锁定企业脸书帐号的大规模网路攻击行动,去年7月、8月,资安业者WithSecure、Zscaler揭露
思科威胁情报小组Talos指出,他们从去年9月发现,来自巴西的骇客滥用无伺服器服务Google Cloud Run来大规模散布恶意程式,这些包含了Astaroth(又名 Guildma)、Mekotio、Ousaban等金融木马,他们看到骇客主要目标是拉丁美洲,但也有欧洲国家的使用者受害。
这些骇客在钓鱼邮件大多使用西班牙文,但也有使用义大利文、葡萄牙文的情况。这些钓鱼邮件通常使用发票或税务文件为诱饵,有时骇客还会冒充税务机关来从事攻击。而这些钓鱼邮件的共通点就是内含Google Cloud Run的URL,收信人一旦照做,就会下载MSI安装程式,而有可能导致电脑被植入木马程式。
研究人员指出,骇客偏好这项云端服务的原因,在于Google为新用户提供免费点数等丰富资源,且能快速部署网页应用程式,而该服务在大多数企业组织的资安防护系统会视为合法流量。
2月15日能源供应商提供软体解决方案的PSI Software传出遭遇网路攻击,该公司为了降低资料遗失的风险,切断包含电子邮件系统在内的多个IT系统连线。
到了19日该公司更新调查结果,指出他们遭遇了勒索软体攻击,但没有透露攻击者的身分。而对于这起事故受害的情况,他们表示尚未发现客户端的PSI系统受害的情况,但该公司也无法透过远端连线来进行维护作业。
2月19日资安业者ConnectWise发布资安公告,指出旗下的远端桌面连线系统ScreenConnect存在路径穿越漏洞CVE-2024-1708 、身分验证绕过漏洞CVE-2024-1709,CVSS风险评分为8.4、10分,影响23.9.7以前版本的ScreenConnect,该公司发布23.9.8版修补上述漏洞,并对云端服务代管版本screenconnect.com、hostedrmm.com进行处置。当时资安业者Huntress公布概念性验证攻击(PoC),并透过Censys威胁分析平台找到超过8,800台ScreenConnect伺服器。
值得留意的是,20日ConnectWise更新公告,指出上述漏洞已被用于攻击行动,他们公布骇客所使用的IP位址,供IT人员防堵相关攻击。但可能是因为这些漏洞造成的影响极为严重,隔日该公司宣布破例取消授权限制,让未购买维护合约的用户也能安装新版软体来缓解漏洞。
资料来源
【资安防御措施】