过往骇客意图借由提供应用程式发动攻击,引诱使用者上当,从而散布恶意软体,进而存取企业内部网路环境,过往骇客多半是宣称提供常见的应用程式,或是IT人员会用到的系统工具,但如今,有人以特定厂牌SSL VPN软体作为幌子发动攻击。
值得留意的是,这意味著骇客的攻击目标相当有针对性,因为使用者很有可能是该厂牌SSL VPN系统的用户,这样的诱饵显然能够降低使用者的戒心,而有可能得逞。
【攻击与威胁】
远距办公已是最近几年的新常态,许多员工会透过SSL VPN系统存取企业内部环境,而最近有人佯称提供这类系统的应用程式,意图散布恶意程式,从而入侵企业。
资安业者趋势科技揭露伪装成Palo Alto Networks旗下SSL VPN服务GlobalProtect的恶意程式,骇客锁定中东组织而来,意图窃取内部资料,并远端执行PowerShell命令,进而渗透受害组织的网路环境。
究竟攻击者如何散布恶意程式,研究人员表示并不清楚,但他们认为很有可能是透过网路钓鱼进行,引诱使用者安装GlobalProtect代理程式为由进行散布。
骇客入侵非营利组织的情况不时传出,最近有一起是因为研究人员进行例行调查意外发现的资安事故,而引起了他们的注意。
资安业者Huntress指出,与越南政府有关的骇客组织OceanLotus(也称做APT32、APT-C-00、Canvas Cyclone)入侵当地的人权组织,并研判为期超过4年。究竟骇客如何入侵受害组织,研究人员并未特别说明,但他们在4台电脑上找到这些骇客的行踪。
在其中一台电脑上,骇客为了能持续活动,植入5项工作排程,这些工作伪装成Adobe Flash更新工具、Microsoft Defender更新任务,于受害电脑执行Windows Script、Java,意图载入Metasploit和Cobalt Strike有效酬载、经过演算法处理的Shell Code、VBS指令码、BAT批次档,以及COM物件。
资安业者Checkmarx警告,骇客持续锁定游戏平台Roblox的开发人员展开攻击,利用伪造且恶意的NPM套件,试图窃取敏感资讯或是危害系统已超过1年。
根据研究人员的调查,骇客主要是仿冒专为Roblox平台开发者设计的JavaScript程式库noblox.js,例如将恶意套件命名为noblox.js-async、noblox.js-thread 或noblox.js-api等,再借由NPM软体套件管理系统进行散布,相关的恶意NPM套件已超过数十款,且许多伪造的封包几乎可以假乱真。
这些恶意程式的主要功能包括窃取Discord凭证,存取系统资讯,并能让骇客持续在受害电脑活动,以及部署其他恶意程式。
◆◆◆近年来锁定医疗院所发动的网路攻击频传,对此,卫生福利部从2022年开始,每年举办医疗领域资安攻防演练,今年已迈入第3回。
这次卫福部挑选国泰医院作为攻防演练示范基地,并于8月9日进行实地演练,由国泰医院担任防御方,卫福部委由专业机构负责攻击,并经由资深资安专家担任裁判,评定防御成效,并于26日进行成果发表。本周国泰医院发布新闻稿,分享本次演练的经验。
国泰医院资安长林朝祥指出,这次演练与过往有所不同,今年透过拟真设计,模拟勒索病毒等骇客攻击手法进行演练,医院员工必须在有限的时间及人力之下,进行团队资源分配,以进行适当的应变处置。透过这次攻防演练,林朝祥认为,能够提升资安人员未来在面对各种情境的敏感度。