最近几年,有研究人员揭露利用Wi-Fi无线网路从事近距离、非接触式的攻击手法,但这样的手段鲜少在实际的资安事故曝光,如今有研究人员公布此种类型攻击行动。
资安业者Volexity指出,2年前俄罗斯骇客组织APT28就是利用类似的策略,先攻击目标组织邻近的企业,再借由这些跳板存取目标组织的Wi-Fi网路,从而进行相关的情报收集。
【攻击与威胁】
资安业者Volexity上周揭露了俄罗斯骇客组织APT28精心设计的攻击行动「Nearest Neighbor Attack」,由于APT28打算攻击的组织,在各个公共服务采用了多因素身分验证(MFA),使得APT28最终选择攻陷该组织的各个「邻居」,再借由邻近电脑入侵未执行MFA的Wi-Fi网路。
这起攻击事件发生在2022年2月,正巧是俄罗斯入侵乌克兰的前夕,APT28的目的是搜集该组织中涉及乌克兰的个人或专案资料。
调查发现,APT28先针对目标组织外部服务发动密码泼洒攻击,尽管已经取得了帐号及密码,却无法通过这些服务的多因素验证,于是转向较少采用MFA的Wi-Fi网路,然而,APT28与目标组织之间有半个地球的距离,使得骇客决定从目标的邻居著手。
生成式AI当红,许多开发者加入运用这类工具的行列,但骇客也伺机而动,企图假借相关名目散布恶意软体。
资安业者卡巴斯基指出,他们在PyPI套件库当中,发现2个恶意套件,提供这些套件的人士声称,一旦安装之后,开发人员就能使用这些程式库与热门的大型语言模型(LLM)协同合作。但实际上,对方其实是滥用展示版本的ChatGPT掩人耳目,真正的目的,就是要在开发人员的电脑植入窃资软体JarkaStealer。
而对于这款窃资软体的来历,研究人员指出是由惯用俄文的开发者制作,具备从各种浏览器窃取资料的能力,或是从Telegram、Discord、Steam等应用程式盗窃连线阶段(Session)的Token。此外,攻击者还能中断受害电脑的浏览器运作,以便搜寻浏览器存放的特定资料。