微软近期发布了9月份的例行更新(Patch Tuesday),漏洞数量较上个月明显变少,但IT人员仍然不能掉以轻心,因为本次公布的4个零时差漏洞,皆已遭到骇客利用。
值得留意的是,CVSS风险评分最高的CVE-2024-43491,这项漏洞影响特定版本的Windows 10,会将部分元件还原成尚未修补的旧版,引起研究人员高度关注。
【攻击与威胁】
过往我们提及骇客会用来从事寄生攻击的应用程式,大多主要是企业常见的应用程式,或是Windows作业系统的元件,但如今,开发工具竟然也成为骇客滥用的标的。
资安业者Palo Alto Networks指出,中国骇客组织Stately Taurus在近期针对东南亚政府机关从事网路间谍活动的过程里,滥用IDE工具Visual Studio Code(VS Code),借由其嵌入式反向Shell的功能,在受害组织的网路环境活动,研究人员指出,这种攻击手法最早是有资安专家在去年9月提出,但这是他们首次实际看到被运用于攻击行动。
究竟骇客如何用于发动攻击?研究人员指出,攻击者可利用主程式code.exe,并执行code.exe tunnel的指令,接著攻击者就会存取特定的URL,并登入GitHub帐号。一旦成功登入,攻击者便会被重新导向与受害电脑连结的网页版VS Code环境,而能够执行任意命令或是指令码,甚至在受害电脑产生新的档案。
今年6月资安业者Sophos揭露中国政府主导的网路间谍行动Operation Crimson Palace,相关攻击行动发生在去年3月至12月,大致可归为3波:Cluster Alpha(STAC1248)、Cluster Bravo(STAC1807),以及为期最长的Cluster Charlie(SCAT1305),至少有4个骇客组织参与。如今他们公布新的调查结果,指出这些骇客更换作案工具,持续从事相关攻击行动。
本周研究人员指出,他们看到这3波攻击行动的后续,其中最引起注意的是Cluster Charlie,在研究人员阻止骇客使用的C2植入工具PocoProxy运作之后,这波攻击在去年8月消声匿迹,但骇客在9月底卷土重来,并使用与过往不同的手法来回避侦测。
骇客先是使用不同的C2通道避免再度遭到封锁,然后改变攻击方式,他们使用名为Hui的恶意程式载入工具,然后将Cobalt Strike的Beacon注入远端桌面连线程式mstsc.exe。但在研究人员察觉并进行阻断后,骇客改用公开的软体试图继续于受害组织的网路环境活动。