美国总统大选如火如荼进行,这段期间不时传出伊朗骇客攻击川普、贺锦丽阵营,并企图散布假消息影响选情的情况。不过,俄罗斯想要采取类似手段干预该国选举已有先例,但美国直到最近才采取执法行动引起关注。
本周美国宣布扣押俄罗斯用来散布不实言论的网域,原因是这些网域都被用来架设冒充民主阵营的新闻网站,并指出俄罗斯不只打算操弄美国总统大选,也意图干预其他国家选举。
【攻击与威胁】
上周趋势科技揭露锁定中东的恶意程式攻击,并指出骇客将其伪装成资安业者Palo Alto Networks旗下SSL VPN服务GlobalProtect的安装程式,此事相当值得关注,原因是这种手法相当具有针对性,很有可能是锁定该系统的使用者而来,如今Palo Alto Networks也揭露相关攻击行动,呼吁用户提高警觉。
本周Palo Alto Networks旗下的威胁情报团队Unit 42揭露恶意程式载入工具WikiLoader变种攻击行动,并指出骇客借由搜寻引擎最佳化中毒(SEO Poisoning)手法,佯称提供GlobalProtect应用程式的名义散布。
研究人员在今年6月看到相关攻击行动,并指出骇客的主要攻击目标是美国高等教育机构及交通单位,但研究人员特别提到,由于这次攻击者利用搜寻引擎最佳化中毒的手法,使得影响范围较过往利用网路钓鱼来得广泛。
骇客将防守方用来强化资安的工具,拿来用于攻击行动,最常见的莫过于渗透测试工具Cobalt Strike,后来也出现利用Brute Ratel C4的事故,如今有人开始利用新的工具从事攻击。
思科旗下威胁情报团队Talos指出,他们在今年5月至7月,在恶意软体分析平台VirusTotal看到数个Office档案,其共通点就是使用名为MacroPack的红队演练框架产生,经过分析发现,这些Office档案被用于散布多种恶意程式的有效酬载,例如:渗透测试工具Brute Ratel C4、Havoc、RAT木马程式PhantomCore,他们认为有多个骇客组织可能已在实际攻击行动当中,开始利用MacroPack。
研究人员总共归纳出4起攻击行动,其中一起范围涵盖台湾、中国、巴基斯坦而相当受到注意,骇客借此散布Havoc和Brute Ratel C4有效负载,而这些恶意程式会连往位于中国河南的C2伺服器。
研究人员进一步指出,此木马程式还能显示假冒银行网页的钓鱼视窗,窃取受害者的个人可识别资讯(PII),最终攻击者便能借由木马程式收集到的资料,达到装置挟持(Device takeover,DTO)的目的。
骇客佯称提供系统安全更新,或是快递追踪、会员奖励、银行相关的应用程式,引诱使用者存取钓鱼网站,借由恶意的APK档案散布Rocinante。一旦使用者依照指示完成安装并开启,这些应用程式就会要求授予无障碍服务的权限,并显示银行表单画面,要求使用者提供PII。
其他攻击与威胁