沉寂多年的安卓恶意程式PJobRAT,如今资安业者Sophos揭露最新一波的攻击行动,指出这次骇客的主要目标,就是台湾。
值得留意的是,虽然这波为期近两年的攻击行动,大约在去年10月似乎已经停止,之后似乎并未出现新的攻势,但研究人员也无法完全确定是否会出现后续活动,因此台湾使用者还是要提高警觉。
【攻击与威胁】
曾在4年前被揭露的安卓恶意程式PJobRAT,当时研究人员指出,骇客假借提供约会软体或是即时通讯应用程式,攻击印度的军事人员,如今传出骇客也对台湾散布这款恶意程式。
根据资安业者Sophos的监测,PJobRAT最新发动的攻击行动已出现许多位于台湾的受害者,这些档案伪装成即时通讯软体散布。研究人员根据骇客用来散布恶意软体的WordPress网站进行调查,虽然骇客申请恶意网域的时间在2022年,但实际的恶意软体自2023年1月开始出现,最后一波约在去年10月,换言之,这波攻击行动已持续接近2年。
究竟骇客如何接触受害者?研究人员指出,很有可能是透过搜寻引擎最佳化中毒(SEO poisoning)、恶意广告,以及网路钓鱼等手法来达到目的。
在同日稍晚,居易发布重大讯息,表示他们的主要网站、MyVigor使用者网站遭到DDoS攻击。对此,我们向居易进一步询问两者之间是否有关,该公司表示,他们认为这波是目标性攻击,骇客不只锁定已停止更新服务的路由器下手,攻击已知漏洞,他们注册的主机及网站也一并惨遭毒手。这种同时攻击网路设备及制造商网站的情况,相当罕见。
◆研究人员通报的资安漏洞,若经协调公开后,通常提及漏洞是否已被列管,并列出漏洞评估严重程度,但这需要厂商积极配合,否则可能无法让大家了解问题的严重性,进而影响弱点管理的效率。
资安业者Qualys指出,他们在Ubuntu作业系统的资安防护机制AppArmor发现资安弱点,Ubuntu 24.04以后的版本都受到影响,并指出攻击者有机会在不具备特殊权限的情况下,利用3种元件来绕过使用者名称空间(User Namespace)的限制。值得留意的是,研究人员并未提及这些弱点是否得到修补,也没有提及漏洞的CVE编号。
虽然研究人员向Canonical通报这些漏洞,并得到该公司的确认,但后来Canonical向资安新闻网站Bleeping Computer透露,他们认为这些并非漏洞,而是纵深防御机制本身的局限。因此,该公司考虑未来改良AppArmor的防护机制。他们也提供管理者强化防护的管理措施。
其他漏洞与修补