为了让攻击行动带来更大的危害,不少骇客将范围从受害组织的内部网路环境,延伸到云端环境。最近微软揭露骇客组织Storm-0501的攻击行动,就是典型的例子。
研究人员特别提及这些骇客作案手法与过往最大的不同之处,在于他们对云端身分管理服务Entra ID、Entra Connect等元件进行渗透,得逞后于云端环境植入后门程式,以便存取受害组织的内部网路环境。
【攻击与威胁】
微软揭露骇客组织Storm-0501最新一波的攻击行动,这些骇客锁定美国政府机关、制造业、交通运输、执法部门发动多阶段攻击,破坏混合云环境的安全,并从本地横向移动到云端,从而外泄受害组织资料、窃取帐密资料、部署后门程式及勒索软体。
研究人员特别提及,这些骇客利用薄弱的凭证及权限过高的帐号,而能从受害组织的内部环境转移到云端环境。骇客先是窃得凭证用来控制内部网路环境,最终在云端环境设置能持续运作的后门程式,并将勒索软体植入组织内部。
值得留意的是,骇客在近期的活动里,透过Entra ID(原Azure AD)横向移动到云端环境,并借由后门持续存取,其中他们滥用Entra Connect(原Azure AD Connect)的同步元件,而能同时挖掘本机与云端同步帐号的帐密资料,在部分攻击行动里,攻击者会停用多因素验证(MFA)的网域管理员,挟持云端连线阶段(Session)以达到目的。
自2018年出现的RAT木马程式Dark Crystal RAT(简称DCRat),具备窃取机密资讯、执行Shell命令、侧录键盘输入的内容等功能,开发者以租用型式(Malware as a Service,MaaS)提供骇客运用,如今在最新一波攻击行动里,骇客结合了HTML偷渡(HTML Smuggling)手法来进行散布。
资安业者Netskope揭露锁定俄语使用者的DCRat攻击行动,骇客设置冒牌的HTML网页,假借提供TrueConf和VK Messenger等应用程式的名义,引诱使用者上当。但究竟骇客如何让受害者接触这些冒牌网页?研究人员表示不清楚。
值得留意的是,一旦使用者存取这些网页,浏览器就会迳自下载受到密码保护的ZIP压缩档。骇客也在网页列出密码,若是使用者依照指示解开压缩档,电脑有可能会因此感染DCRat。
9月30日第一金融控股(第一金)于股市公开观测站发布重大讯息,指出旗下子公司第一银行的网路银行网站「第e个网」遭遇网路DDoS攻击,他们在察觉此事后立即启动相关防御机制,网站服务未受影响。
而对于此事可能造成的损失或是影响,该公司表示,目前评估对银行日常营运尚无重大影响。
其他攻击与威胁
根据CVSS风险评分高低,较值得留意的是被列为重大层级的CVE-2024-6592、CVE-2024-6593,两者之所以被认定为漏洞,是因为Authentication Gateway与Single Sign-On Client之间,出现不正确授权的情况,其中CVE-2024-6592影响Windows及macOS用户端,另一个漏洞仅有Windows用户端受到波及。
研究人员在Kia经销商网站冒充登录新经销商,验证新帐号,取得有效存取令牌后,以此新令牌呼叫后台API,从回传的HTTP回应取得必要参数,存取Kia经销商上的所有经销商端点。研究人员还可利用电邮和取得的必要参数,降级受害车主等级,加入自己的电子邮件信箱,绑定并设为车子的主要用户。