针对中小企业、SOHO办公室、家用网路设备而来的僵尸网路,近期有越来越多的情况,继我们昨天报导
美国司法部周三(9月18日)宣布,在法院的授权下,已破获由超过20万个装置组成、名为Raptor Train的僵尸网路,同时相信此僵尸网路是由中国骇客组织Flax Typhoon委由中国业者Integrity Technology Group所建立。
美国电信业者Lumen旗下资安团队Black Lotus实验室分析,骇客是利用众多的安全漏洞,渗透超过20种不同品牌的不同装置,包括数据机、路由器、IP摄影机、监视器及网路储存伺服器等,并于众多装置中植入Nosedive恶意程式,还建立了多层次的管理架构。这些骇客利用Raptor Train对于台湾及美国的军事、政府、高等教育、电信及国防工业等领域,从事侦察、监控、窃取机密资料。
美国联邦调查局(FBI)在取得法院同意后,接管了Raptor Train的基础设施。
美国与台湾之间的国防工业会议United States Taiwan Defense Industry Conference已迈入第23届,这项会议主要讨论美国与台湾国防之间的合作、国防采购流程,以及台湾的国防需求,今年即将于9月22日至24日于美国宾州举行,但在此之前传出骇客锁定相关人士发动网路攻击的情形。
资安业者Cyble指出,他们看到骇客用来发动攻击的诱饵档案,内容是即将举行的美台国防工业会议的报名表单,研判攻击目标很有可能这场会议的与会者,例如:国防官员、政府代表、业界人士,以及与这场会议相关的人士。
究竟骇客如何发动攻击,研究人员表示并不清楚,但他们根据骇客散布的压缩档registration_form.pdf.zip进行分析,一旦使用者开启当中伪装成PDF档案的Windows捷径档(LNK),骇客就会在后台进行一系列的恶意行为。
思科旗下威胁情报团队Talos发现名为DragonRank的骇客组织,主要针对亚洲、欧洲国家而来,企图利用恶意程式PlugX、BadIIS来操纵搜寻引擎最佳化(SEO)排名。骇客利用特定的网页应用程式服务来部署Web Shell,然后进一步收集系统资讯并植入恶意软体,并搜括各式帐密资料,至少有35台IIS伺服器受害。
根据骇客使用的工具,以及策略、技术、流程(TTP),研究人员认为攻击者的身分是使用简体中文沟通的骇客组织,主要标的是代管企业网站的IIS伺服器,骇客对其植入BadIIS,用来操纵搜寻引擎爬虫,并左右受害网站的SEO排名。此外,骇客还能借由这些IIS伺服器,向使用者散布诈骗网站。
研究人员表示,这些骇客积极从事黑帽SEO活动,透过不道德的手段提高客户的网路知名度,但与其他投入黑帽SEO的网路犯罪组织有所不同,DragonRank强调横向移动及权限提升,目标是渗透到受害组织网路环境的其他伺服器,并进行控制,而非尽可能破坏大量网站伺服器来操纵搜寻引擎流量。
其他攻击与威胁
◆◆
【漏洞与修补】
9月17日博通修补VMware vCenter Server的两个漏洞:CVE-2024-38812、CVE-2024-38813,影响7.0及8.0版vCenter Server,以及4.x及5.x版Cloud Foundation,并指出这些漏洞相当严重,而且没有其他的缓解措施,呼吁IT人员应尽速套用相关更新。
上述漏洞之所以发现,是来自今年6月底中国举行的漏洞挖掘竞赛矩阵杯(Matrix Cup),当时有一支参赛队伍TZL找到这些弱点,但究竟是否已被用于攻击行动?博通的回答有点暧昧,他们表示,尚未察觉这些漏洞遭到「广泛(in the wild)」利用的情形。
其他漏洞与修补