骇客破坏位于印度、推广藏传佛教的网站,并埋入恶意指令码,然后将其用于水坑式攻击,并且入侵图博软体公司的供应链。一旦发现使用者来自台湾、香港、印度、澳洲、美国,就会显示假的错误网页,要求下载档名为certificate的「修正程式」,此为恶意程式载入工具,以便攻击者为下个阶段做准备。研究人员循线进行调查,发现骇客于去年9月入侵也在印度、开发藏文翻译软体的公司网站,并在网站里储存数个木马应用程式,用途是对受害电脑散布Windows或macOS恶意程式载入工具。附带一提,攻击者也滥用图博新闻网站Tibetpost代管恶意酬载。
研究人员在这起攻击行动里,发现骇客最终对Windows电脑散布MgBot、Nightdoor等后门程式,而在Mac电脑的攻击方式,对方则是植入多款尚未命名的恶意程式。根据骇客使用的恶意程式,再加上C2伺服器的IP位址,研究人员指出攻击者的身分是Evasive Panda,并指出对方先前在攻击台湾宗教组织的行动中,也曾使用MgBot、Nightdoor。
根据他们的调查,对方寄送钓鱼邮件,声称以安全为由要求收信人变更密码,若是照做,收信人会被导向Cloudflare图灵验证系统(CAPTCHA),以及伪造的微软登入网页,一旦收信人输入帐密资料,攻击者就有可能进行对手中间人攻击(AiTM),将资料传输到正牌的登入网页,并进行双因素验证,从而挟持收信人的微软帐号。
研究人员指出,上述两个组织都架设了网钓工具的服务平台(Phishing-as-a-Service,PhaaS),Tycoon的平台phishingkit主要是能够绕过双因素验证(MFA),而Storm-1575则是设置名为Phoenix Panel(原名dadsec)的平台,从事对手中间人攻击。
WordPress有多个外挂程式陆续遭揭漏资安漏洞
综合资安业者Snicco、Wordfence、Patchstack的研究与分析,在WordPress众多外挂程式当中,有3个陆续被揭露漏洞,这些工具包含:用于布景主题的Bricks Builder、会员系统Ultimate Member、网站效能LiteSpeed Cache存在漏洞。
这些弱点的严重性偏高,例如,Bricks Builder有RCE漏洞CVE-2024-25600(CVSS风险评分9.8),Ultimate Member有SQL注入漏洞CVE-2024-1071(CVSS风险评分9.8),LiteSpeed Cache有跨网站指令码漏洞CVE-2023-40000,风险评分尚未确定,但因为安装此工具的网站数量高达5百万台,因此也需多加留意。
值得留意的是,CVE-2024-25600已被用于攻击行动。Patchstack于2月14日侦测到尝试利用漏洞的迹象,并指出攻击者透过恶意软体停用Wordfence、Sucuri等资安业者提供的外挂程式;Wordfence也发现相关攻击行动,他们在19日表示,已在过去24小时封锁5起攻击行动。
资料来源
1.
3.
5.
1月19日微软证实遭遇俄罗斯骇客组织Midnight Blizzard入侵,该组织企图透过高阶主管与资安人员的电子邮件来打听情报,如今该公司公布后续的调查结果。3月8日微软表示,他们找到对方利用电子邮件系统进行未经授权存取的证据,目的是存取原始码储存库及内部系统,不过,截至目前为止他们并未发现面向客户的系统遭到入侵的迹象。
此外,他们也发现骇客尝试挖掘不同类型的机敏资讯,部分是来自与客户往来的邮件。值得留意的是,骇客似乎投入了更多资源对其发动攻击,因为2月发动的密码泼洒(Password Spray)等多种类型的攻击数量大增,比起前一个月成长10倍。
【漏洞与修补】
Google发布3月安卓例行更新,修补系统元件、高通晶片的重大漏洞
3月4日Google发布本月份的安卓例行修补,总共修补38个漏洞,13个涉及作业系统的框架与系统层面,25个与第三方元件有关。
其中有2个作业系统本身的漏洞被列为重大层级而受到关注,这些漏洞存在于安卓12至14版作业系统,皆为系统层面的漏洞,CVE-2024-0039可被用于远端执行任意程式码(RCE),另一个则是CVE-2024-23717,攻击者可用于提升权限。
而在第三方元件的部分,存在高通于闭源元件的CVE-2023-28578,其威胁严重性被列为重大层级,此为记忆体中断的弱点,在晶片核心服务执行单一事件监听器移除的工作时出现,CVSS风险评分为9.3。
资料来源
1.
近期资安日报