微软在今年2月例行更新(Patch Tuesday),修补Microsoft Defender SmartScreen安全机制的漏洞CVE-2024-21412,当时通报漏洞的资安业者趋势科技表示,这项漏洞在去年底就被APT骇客组织利用。
但在研究人员进一步追查后发现,今年1月有另一组人马也将其用于散布恶意程式DarkGate。这样的情况,很有可能还有其他骇客也在微软修补之前,就掌握这项漏洞。
【攻击与威胁】
研究人员针对上述的零时差漏洞攻击扩大调查,发现骇客在1月中旬利用该漏洞散布恶意软体DarkGate,对方先是寄送挟带PDF附件的钓鱼邮件,一旦收信人点选PDF档案里的连结,攻击者就会滥用Google的数位行销平台DoubleClick Digital Marketing(DDM),并采取开放重新导向(Open Redirect)手法,将收件人导向遭到入侵的网站,从而绕过CVE-2024-21412并下载恶意MSI安装档。收信人若是依照指示安装,电脑就会被植入DarkGate。 特别的是,可能是为了让使用者降低戒心,这些骇客同时提供免费及付费版修改器,但实际上,两者都会导致电脑被植入窃资软体。考虑到该游戏每天有超过7千万玩家上线游玩,再加上有45%玩家年龄低于13岁,这些小孩可能使用父母的装置游玩,而有可能导致家长其他的机敏资料被窃。
研究人员分析2022年中期至今年初的攻击行动,发现这些骇客的手法有以下特质:像是在作案过程当中,会大量使用匿名代理伺服器服务,包含Nsocks、TrueSocks,并建立从特定资安业者转寄给自己的邮件规则,以便监控通讯;此外,这些骇客也会对VMware vCenter伺服器下手,利用开源rootkit工具bedevil(bdvl)发动攻击,并部署自制的虚拟机器(VM),目的是为了回避侦测。这些骇客主要锁定的地区是美国,并使用英文为主要语言,以便对目标进行社交工程攻击,再者,研究人员也看到对方利用AI仿造受害者声音的情况。 该骇客组织起初利用0ktapus网钓工具包收集帐密,从而入侵目标组织,而现在则是演变成针对服务台系统从事社交工程攻击来达到目的。值得一提的是,这些骇客在2023年成为勒索软体骇客BlackCat(Alphv)的附属组织,并随即将相关工具用于攻击行动,但不久就遇到美国司法部中断该勒索软体的运作,Muddled Libra改以窃取资料向受害组织进行勒索。
而对于骇客发动攻击的手法,研究人员指出,最初是透过受到感染的网域控制器取得存取权限,并将攻击工具存放在电脑群组原则物件(GPO)的SYSVOL资料夹,然后透过PowerShell指令码提升权限,找出与目前网域有关的其他网域控制器,从而透过GPO对受到网域管理的电脑执行加密档案的工作,并留下勒索讯息。 特别的是,骇客在勒索讯息当中,列出不愿付钱的受害组织名单,企图施加支付赎金的压力。 3月13日法国失业救济机构France Travail证实,他们遭到骇客入侵,对方在2月6日至3月5日窃取过去20年曾向他们求助的求职者的个资,该机构也向当地的资料保护机构国家资讯与自由委员金(CNIL)通报此事,并透露可能有4,300万人受到影响,这些资料的类型涵盖姓名、生日、出生地、社会安全码(NIR)、电子邮件信箱、邮寄地址、电话号码等。 但这并非France Travail近期遭遇网路攻击的首例,2023年8月,该机构也遭遇大规模资料外泄的情况,当时约有1,000万人受到影响。 资料来源近期资安日报