近期勒索软体RansomHub不断登上资安新闻的版面,最近一起是美国石油及天然气业者Halliburton遭遇网路攻击的事故,到了上周,这些骇客声称是他们所为。而在此之前,台湾也有老牌笔电厂蓝天电脑传出受害的消息。
有鉴于这些骇客的威胁加剧,美国政府近期发布相关防御指引,揭露这些骇客的攻击手法和底细,呼吁IT人员要严加防范。
【攻击与威胁】
CVE-2024-7971为存在于V8引擎的型态混淆漏洞,影响128.0.6613.84以前版本的Chrome,Google已经在8月21日释出新版修补。这是继CVE-2024-4947和CVE-2024-5274,Google今年处理的第3个V8型态混淆零时差漏洞。
附带一提的是,过程中攻击者也滥用另一个零时差Windows权限扩张漏洞CVE-2024-38106。一旦成功,FudModule rootkit即被载入Windows核心,利用直接核心物件操弄(DKOM)手法,扰乱作业系统核心安全机制。微软推测,Citrine Sleet这波攻击意在窃取加密货币。
今年1月Atlassian在例行更新修补DevOps协作平台Confluence重大层级漏洞CVE-2023-22527(CVSS风险评分为10分),研究人员警告最近骇客积极利用这漏洞的迹象。
这个发现源于资安业者趋势科技,今年6月中旬至7月底,他们观察到大量的漏洞利用尝试迹象,这些骇客利用这项漏洞意图将挖矿程式部署到Confluence伺服器,利用这些伺服器的运算资源,挖得加密货币牟利。
主要有3组人马利用这项漏洞,其中一组特别引起他们的注意,因为骇客们使用Shell指令码进行SSH连线,而能在受害伺服器的环境挖矿。
为了回避网址过滤系统的检查,骇客利用QR Code从事网路钓鱼(Quishing)的情况,最近两至三年可说是越来越常见,但如今骇客结合微软云端简报服务Sway来引诱使用者上当。
资安业者Netskope指出,他们今年7月察觉滥用Sway的网路钓鱼攻击流量爆增2千倍,而且,骇客使用的网页大多数都运用了QR Code而引起他们的注意。研究人员指出,骇客透过对手中间人(AiTM,或称为Transparent Phishing)攻击手法,利用捏造的登入网页,取得多因素验证所需资料,最终的目的是窃取受害者的Microsoft 365帐号。
再者,攻击者为了防止资安系统察觉有异拦截,他们滥用Cloudflare Turnstile图灵验证机制,确保攻击目标是人类。
其他攻击与威胁