民众透过手机操作网路银行的情况在全球各地可说是相当普遍,针对手机而来的金融木马攻击,在最近2到3年有越来越频繁的现象,但过往这类恶意程式几乎都是针对安卓手机而来,如今也出现同时攻击iPhone用户的金融木马程式。
本周资安业者Group-IB揭露的金融木马GoldPickaxe,就是典型的例子。特别之处在于,骇客滥用的管道是苹果专供开发人员发布测试版应用程式的平台TestFlight,对这类手机用户发动攻击。
【攻击与威胁】
值得留意的是,骇客不光透过Google Play市集对安卓用户散布恶意程式,针对iPhone用户,他们将被导向TestFlight的网址,或是被要求安装MDM应用程式,从而在手机里植入GoldPickaxe。
在整个攻击链当中,骇客先于外汇交易论坛及股票交易有关的Telegram频道上,从事网路钓鱼活动,利用社交工程技术,假借提供投资建议、技术分析资讯、股票及金融工具的名义,将投资人引导至位于俄罗斯的冒牌加密货币资讯网站(fxbulls[.]ru),骇客也发布大量的英语及俄文贴文,藉著回复问题的同时,散布含有股票资讯图表的连结,从而引导投资人透过档案总管开启恶意WebDAV连结,然后触发CVE-2024-21412。 研究人员指出,这些骇客持续调整他们的感染链,今年1月,骇客改以CVE-2024-21412触发恶意的MSI安装档案。 2月12日罗马尼亚国家网路安全局(DNSC)及卫生部证实,当地医院的服务供应商遭到勒索软体攻击,导致多家医院受到影响,后来指出发动攻击的勒索软体名为Backmydata,为Phobos家族的变种,该勒索软体对当地采用Hipocarate IT平台的医院伺服器下手,加密其中的资料。 从2月10日开始有医院传出受害消息,截至12日总共有21家医院受到影响,13日增加至25家。另有79家医院也将相关系统切断与网际网路的连线,并著手清查。 DNSC指出,这起事故对于大多数医院的影响有限,因为这些医院几乎都对相关伺服器定期备份资料,且最近一次备份资料多为3天内执行。13日DNSC公布骇客索讨的赎金为3.5个比特币,相当于15.7万欧元,并呼吁所有导入该平台的医院遵循他们提供的回应措施,不要向骇客低头、支付赎金。 资料来源 美国政府责任署(Government Accountability Office,GAO)传出资料外泄的情况,起因与该单位的承包商CGI Federal有关。此承包商于1月17日通知GAO,本次的资料外泄事故影响约6,600人,主要是2007年至2017年现任及前员工,以及有业务往来的公司。 而对于这起事故发生的原因,CGI Federal发言人Mercedes Marx向资安新闻网站CyberScoop透露,是他们的DevOps协作平台遭到破坏,过程中骇客利用CVE-2023-22515(CVSS风险评分为10),事发后已根据10月美国网路安全暨基础设施安全局(CISA)的资安公告进行补救,并与政府和客户合作来确认受影响的范围。但为何事发3个月才通知GAO,Mercedes Marx并未提出说明。 美国国防部证实1年前的资料外泄事故,逾2万名员工受害 根据新闻网站DefenseScoop的报导,美国国防部(DOD)于2月1日通知员工、前员工、求职者、合作伙伴,他们表示,在2023年2月3日至2月20日,其服务供应商不慎将大量电子邮件曝露在网际网路上,其中部分包含曾在美国国防部就职、应征人士能够识别的个人资讯(PII)。但他们尚未发现这些个资遭到滥用的迹象。 对此,五角大厦发言人指出,受影响的伺服器在去年2月20日已经移除,并透露这起事故涉及多个部门组织,约有20,600人受到影响。 科技新闻网站TechCrunch指出,这起事故在1年前就被发现。研究人员Anurag Sen于2023年2月揭露,美国国防部泄露约3 TB内部电子邮件,并指出部分与美国特种作战司令部(SOCOM)有关。但为何美国国防部耗费1年来调查此事,目前仍不清楚。 资料来源【漏洞与修补】