近年来利用远端桌面连线程式入侵受害电脑,已是骇客偏好的手法之一,但若是提供这类系统的业者遭骇,很有可能让攻击者取得大量帐密资料,并将其用于发动攻击。
上周末AnyDesk证实他们有伺服器遭到入侵,并寻求资安业者协助,进行这起事故的后续回应,虽然该公司强调他们尚未得知有使用者受到影响,但有资安业者发现骇客已在地下论坛兜售大量AnyDesk帐密,后续发展有待观察。
【攻击与威胁】
不过,这起事故发生之际,该公司也出现远端连线服务中断的现象,引发外界联想是否有关。1月25日,有人向IT专家Günter Born投诉,自1月20日AnyDesk出现无法连线的情况,授权金钥也无法使用,通报该公司客户支援之后,所得到的回应是「伺服器连线异常」,而且,截至1月30日,AnyDesk网站仍然为维护状态而无法使用。当时,该名专家呼吁用户,应暂停使用这套远端桌面连线软体。在Günter Born公布AnyDesk连线异常的情况后,2月3日,他掌握德国联邦资讯安全办公室(BSI)向关键基础设施业者提出警告的情报,2月4日,有2人向他透露,他们发现有人12月底疑似进行尝试未经授权存取的迹象。 而对于AnyDesk帐号资料外泄的情况,已有研究人员看到骇客在骇客论坛兜售相关资料。资安业者Resecurity指出,他们在2月3日看到多组骇客于网路犯罪论坛兜售AnyDesk帐密资料,其中使用匿称为Jobaaaaa的骇客在暗网论坛Exploit上,声称握有1.8万笔帐密资料。资安业者Hudson Rock根据他们的威胁情报平台分析结果,认为这名骇客掌握超过3万笔资料。 资料来源 1.
3.
5.
资安业者Resecurity进一步针对暗网进行扫描,发现这里还有区域网路资讯中心的使用者帐密遭到外泄,例如,亚太网路资讯中心(APNIC)、非洲网路资讯中心(AFRINIC)、拉丁美洲暨加勒比网路资讯中心(LACNIC),共通点是骇客借由窃资软体(Infostealer)来盗取相关帐密,总共有1,572个帐号受害,其中有45%用户启用了双因素验证(2FA),但不晓得帐密已经外流,另有16%察觉电脑感染恶意程式,从而变更密码并启用双因素验证;14%直到接获通知才启用双因素验证的功能。 研究人员指出,他们发现大多数管理网路的IT人员使用免费电子邮件信箱注册帐号,而有可能让骇客更容易取得相关资料,进而发动大规模的网路攻击。 资料来源 1.
3. 资安业者Infoblox揭露名为VexTrio的恶意流量导向系统(TDS),开发此系统的骇客组织与经营恶意程式ClearFake、SocGholish的团队结盟,入侵逾7万个网站,从而用于散布恶意程式、进行网路钓鱼或是诈骗。 研究人员指出,经营VexTrio的骇客自2017年开始提供租赁服务,透过VexTrio将浏览合法网站的使用者,导向买家指定的目的地,至少有60个骇客组织使用其服务,其中有部分持续租用VexTrio长达4年。特别的是,上述使用ClearFake、SocGholish骇客组织并未直接将流量导向VexTrio,而是先经过另一套名为Keitaro的TDS,才将流量导向VexTrio,但为何这些骇客要这么做?研究人员并未说明。 接下来,骇客使用罕见的方式来产生C2伺服器的网域,他们使用两组字串列表并加上5个随机字母,来取得第3级的网域名称而能够进行通讯,然后在一段时间后下载另一个Python指令码,从而在受害电脑植入窃资软体。此恶意程式针对macOS Ventura以上版本的作业系统打造,企图窃取Bitcoin Core和Exodus加密货币钱包。 资安业者Qualys揭露GNU C程式库glibc的本机权限提升(LPE)漏洞CVE-2023-6246,此为记忆体缓冲区溢位漏洞,出现于名为__vsyslog_internal()的功能函数,影响syslog()及vsyslog()两项功能,攻击者若是已存取非特权使用者的帐号,就有机会借由发送伪造的输入到使用特定事件记录功能的应用程式,触发漏洞并得到完整的root权限,CVSS风险评分为8.4。 研究人员指出,这项漏洞是开发团队在2022年8 月制作2.37版的过程中不慎引入,他们确认Debian 12、13版,Ubuntu 23.04、23.10版,Fedora 37至39版都存在这项弱点,并认为其他版本的Linux也可能曝险。 研究人员也在上述的功能函数当中,找到CVE-2023-6779和CVE-2023-6780,并指出攻击者利用的难度较高,他们也在qsort()功能函数找到漏洞,但尚未取得CVE编号。 【其他新闻】