利用使用者偷懒、输入错误,进行名称混淆的攻击手法,最近两到三年非常汜滥,而最常见的攻击对象,就是针对使用NPM、PyPI套件的开发人员,如今有人将这种攻击手法运用到云端环境,引起云端服务监控业者的注意。
云端服务监控业者Datadog揭露针对AWS用户而来的攻击手法whoAMI,攻击者使用名称混淆手法提供虚拟机器映像档,就有机会在使用者的EC2执行个体执行任意程式码。值得留意的是,已有AWS帐号实际受害的情况发生。
【攻击与威胁】
名称混淆的攻击手法,大多出现在NPM、PyPI等开源套件上,如今有骇客针对云端环境的虚拟机器映像档下手,让搜寻特定名称映像档的使用者中招。
云端服务监控业者Datadog旗下的资安实验室指出,他们去年发现名为whoAMI的攻击手法,任何人只要能以特定的名称发布Amazon Machine Image(AMI),就有机会利用存在弱点的AWS帐号执行任意程式码。研究人员推测,约有1%的组织的AWS帐号存在弱点,且有数千个AWS帐号可能已遭遇相关攻击。对此,Datadog于9月中旬通报,AWS确认后随即进行修补。
为何这家业者会发现这项能被用于攻击的弱点?Datadog资安实验室云端安全研究员暨倡议者Seth Art指出,他们在去年8月发现有多个软体专案出现不寻常的情况,例如,在这些专案当中,会恶意搜寻特定AMI并试图建立EC2执行个体,因而Datadog决定著手调查攻击者如何下手。
俄罗斯骇客发动网路钓鱼的攻击手法翻陈出新,最近有两组资安研究人员提出警告,这些骇客开始假借安全为由,使用者必须绑定装置的才能通过身分验证为幌子,发动装置验证码(Device Code)网钓攻击行动。
2月13日微软威胁情报团队指出,他们发现与俄罗斯有关的骇客组织Storm-2372,自去年8月发起大规模的装置验证码网钓攻击,这些骇客意图欺骗使用者登录生产力应用程式,然后从登录过程的Token拦截相关资讯,而能存取受害者的Microsoft 365帐号。值得留意的是,这波攻击行动仍在持续进行。
无独有偶,资安业者Volexity同样也发现有俄罗斯骇客组织利用装置验证码的网钓攻击事故,微软在调查报告也有提到这家厂商的发现。Volexity从今年1月中旬看到不寻常的网路钓鱼活动,并指出有多个俄罗斯骇客参与,最终目的就是假借设备验证码的身分验证流程,破坏M365帐号。