恶意软体框架Winos 4.0的攻击行动,最近半年已出现数起相关事故,但值得留意的是,过往骇客的主要攻击目标,都是使用简体中文的使用者,而在最近一起事故当中,惯用越南文的用户也是目标。
不只攻击的范围扩大,散布该恶意程式的骇客也搭配其他新工具来进行,其中一种引起研究人员关注的是恶意程式部署工具CleverSoar。
【攻击与威胁】
中国骇客运用恶意软体框架Winos 4.0从事攻击行动的情况,今年已发生数起资安事故,例如:6月趋势科技揭露骇客组织Void Arachne的攻击行动,假借提供AI应用程式的名义,向简体中文用户散布这款恶意软体;到了11月初,另一家资安业者Fortinet指出,有人利用这款恶意程式框架疑似锁定教育机构下手,如今相关的攻击行动再度传出。
资安业者Rapid7指出,他们在11月初发现了名为CleverSoar的恶意程式部署工具(Installer),攻击者的主要目标,是惯用简体中文与越南文的使用者。骇客意图利用这款部署工具在受害电脑植入多种恶意程式,并保护这些软体的运作不受到干扰。
而这些对方使用的恶意程式,包含了Winos 4.0进阶版本,以及名为Nidhogg的Rootkit程式。攻击者能够用来侧录键盘输入内容、资料外泄、绕过安全防护措施,甚至能进一步控制受害电脑。究竟攻击者的目的为何?研究人员推测,主要很有可能是为了进行更深入的监控,并且截取特定的资料。
日本电脑网路危机处理暨协调中心(JPCERT/CC)指出,他们得知骇客组织APT-C-60于今年8月攻击日本企业组织,对方佯装成求职者向人资窗口寄送钓鱼信,意图散布恶意程式。
在这波攻击行动里,骇客寄送含有Google Drive连结的钓鱼信,一旦收信人点选连结,电脑就会下载含有恶意程式的VHDX虚拟磁碟档案,该档案内含诱饵及Windows捷径档(LNK)。
收信人若是点选附件,电脑就会挂载虚拟磁碟并显示伪制成自我介绍的LNK档案,一旦开启,电脑就会启动档名为IPML.txt的Shell档案,此Shell程式就会下载恶意程式下载工具SecureBootUEFI.dat,并以COM挟持(Component Object Model Hijacking)的方式执行,借此让攻击者在受害电脑持续活动,最终于受害电脑植入后门程式SpyGlace。
最近2年骇客利用合法元件瘫痪防毒软体及EDR系统的情况,不断有资安事故传出,其中最常见的手法,便是使用过时的驱动程式,以作业系统核心层级来干扰这些资安防护机制的运作,但如今有人转向其他工具来突破防线。
资安业者Check Point指出,他们发现名为GodLoader的恶意软体,从今年6月底开始透过开源游戏引擎Godot,并执行特制的GDScript指令码,骇客借此触发恶意指令,并于受害电脑载入恶意软体,迄今约有1.7万台电脑遭到感染,而且,许多防毒软体可能无法侦测攻击者使用的恶意指令码,因为将这些程式送到恶意软体分析平台VirusTotal检测,鲜少有防毒引擎将其视为有害。
值得留意的是,该恶意软体散布的管道,是滥用程式码储存库GitHub组成的Stargazers Ghost网路,从9月至10月,约有200个储存库用于散布GodLoader。
其他漏洞与修补
打诈策略行动纲领2.0,打诈办公室转型为打诈指挥中心,分为识诈、堵诈、防诈、阻诈、惩诈5个面向,分别由内政部、NCC、数发部、金管会、法务部负责,各自针对警政宣传、电信产业、数位经济产业、金融产业、侦查提出打诈对策,并由打诈指挥中心跨部会协调合作,2.0也加强中央政府和地方政府合作,取得通报、共同打诈防诈。