本周资安业者Sekoia针对勒索软体Helldown的攻击行动提出警告,指出这些骇客从原本针对Windows进行加密,如今也开发了破坏VMware ESXi虚拟化平台的档案加密工具。
值得留意的是,这些骇客潜入受害组织的方法,是利用兆勤防火墙的漏洞,骇客声称他们也成功入侵该公司的欧洲分公司,对此我们试图联系兆勤科技,但在今天资安日报截稿之前,我们尚未得到他们的回应,目前无法进一步证实此事。
【攻击与威胁】
今年10月兆勤(Zyxel Networks)针对旗下USG Flex、ATP系列防火墙用户提出警告,他们在欧洲、中东、非洲地区(EMEA)侦测到锁定该厂牌设备的攻击行动,这几天有其他资安业者发布相关报告,指出此类威胁很可能与勒索软体攻击有关。针对上述情况我们也向兆勤进行确认,在截稿之前尚未得到回应。
19日资安业者Sekoia针对近期出现的勒索软体Helldown提出警告,他们发现这些骇客最早从8月5日开始活动,截至11月7日,攻击者声称有31家企业组织受害,而且大部分是中小企业、位于美国,部分受害企业组织位于欧洲。值得留意的是,这群骇客也将兆勤的欧洲分公司(Zyxel Europe)列于受害者名单。
原本的攻击活动主要是针对Windows电脑而来,但到了10月底,骇客进一步打造Linux版变种,用于攻击VMware ESXi虚拟化平台,使得该勒索软体破坏范围更为广泛。
而对于这起事故可能带来的影响,该公司表示,根据他们的初步评估,对公司的运作无重大影响。
其他攻击与威胁
【漏洞与修补】
对于这项弱点发生的原因,GitHub表示,这项弱点的起因是命令列介面在执行指令的过程中,处理SSH连线导致。当开发人员连线到远端的Codespace,通常会使用执行开发容器(devcontainer)的SSH伺服器来存取,而这类容器的建置,大多使用预设的映像档。
一旦外部的恶意开发容器在SSH伺服器注入,并透过相关参数带入SSH连线详细资料,此时攻击者就有机会借由gh codespace ssh或gh codespace logs指令执行,于使用者的工作站电脑执行任意程式码,甚至有可能借此存取系统上使用者的资料。