供应链攻击事故频传,最近软体供应链业者Blue Yonder遭遇勒索软体攻击,传出已对客户的运作造成影响,目前已有连锁咖啡店星巴克、英国两大超市证实受到波及。
值得留意的是,11月21日Blue Yonder证实因资安事故导致代管服务中断,但目前尚未确认复原的时间,相关灾情与影响范围有待后续观察。
【攻击与威胁】
资安业者Recorded Future揭露中国骇客组织TAG-112的攻击行动,骇客先是入侵国际西藏邮报(Tibet Post)及Gyudmed Tantric University的网站,目的是在浏览网站的使用者电脑植入Cobalt Strike,从而进行情报收集,或是运用受害电脑进行其他间谍活动。
骇客于网站上嵌入恶意JavaScript指令码,借此欺骗使用者TLS凭证错误,以要求下载新的凭证为由,引诱使用者上当。
这起事故发生在今年5月下旬,攻击者利用内容管理系统Joolma的漏洞,在上述2个网站植入恶意JavaScript指令码。究竟骇客使用那些漏洞,研究人员没有说明。值得留意的是,这起攻击行动直到10月上旬,仍处于活动的状态。
为了回避端点防护的侦测,骇客滥用防毒软体元件从事自带驱动程式(BYOVD)攻击的手法,今年可说是越来越频繁,如今甚至出现有人针对多家厂牌的端点防护系统进行破坏的情形。
例如,资安业者Trellix近期揭露的攻击行动,就是典型的例子。研究人员发现由档名kill-floor.exe开始的恶意程式感染链,一旦该执行档启动,就会于受害电脑部署Avast的Anti-Rootkit驱动程式aswArPot.sys,接著,攻击者再植入另一个合法的核心驱动程式,档名为ntfs.bin。
然后,kill-floor.exe就会比对受害电脑上的处理程序,若出现攻击者认定的142种资安工具处理程序名称,就会借由Avast驱动程式,以核心层级来终止处理程序,导致受害电脑的防毒软体或EDR停止运作。
其他攻击与威胁