近期攻击者大肆利用网路钓鱼攻击工具套件(Phishing Kit)的情况浮上台面,继本周有研究人员揭露专门挟持微软365、Google帐号的套件Tycoon 2FA,锁定行动装置用户的作案工具也相当值得留意。
有资安业者揭露名为Darcula的网钓攻击套件,并指出与其他同样针对行动装置而来的工具最大的不同,就是采用全程加密的通讯方式,向攻击目标传送诱骗内容。
【攻击与威胁】
别于其他针对手机的网钓套件采用SMS简讯传递诱骗内容,Darcula则是透过iMessage攻击iPhone用户,而对于安卓手机,对方则是透过进阶通讯解决方案(Rich Communication Services,RCS)来进行,原因是这两种管道都采用全程加密,使得资安系统难以解析、过滤。
3月26日
特别的是,为了回避侦测,此僵尸网路发动攻击时,每尝试6次登入就会更换1组IP位址。而对于攻击者的身分,研究人员表示仍不清楚,但他们发现其中2个IP位址曾被俄罗斯骇客组织APT29利用。 针对这起事故,,指出骇客前后分两个阶段,总共上传超过500个恶意套件,值得留意的是,每个开发者帐号只会上传1个套件,因此他们推测,对方应是透过自动化的方式从事攻击。而这已非PyPI因类似的资安事故采取类似行动,去年5月20日,他们就因遭遇大量恶意恶意软体上传而暂停用户注册、建立新专案。 对此,微软获报后于今年1月发布121.0.2277.83版予以修补,并指出此弱点若遭利用,对方可以取得安装扩充套件的相关权限,但攻击者必须在行动前采取额外的准备工作。 Guardio的研究人员指出,根据他们的调查,攻击者只要能在bing[.]com或microsoft[.]com执行JavaScript,就能透过上述漏洞安装已上架于Edge扩充套件市集的任意套件,过程完全无需使用者互动。 【资安防御措施】
近期资安日报