资安防护通常较为薄弱的工厂操作科技(OT)环境,骇客可能将其视为入侵整个企业的管道!有研究人员揭露去年下旬出现的恶意软体Meta的攻击行动,骇客先是针对工业控制系统下手,得逞后进一步攻击总公司及其他分公司。
值得留意的是,有别于许多攻击行动的网钓攻击是针对Chrome而来,近日一波攻击骇客仍利用2年前的IE已知漏洞,来锁定仍未汰换IE的企业组织。
【攻击与威胁】
而对于攻击电脑种类,研究人员发现骇客同时针对Windows与类Unix作业系统而来,散布新的Meta恶意软体,当中具备窃资软体的功能,以及透过USB装置入侵隔离网路的能力。在部分环境当中,骇客为了绕过防毒软体的侦测,他们利用名为CallbackHell的Windows权限提升漏洞CVE-2021-40449(CVSS风险评分为7.8)。研究人员指出,新版Meta具有75种远端控制功能,并支援TCP、SSL、PSSL、PDTLS多种通讯协定连线,亦具备充当代理伺服器的功能。
后来在2023年中旬,研究人员再度观察到这些恶意安装程式的攻击行动,有东亚及北美的使用者受害,攻击者最终透过SFTP通讯协定,于受害电脑投放名为Minebridge的RAT木马程式,并透过远端桌面连线程式TeamViewer以DLL侧载(DLL Side-loading)的方式执行。攻击者存取受害电脑的方式,可能是透过AnyDesk,然后利用PsExec进行横向移动。值得留意的是,骇客为了隐匿攻击流量,受害电脑与C2连线的管道,是透过OpenSSH建立的反向隧道,而能够绕过EDR系统的侦测。 而对于攻击者的身分与动机,他们认为,虽然过往Minebridge几乎骇客组织TA505所使用,但根据掌握的证据,这起攻击行动应该是由俄罗斯骇客组织RomCom(亦称Storm-0978)发起,很可能是为了窃取IT及医疗的技术而来。 资安业者赛门铁克揭露伊朗骇客组织APT34(亦称OilRig、MuddyWater)的攻击行动,该组织入侵了至少12台中东政府机关的电脑,并从2023年2月至9月持续存取,另有数十台电脑被植入后门与键盘侧录工具。 研究人员指出,攻击者从2月1日开始于目标电脑执行可疑的PowerShell指令码,到了5日存取第2台电脑并透过名为plink的工具,来设定连接埠,以便透过远端桌面连线(RDP)存取。到了21日,攻击者执行netstat命令并开始恶意行动,接著,他们于4月上旬入侵第3台电脑及网域控制器(DC),并在4月下旬、6月下旬于第3台电脑植入后门程式,其中一个后门程式Backdoor.PowerExchange,是以PowerShell为基础打造,借由存取Exchange伺服器遭骇的电子邮件信箱,监控主旨含有@@的信件接收、执行攻击者下达的命令,将此种电子邮件系统当作C2基础设施。 攻击者后来再度于7月于同一台电脑上下载更多恶意软体,并在网域控制器执行Mimikatz窃取帐密资料,然后在9月将注意力转移至更多电脑。
10月17日,有人声称是资料外泄事件的幕后黑手,于骇客论坛泄露410万名英国人个资,并声称内含居住美国、西欧最富有人士的资料,包含洛克斐勒家族、罗斯柴尔德家族等豪门。这名人士同日又公布另批含有德国人资料的CSV档案,内含139,172笔。 根据科技新闻网站TechCrunch的报导,骇客公布的英国民众个资,有部分已被证实与公开的基因资讯相符,而且,有些资料骇客曾在8月于另一个论坛兜售,当时他们宣称窃得300 TB资料。 资料来源 1.
3. 首先是针对漏洞缓解的方式,该公司将旧有的生成随机密码函数,替换为能提供加密和更安全随机密码的函式来因应。 而对于他们对这项漏洞的风险评估,该公司表示此漏洞针对的管理员帐号,在建置完DSM环境后就会停用,即使攻击者最终找出正确密码,亦无法使用。再者,则是这个漏洞必须搭配其他资讯才能利用,无法直接暴力猜测密码。该公司认为,此漏洞在实务上几乎不会造成威胁。 基于Synology SIRT将该漏洞评估为中度风险(Moderate),根据他们的修补政策,只会针对最新的DSM 7.2提供修补,并表示若为重大风险漏洞,该公司也会为旧版DSM作业系统进行修补,并在24小时内提供。 【资安防御措施】
【其他新闻】