近期中国骇客发起的攻击行动接连传出,上周末才有骇客组织APT41利用恶意程式KeyPlug攻击义大利企业组织的消息,本周有资安业者揭露另一骇客组织从事的网路间谍行动。
值得留意的是,这些骇客专门针对Exchange伺服器下手,对其植入后门程式,企图从中搜刮机密资料,而他们利用的漏洞,就是3年前公布的ProxyLogon、ProxyShell。
【攻击与威胁】
这些骇客究竟如何入侵受害组织?研究人员指出,对方多半重复利用Exchange伺服器的弱点,而能成功取得入侵的初始管道,其中两个经常被利用的漏洞,包含了ProxyLogon(CVE-2021-26855)、ProxyShell(CVE-2021-34473)。
他们也观察到骇客使用的后门程式TunnelSpecter、SweetSpecter,并指出两者皆采用部分木马程式Gh0st RAT的程式码打造而成,TunnelSpecter著重于DNS隧道能力,而SweetSpecter则是与另一支名为SugarGh0st RAT的恶意软体存在相似之处。
5月23日美国网路安全暨基础设施安全局(CISA)将开源资料处理框架Apache Flink漏洞CVE-2020-17519,列入已被利用的漏洞名单(KEV),并要求联邦机构于6月13日前完成修补。
虽然CISA并未透露有关漏洞被利用的相关细节,无从得知攻击者的身分及目的,但值得留意的是,Apache基金会于2021年1月公告、修补这项漏洞,相关资讯已被公布超过3年,也有研究人员公布概念性验证的攻击程式码,这代表攻击者相关利用漏洞不需自行从头研究,后续可能有更多攻击者加入尝试利用漏洞的行列。
【漏洞与修补】
通报这项漏洞的资安业者Codean Labs上周也提出说明,指出PDF.js由JavaScript开发而成,但弱点并非来自此指令码的功能,而是字型的处理层面。为了验证此项威胁的可行性,他们借由特定参数触发PDF.js漏洞,从而插入任意的JavaScript程式码并执行。