针对Linux作业系统的恶意程式,过去一年不时传出相关的攻击活动,最近一起资安事故相当值得留意,原因是攻击者使用的手法升级,相关攻击行动变得更加难以察觉。
特别的是,揭露此事的资安业者Palo Alto Networks表示,骇客使用的恶意软体Auto-color非常刁钻,而且防守方想要清理还必须倚赖特定工具,否则会难以完全清除。
【攻击与威胁】
针对Linux作业系统的攻击行动越来越常出现,而且骇客的手段日益复杂,使得防守方难以察觉,在后续进行复原的工作更加困难。
资安业者Palo Alto Networks指出,他们自去年11月初至12月,发现名为Auto-color的Linux后门程式,骇客为了回避侦测,使用多种手法,其中包含使用看起来良性的档案名称来掩人耳目,刻意埋藏C2连线的通讯,以及将相关通讯与组态资讯进行加密处理。研究人员强调,这款后门程式能让攻击者完全存取受害电脑,防守方若要清除,必须搭配特定工具,否则会很难清除。
针对这个后门程式的发现,Palo Alto Networks资深主任安全工程师Alex Armstrong指出,他们在去年11月5日发现第一个档案,而该恶意软体家族主要锁定的目标,是北美及亚洲的大学及政府机关办公室,但究竟后门程式如何入侵受害组织,Alex Armstrong表示目前仍不清楚。
可查询自己密码是否遭外泄的网站Have I Been Pwned(HIBP),最近纳入1.5TB巨量事件记录资讯,它们都是遭窃的资料,该网站的创办人Troy Hunt指出,内容多达230亿笔,其中包含4.93亿组网站及电子邮件资料,影响2.84亿个(284,132,969)电子邮件信箱,而这批资料的来源,是一个名为Alien Txtbase的Telegram频道。
究竟这批资料有多庞大?Troy Hunt表示,这批资料含有2.44亿组新密码,比原本HIBP留存的1.99亿笔还要来得多。
对于资料的发现过程,Troy Hunt提及是一名政府机关的人士提供相关情报,并交给他这批资料的其中两个档案,经过他循线调查之后,总共在Telegram频道找到744个档案,从而拼凑出上述资料。
其他攻击与威胁
专精WordPress网站安全的资安业者Wordfence接获研究人员Arkadiusz Hydzik通报漏洞,他发现,提供网站管理者建立表单、问卷、投票的外挂程式Everest Forms,存在重大层级的任意档案上传漏洞CVE-2025-1128。
未经身分验证的攻击者,可经由此弱点将任意档案上传到WordPress网站,从而远端执行任意程式码,并且还能进一步读取或删除网站上的任何档案,漏洞的CVSS风险达到9.8分(满分10分),而且,所有版本Everest Forms都存在这项弱点,目前10万个部署该外挂程式的网站都有可能曝险。
Wordfence将所有资料都交给WordPress布景软体与外挂开发商ThemeGrill,Everest Forms的开发者于2月20日发布3.0.9.5版修补,Wordfence也颁发4,290美元抓漏奖励给Arkadiusz Hydzik。
2月21日澳洲政府发布禁令,从4月1日起禁止在政府所有系统和装置上,安装俄国资安业者卡巴斯基的产品和网页服务,现有安装的软体必须移除。
澳洲移民暨国境保护部(Department of Home Affairs)部长Stephanie Foster指出,经过威胁和风险分析,她认为澳洲政府实体使用卡巴斯基产品和网页服务,会对澳洲政府、网路和资料造成不可接受的安全风险,包括外国干预、间谍和破坏。她也认为有必要对关键基础设施及其他澳洲政府单位释出明确政策讯号,告知使用该产品的安全风险。