对于Windows使用者而言,每个月都会遇到的作业系统更新,已是相当熟悉,尤其是过程中往往必须重开机而无法使用,有骇客看上这点,制造电脑正在进行系统更新的假象,从容地从事攻击行动,待完成后才留下勒索讯息,要胁若不依照指示付钱,将会面临GDPR罚款。
这项攻击行动的特别之处在于,骇客利用1支无攻击特征的程式制造这种假象,导致大多数的防毒软体都不会将其视为有害。
【攻击与威胁】
资安业者Sophos揭露从今年7月中旬出没的勒索软体骇客组织Mad Liberator,并指出这些骇客虽然在部分攻击行动可能会加密受害电脑档案,然后进行双重勒索,要胁若不付钱,他们就会外流窃得的资料,但根据研究人员自己的观察,这些骇客主要偏重于资料外泄,几乎没有看到使用勒索软体加密档案的事故。
在其中一起资安故里,这些骇客透过社交工程手法取得受害组织的网路存取权限,然后透过远端桌面软体AnyDesk发出连线请求,待用户授权而能存取目标主机,但究竟骇客如何寻找下手目标,研究人员表示不清楚。
一旦成功建立连线,攻击者就会传送名为Microsoft Windows Update的执行档并开启。而这个程式的作用,就是模仿作业系统更新的画面,让使用者误以为电脑正在安装更新程式。正当用户以为电脑在执行系统更新作业的时候,骇客透过AnyDesk进行远端存取,先是存取受害者的OneDrive帐号、网路共享资料夹,然后借由AnyDesk的档案传输功能将偷到的资料外流,并留下勒索讯息。
根据资安新闻网站Bleeping Computer报导,名为ZeroSevenGroup的骇客组织在地下论坛公开宣称是窃自丰田汽车美国分公司的资料240 GB,这些资料包含员工和客户联络资料、合约、财务、相片、电子邮件、资料库、以及网路基础架构等。骇客提供开源工具AD-Recon,供买家检视需要密码的网路资料。
丰田汽车向媒体证实确有此事。但表示受影响的范围有限,并非全系统问题。对此,丰田汽车已联系受影响人士,至于有多少人受影响,以及丰田何时发现事件、及攻击者如何骇入公司网路,他们并未进一步说明。
研究人员指出,他们在6月看到骇客利用这项漏洞的情况,而能在未经授权的情况下存取敏感系统区域,为了隐匿攻击行动,过程中骇客使用名为Fudmodule的恶意软体。
通报这项漏洞的研究人员指出,这项漏洞攻击者可在未经身分验证的情况下利用,不过,SolarWinds表示只能在通过身分验证的状态下重现漏洞。但为求谨慎,他们还是呼吁所有IT人员尽速套用相关更新。
其他漏洞与修补