客窃取机密的重要目标,甚至有专门锁定航太机构的骇客组织出现。
有资安业者揭露专门针对航太产业从事网路间谍行动的骇客组织AeroBlade,并指出这些骇客在1年内仅进行两波攻击,而且他们采用了多种手法藏匿行踪,使得受害组织难以察觉有异。
【攻击与威胁】
而在今年7月,这些骇客发起第二波攻击,研究人员比对两起攻击行动骇客所使用的工具及手法,发现骇客的反向Shell都连向相同的IP位址,但第二次加入了更多回避手法,而能持续从受害组织窃取资料不被察觉。
这项漏洞最初是由微软与乌克兰电脑网路危机处理小组(CERT-UA)共同发现,为权限提升漏洞,攻击者可传送带有特定MAPI属性的恶意邮件触发漏洞,收信人连向骇客控制的SMB共享资料夹,导致骇客能够取得Net-NTLMv2的杂凑值,进而执行NTLM重放攻击(NTLM Relay)。 而在这一波漏洞攻击行动里,微软发现骇客不光利用CVE-2023-23397,还可能会搭配其他已知漏洞,例如:WinRAR漏洞CVE-2023-38831,或是浏览器排版引擎MSHTML排版引擎漏洞CVE-2021-40444。波兰网路司令部(Polish Cyber Command)也在当地察觉类似的攻击行动,并提供工具让IT人员来检查Exchange伺服器是否受害。 资料来源 1.
研究人员指出,有别于一般macOS应用程式开发者大多提供DMG映像档,这次骇客使用的是PKG封装档案,而有可能在安装的过程里,同时执行恶意指令码,从而以安装程式取得的管理员权限进行档案修改、自动执行,或是执行命令。 在这次攻击行动当中,使用者一旦执行这类恶意安装程式,就有可能触发PKG档案内嵌的指令码,进而执行木马程式,此为伪装成Google组态档案(GoogleHelperUpdater.plist)的WindowServer系统处理程序档案,启动后会透过DNS-over-HTTPS(DoH)与C2连线,接收攻击者下达的命令。 根据彭博社的报导,Google旗下的威胁情报团队提出警告,在最近半年里,中国政府资助的骇客对台湾的网路攻击行动大幅增加,并且采用复杂的手段来隐匿攻击来源。其中一种方法是渗透家用或小型办公室的路由器,取得控制权并将其用于攻击行动。 Google资深工程主管Kate Morgan透露,他们监控超过100个中国骇客组织,这些骇客锁定台湾的各行各业,包含国防单位、政府机关、民间企业。 勒索软体骇客LockBit声称攻击台湾自动化设备业者盟立 威胁情报平台FalconFeeds.io、ThreatMon指出,勒索软体骇客组织LockBit于12月3日,将台湾自动化设备厂盟立(mirle.com.tw)列于其暗网网站上,并要求该公司在12月8日前向他们联系。不过,究竟骇客窃得多少资料,目前仍不得而知。对此,我们也向盟立进一步询问,但截稿之前并未得到回复。 资料来源