骇客针对Linux主机从事挖矿攻击的情况,不时有研究人员揭露相关事故,如今在罗马尼亚骇客Diicot(或称Mexals)的攻击行动里,出现过往极为罕见的手法。
资安业者Wiz指出,这些骇客一改过往的作风,他们不再眷恋云端环境,而是锁定企业内部环境的Linux伺服器而来,目的是为了避免攻击行动东窗事发。
【攻击与威胁】
最近几年专门利用Linux伺服器从事挖矿攻击的事故陆续传出,其中一个专门从事这类攻击行动的罗马尼亚骇客Diicot(或称Mexals),有研究人员揭露最新一波的攻击行动。
资安业者Wiz指出,这些骇客通常会利用自我散布工具、自制的UPX打包工具,透过网路扫描寻找下手目标,并植入挖矿软体,但在他们最新一波的攻击行动里,骇客运用损坏的检查码(checksum)窜改UPX档案标头,以防正常的解包工具能够进行拆解,而且,这次骇客使用了进阶的恶意酬载与行为来从事相关攻击。
研究人员举出其中一种手法为例,骇客会根据Linux作业系统的版本,来侦测恶意软体是在云端或是内部网路环境执行,一旦发现是云端环境,则恶意软体就会进行自我散布,直到是内部网路环境的Linux主机,才会执行部署挖矿软体有效酬载的工作。骇客这么做的目的,很有可能就是根据威胁情资曝露的踪迹进行调整,以免相关攻击行动曝光。
乌克兰战争持续至今接近3年,为提升部队呈交报告的效率,今年8月乌克兰国防部发布名为Army+的行动应用程式,标榜能让军人使用安卓及苹果的行动装置快速呈交11种类型的报告,减轻他们在文书作业上的负担,然而敌对阵营的骇客也趁机散布恶意程式。
12月18日乌克兰电脑网路危机处理暨协调中心(CERT-UA)提出警告,他们掌握骇客组织UAC-0125架设许多仿冒Army+应用程式的网站,滥用无伺服器运算服务Cloudflare Workers,意图对乌克兰军人散布恶意程式。
究竟骇客如何引诱乌克兰军人上门?目前仍不清楚,但CERT-UA指出,发起这波攻击的骇客组织UAC-0125,与他们称为UAC-0002的俄罗斯骇客组织Sandworm(也称为APT44、Voodoo Bear)之间,存在某种关联。CERT-UA提及,这些骇客于今年上半,就曾假借提供微软Office软体安装档案发动攻击。
【漏洞与修补】
凭借高效能、高扩展性与简易特色,近来在物件储存领域声名鹊起的MinIO,于12月16日通报1个重大漏洞CVE-2024-55949,并释出修补版本。
MinIO是一款相容于S3协定的物件储存软体平台,能以开源的免费形式(基于GNU AGPLv3授权),与付费的商用授权形式使用。
而日前通报的CVE-2024-55949则是评分达到9.3分的重大漏洞,这个漏洞是IAM身分存取识别汇入API(IAM import API)所导致,由于缺少权限检查,攻击者可以借由建立iam-info.zip档案,然后透过mc admin cluster iam import指令汇入该档案,从而修改自身在MinIO平台上的权限,进而还能取得完全的管理权限,控制整个MinIO平台的管理与部署。
其他漏洞与修补