近期窜起的勒索软体骇客组织Qilin再度引起研究人员关注,原因是这些骇客在加盟主(Affiliate)向受害组织谈判的过程,新增了法律顾问的协助机制,这样的做法前所未见,后续效应相当值得观察。
专门针对Fortinet防火墙、Minecraft玩家的恶意软体攻击,也同样值得IT人员和玩家提高警觉;此外,微软在提供个人Windows 10用户延伸安全更新(ESU)的做法上,出现付钱以外的机制,替许多短期内难以升级的用户解套。
【攻击与威胁】
资安业者Cybereason、Qualys公布针对Qilin的长期追踪结果,Cybereason主要指出这些骇客在其他同行面临关闭、基础设施遭骇、成员背叛的情况下,趁势崛起、壮大,甚至接收部分组织的基础设施来扩大规模;Qualys则是公布Qilin发展作案工具的演进过程,并指出这些会透过多种管道入侵受害组织。
但这两家资安业者都提到一件事而引起大家的注意,那就是骇客为加盟主(Affiliate)提供名为「呼叫律师(Call Lawyer)」的功能,借由在谈判过程为加盟主提供法律方面的协助,从而施加法律风险的压力,目的是增加受害组织付钱的意愿,而这样的做法,在勒索软体网路犯罪生态圈里,可说是首见。
呼叫律师到底有什么功能?Cybereason指出,顾名思义,自然是Qilin的法律顾问会提供加盟主相关的法律建议,并介入双方谈判的聊天室,他们这么做的目的,一来是让加盟主能有更具体的法律资讯和受害组织谈判赎金金额,再者就是律师出现在聊天室,本身就能对受害组织产生额外的压力,原因是企业通常不愿陷入法律诉讼,而更有机会选择付钱了事。
英国国家网路安全中心(NCSC)上周针对恶意软体Umbrella Stand、Shoe Rack发布资安公告,它们都是专门针对特定产品线的防火墙FortiGate 100D系列而来,因此引起NCSC的注意。
针对Umbrella Stand的部分,NCSC指出它是一系列的二进位档案工具包,攻击者疑似利用防火墙的资安弱点渗透并进行部署,用途是建立能够存取受害组织内部网路环境的长期管道。此恶意软体包含远端Shell与Beacon的功能,并透过AES加密与C2之间的连线。
另一个恶意程式Shoe Rack为后利用工具,攻击者可借由远端Shell或TCP隧道存取受害设备并使用。此恶意程式使用DNS-over-HTTPS(DOH)与C2建立连线来隐匿踪迹,但由于不寻常地使用SSH通讯协定,使得防守方有机会发现相关活动。此恶意程式以Go语言开发,一旦执行,就会透过写死的C2网址连向指定的SSH主机。
Gen Digital安全研究人员发现骇客利用名为HelloTDS的流量导向系统(Traffic Direction System,TDS)散布假CAPTCHA等恶意程式,已感染430万台用户装置。
近来发生数波FakeCaptcha变种攻击,曾在2024年秋天肆虐,骇客使用假的网站图灵验证机制骗取造访用户点击,并在受害者电脑植入LummaC2等恶意程式。研究人员相信这几波变种攻击背后,都来自一个由骇客控制的流量导向系统(Traffic Direction System,TDS)网路,并将之称为HelloTDS,能辨识用户装置和网路资讯,借此决定下载窃密、窃财或其他目的的恶意程式。
HelloTDS至少在今年4、5月开始就感染了超过430万用户。以绝对值而言,受害者以美、巴西、印度和西欧最多,但考量人口及受害者比例,相对风险以巴尔干半岛、及卢安达、埃及、坦尚尼亚和肯亚等非洲国家最高。
其他攻击与威胁
Windows 10将在今年10月终止技术支援,但仍有许多用户不打算升级Windows 11,而是希望为Windows 10「续命」,因此,微软罕见在去年宣布,过往只提供企业用户的付费延伸安全更新(Extended Security Updates,ESU),个人用户也能以30美元的代价得到1年份的Windows 10更新,如今微软宣布新增方案,让Windows10个人用户以Microsoft Rewards点数、或是启用云端备份Windows设定换取ESU,透过这两种方法,用户就能在无须付费的情况下获得ESU更新。
附带一提的是,微软也正式开放企业用户购买Windows 10的ESU,最长提供3年更新,本方案依PC台数计价,第一年每台61美元,第二年122美元,第三年244美元。