【资安日报】3月8日,Linux恶意软体攻击锁定DevOps常用的4种平台

我们之前报导过针对云端运算环境从事挖矿行为的攻击行动,骇客通常运用这类环境常见的应用系统而来,利用配置不当或是尚未修补的已知漏洞入侵这些伺服器。

值得留意的是,骇客对于Docker、Hadoop、Redis,或是Confluence伺服器发动攻击的情况,不时传出有关事故,但在最近一起资安事故当中,骇客同时锁定上述4种环境下手。

 

【攻击与威胁】

研究人员总共在今年发现3波攻击,并看到过程中骇客运用4种Go语言打造的恶意酬载,利用Confluence已知漏洞CVE-2022-26134,而在Docker环境当中,对方则是产生容器并进行容器逃逸,从而接触底层主机,此外,为了隐匿攻击行动,骇客部署了多个使用者模式的rootkit,来隐藏相关的处理程序。

在研究人员设置的蜜罐陷阱(oneypot)环境中,他们看到对方先是下达Docker命令来产生容器,其配置允许容器直接存取底层主机上的档案,接著,攻击者透过Shell指令码建立C2连线,下载第1阶段的酬载,并检查受害电脑的档案属性调整工具chattr,确认使用者是否具有管理员权限,然后取得第2阶段酬载,停用防火墙及IP过滤规则、删除Shell事件记录、停用存取控制功能,最终部署Platypus及挖矿程式XMRig。

研究人员指出,骇客在这款窃资软体运用了一系列复杂的技术来回避侦测、隐匿行踪、维持在受害电脑运作,像是直接利用系统呼叫从而绕过一般的API监控,或是借由名为Heaven’s Gate的手法,在32位元处理程序执行64位元的程式码,还有采用自行开发的恶意程式载入工具。此外,该恶意程式具备数个嵌入式模组,用来策画、解密、保护主要的酬载,并执行相关检查避免在沙箱环境执行,而且特别的是,所用的系统语言并非俄语,时区设为拉丁美洲才会将档案解密、执行。

而对于这些攻击者的身分,研究人员指出对方曾于9月散布另一款窃资软体Mispadu的变种,并透过存放于WebDAV资料夹的档案来从事攻击行动。

对方假借提供合约文件的名义,要求使用者点选PDF档案里的连结,以便进一步阅读完整内容及签名。然而使用者一旦照做,电脑就会透过短网址服务Goo.su连至Yandex邮件伺服器下载ZIP压缩档,该档案解开后是MSI安装程式,若是执行,电脑就会被透过DLL侧载的方式,植入Chavecloak(Lightshot.dll)。

此木马程式能允许攻击者锁定受害电脑萤幕、截取使用者键盘输入内容,显示弹出式视窗,并能监控及盗取受害者的银行帐户加密货币钱包资料。

佛罗里达大学和资安业者CertiK的研究人员联手,公布针对无线充电器的新型态攻击手法VoltSchemer,攻击者可透过电磁干扰的方式来操控充电器的行为。

由于这类充电系统通常使用磁场在两个物件当中传输能量,充电器流过交流电后,由充电器的发射器线圈产生磁场,让手机的接收器撷取磁场的能量,再转换成电能并为电池充电,而在这种攻击当中,研究人员借由操纵输入充电器的电压,并微调电压的波动幅度来产生干扰讯号(杂讯),进而改变生成的磁场性质。基本上,这种攻击手法当中,骇客想要干扰电压,无须直接窜改充电器或是手机的软硬体,而是加入额外的设备就能进行。

由于上述的杂讯会影响充电器及手机相关的微控制器的运作,研究人员指出,这种攻击手法可绕过Qi充电的规范,导致装置过热、手机过度充电,甚至有机会在手机上注入语音命令,或是有可能对充电器附近的汽车钥匙、RFID卡片与NFC晶片、笔电里的SSD磁碟机传递能量进行加热而造成损坏。

为求能顺利到中国半导体业者紫光任职,8年前南亚科技公司(南亚科)李姓前资深工程师在得知公司将从美光引进20奈米晶圆制程技术后,竟在参加线上训练课程的时候,涉嫌利用电脑萤幕截图的方式将制程文件,并将其列印、研读,直到南亚科针对离职人员进行影印记录稽查才察觉,并向法务部桃园市调查处报案,近期判决出炉。

法院一、二审认定,李男涉犯营业秘密法意图在大陆地区使用未经授权而重制营业秘密罪,判处有期徒刑1年10月,3月4日最高法院驳回上诉,全案定谳。