恶意程式朝向模组化设计的现象,可说是越来越普遍,因为攻击者借此能够弹性搭配不同的外挂模组,从事各式活动,本周资安业者Fortinet揭露的Winos 4.0,就是典型的例子。
研究人员特别提到,Winos 4.0已从一般的后门程式发展成恶意程式框架,功能与渗透测试工具Cobalt Strike、Silver相当,攻击者能借此控制受害电脑并执行多种恶意行为。
【攻击与威胁】
今年6月资安业者趋势科技揭露骇客组织Void Arachne的攻击行动,他们锁定简体中文用户,声称提供中国常见的应用程式,以及人工智慧工具,意图在受害电脑部署恶意程式Winos 4.0,如今攻击手法出现变化。
资安业者Fortinet指出,他们看到最新一波的Winos 4.0攻击行动,攻击者声称提供游戏安装程式与最佳化工具,一旦使用者执行安装,电脑就会从特定的网域搜寻BMP图档,并使用XOR演算法解码,取得名为you.dll的程式库档案,进行一连串的攻击行动。
针对这项恶意程式的发展,研究人员指出Winos 4.0已从原本趋势科技找到的后门程式,发展成能够搭配多种外挂的恶意程式框架,功能已与渗透测试工具Cobalt Strike、Silver相当,能被用于控制受害电脑并具备多种功能。
这项漏洞影响执行URWB作业模式的部分机种,包含:Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients,以及Catalyst IW9167E Heavy Duty Access Points。
对此,该公司已发布软体更新,并强调这项漏洞没有其他缓解措施能够因应,呼吁IT人员应尽速采取行动。截至目前为止,该公司尚未察觉此漏洞遭到恶意利用的情况。
其他漏洞与修补
【资安产业动态】
Google周二(11月5日)宣布,明年起将强制Google Cloud用户采用多因素身分验证(MFA)。根据该公司统计,目前仍有30%用户尚未部署。有鉴于网路钓鱼及被窃凭证依然是骇客的首要攻击媒介,使得Google决定强制用户全面采用。
此政策将分阶段展开,第一阶段属于推广鼓励时期,即日起Google Cloud用户就会在控制台中看到有关MFA的资讯与各种资源,协助用户规画与测试MFA的部署;明年初进入第二阶段,将要求以密码登入的所有Google Cloud用户采用MFA,包括Google Cloud主控台、Firebase主控台、gCloud等,若要继续使用便必须注册MFA。
第三阶段则是锁定采用联合身分验证的用户,预计于明年底实施。届时使用者在造访Google Cloud之前,必须向主要的身分提供者启用MFA,或者是直接于Google帐户中新增MFA。