EDR是网路攻击者的眼中钉,除了设法回避侦测,若能设法攻陷、破坏这些资安产品与服务、败坏资安公司商誉,对他们自然有很大的好处,而对于资安厂商而言,协助客户做好防护之余,自保也很重要!4月底资安业者SentinelOne揭露有多组人马针对他们而来的情况,这些攻击者大致可分成3种类型,分别是以IT工作者名义求职的北韩骇客、试图存取及滥用该公司资安平台的勒索软体骏客,以及锁定他们客户及业务的中国骇客组织。如今该公司针对中国骇客的活动,公布更完整的调查结果。
针对相关事故的调查过程,SentinelOne指出他们起初于去年10月,察觉骇客侦察该公司网路环境的活动并进行追踪,结果发现两波攻击行动,并将活动命名为PurpleHaze和ShadowPad。该公司强调,经过彻底调查及确认,他们的基础设施、软体与硬体均未被入侵。
而对于受害企业的部分,SentinelOne表示,发生在他们网路环境的活动,仅是这些骇客攻击活动的一部分,最早可追溯到去年6月,而且,该公司并非唯一的目标,他们认为,自己遭到攻击仅是大规模攻击的一部分。
最近几年许多人报复性出游,并选择以自助旅行的方式出国,为了安排住宿,很有可能会透过订房网站来挑选旅馆,然而骇客也看上这点来引诱旅客上当,借此散布恶意程式。
资安业者Malwarebytes揭露自5月中旬出现的网钓攻击活动,骇客设置冒牌的Booking.com订房网站,并透过电玩网站、社群网站、广告的恶意连结,来引诱使用者上门。一旦使用者被重新导向到假订房网站,就会看到假的CAPTCHA图灵验证机制,然而,实际上,这些手段都是为了引导使用者依照指示操作,将特定命令复制贴上,并透过执行对话框执行的ClickFix网钓手法。
使用者先是看到网站上的对话框,要求勾选我不是机器人的选项,若是照做,电脑就会复制骇客的恶意指令,并显示接下来的「验证步骤」:攻击者要求使用者用快速键(Windows键+R)开启执行视窗,然后在「验证视窗」按Ctrl+V贴上特定资料并输入Enter。一旦使用者照做,就会在电脑执行骇客的恶意命令,启动PowerShell视窗,下载并执行恶意档案,最终于电脑植入恶意程式AsyncRAT。
最近几年骇客入侵开发团队的帐号并冒名上传恶意套件的情况,已有多起事故传出,如今类似的攻击行动再度出现,引起研究人员的关注。
资安业者Aikido Security揭露针对React Native Aria生态系统的NPM供应链攻击,这起事故发生于6月6日晚间,骇客疑似透过其中一个外流的维护人员帐号Token,发布16个React Native和GlueStack套件的恶意版本。由于这些套件相当热门,每周下载超过100万次,影响的范围可能非常广泛。
对于这起事故发生的过程,Aikido Security以其中最早被窜改的NPM套件@react-native-aria/focus为例,骇客更动了lib/commonjs/index.js,并在第46行植入恶意程式码。为了让资安人员难以察觉,攻击者使用大量空白字元混淆手法,将有问题的程式码隐匿于萤幕难以显示的地方。研究人员经过调查,确认是曾经锁定另一个套件rand-user-agent的RAT木马程式。
西班牙IMDEA Networks Institute、荷兰Radboud University及比利时KU Leuven等学术机构研究人员共同发表研究,发现知名科技公司Meta与Yandex在Android平台上,透过监听本机通讯埠的方式,建立浏览器与原生App之间的身分桥接,实现用户行为的去匿名化(de-anonymizing)追踪。此技术手法绕过了传统的隐私保护机制,侵害行动装置用户的个人资料保护与隐私安全。
研究人员发现,Meta的Facebook与Instagram应用程式,以及Yandex旗下多款应用程式,会在Android装置中于背景持续监听特定本地端通讯埠。当用户开启安装Meta Pixel或Yandex Metrica追踪码的网站时,浏览器中的JavaScript脚本会将浏览行为与身分资讯经由本地端Socket传递至这些原生App,进而实现网页与应用程式间的身分串接。此举突破现行如清除Cookie、无痕浏览以及Android权限控管等防护,可连结原本分散、短暂的浏览识别与长期、个人化的App帐号或装置识别码,提升追踪的精确度与持续性。
即便用户未明确同意Cookie政策,这些身分串接仍有机会被触发,且由于本机通讯埠监听并无特别权限限制,其他恶意App也可能监听相关连接埠,衍生更多资安与个资外泄风险。
其他攻击与威胁
【漏洞与修补】
为了避免遭到滥用,Google至少自2018年于登录服务中就开始实施JavaScript机器人检测框架,以防止机器人登录。BruteCat说,他是在今年初于浏览器上关闭了JavaScript,想查探是否有任何Google服务在没有JavaScript的情况下仍能运作,结果发现,帐户复原服务竟然可正常执行。BruteCat采用IPv6以随机切换来源位址,并利用BotGuard令牌来绕过CAPTCHA,接著利用自动化工具以于密码恢复流程中,取得只有两个数字的遮罩电话号码提示,再进行暴力破解。
BruteCat利用每小时0.3美元的伺服器资源即可执行每秒4万次的检查,发现找到一个正确的美国电话号码需20分钟,找到一个英国号码只要4分钟,找到一个荷兰号码只需15秒,新加坡号码更只要5秒。
其他漏洞与修补