网路钓鱼攻击可说是相当泛滥,相关工具包也接连出现,资安业者Trustwave揭露最新一波的攻击行动相当引人注意,骇客运用名为Rockstar 2FA的网钓工具包,而能在突破多种资安防护下发动攻击。
研究人员强调,骇客在攻击流程搭配多种合法服务,而能成功回避资安系统的侦测,其中一种是Cloudflare去年底正式开放、可免费使用的图灵验证服务Turnstile。
【攻击与威胁】
网钓工具包横行,近期有不少研究人员公布骇客打造的新工具,但也有骇客更换名称持续活动的情况。资安业者Trustwave揭露的Rockstar 2FA网钓工具包,就是典型的例子,这个工具包的前身,其实是去年5月出没的DadSec,而到了去年底,骇客先后更名为Phoenix、Rockstar 2FA,然后持续从事攻击行动。
研究人员在今年8月看到使用此网钓工具包的大规模网钓攻击,骇客组织Storm-1575发动对手中间人(AiTM)攻击,从而拦截受害者的帐密资料,以及连线阶段(Session)的cookie,而有机会绕过多因素验证机制,进而挟持Microsoft 365帐号。
根据他们的观察,这次对方的主要目标,很可能是想要浏览与汽车有关网站的使用者,研究人员从5月开始,发现逾5千个与车辆相关的网域名称。
资安业者ESET揭露第一个针对Linux电脑的UEFI Bootkit「Bootkitty」,但不久后有人结合已知的UEFI韧体漏洞,打造具有实际破坏性的恶意程式。
11月29日专精韧体安全的资安业者Binarly指出,他们近日发现名为logofail.bmp的图档,大小为16MB,一旦传送给Linux电脑,就会在图片解析过程注入Shell Code,并在UEFI韧体的MokList变数注入恶意帐密,从而套用新的GRUB组态档案。此档案能成功绕过安全开机(Secure Boot)防护机制,并将后门程式植入受害电脑。
值得留意的是,这支恶意程式针对具有特定漏洞LogoFAIL(CVE-2023-40238)的韧体而来,若是IT人员并未套用新版韧体,就有可能曝险。
这些漏洞影响EKI-6333AC-2G、EKI-6333AC-2GD、EKI-6333AC-1GPO等3款机型,对此研华针对EKI-6333AC-2G、EKI-6333AC-2GD发布1.6.5版韧体,以及针对EKI-6333AC-1GPO发布1.2.2版韧体,修补相关漏洞。
根据漏洞严重程度来看,有6个被评为重大层级,其余多为高风险层级,仅有1个为中度风险等级。其中,CVE-2024-50370、CVE-2024-50371、CVE-2024-50372、CVE-2024-50373、CVE-2024-50374、CVE-2024-50375皆为CVSS评分达到9.8的危险漏洞,除了CVE-2024-50375与重要功能缺乏身分验证有关,其他漏洞的成因,则是涉及作业系统命令当中,特定元素的处理不正确。
其他漏洞与修补