上个月韩国电信龙头SK Telecom(SKT)证实遭骇的情况引起外界高度关切,该公司后续更进一步提供用户免费更换SIM卡,突显这起事故带来的影响,可能在不断扩大。最近他们公布新的调查结果,引起外界高度关注。
SKT透露有近2,700万个门号受到影响,并指出这起攻击行动,最早可追溯到3年前,但究竟骇客何时将资料偷走,仍有待后续厘清。
【攻击与威胁】
企业组织弃用的网域名称,被骇客滥用的情况,最近1至2年陆续传出相关攻击行动,通常攻击者会利用遭窃的帐号而得逞,但如今有骇客组织借由DNS的错误配置,进行更复杂、更为隐密的攻击行动,引起研究人员的关注。
资安业者Infoblox揭露骇客组织Hazy Hawk的攻击行动,指出这些骇客精通DNS,并借由DNS的错误配置,来挟持知名企业组织的S3储存桶、Azure端点等废弃云端资源。其中,对于成功挟持的网域,骇客用于代管大量网址,而这些网址的用途,就是借由不同的恶意流量导向系统(Traffic Distribution System,TDS),将受害者导向诈骗网站或是恶意软体。
之所以发现这起攻击行动,起因是这些骇客于今年2月成功控制了美国疾病管制中心(CDC)部分子网域,导致数百个与CDC子网域有关的URL,突然在搜寻引擎的结果窜出,此状况引发Infoblox研究人员调查,结果发现,这些骇客从2023年12月开始,就开始对全球的政府机关、大学、跨国公司下手。
资安业者Wazuh针对窃资软体FrigidStealer的攻击行动提出警告,与TA569关系密切的骇客组织EvilCorp锁定企业组织和个人,假借浏览器Safari更新的名义从事攻击行动,意图窃取用户或加密货币钱包帐密资料,导致身份窃取或财物诈骗。
FrigidStealer是在今年初首次现踪,骇客组织TA2727将其用于攻击行动,透过TA2726所经营的恶意流量散布系统(Traffic Distribution System,TDS)散布。当时揭露此事的资安厂商Proofpoint研究人员指出,TA2727和另一个组织TA569(又名 Mustard Tempest Gold Prelude、Purple Vallhund),都是使用TA2726的服务,这些骇客合作以JavaScript程式注入网站,冒充浏览器更新散布恶意程式,而其中一种就是专门锁定Mac用户而来的FrigidStealer。
Wazuh指出,一旦使用者依照指示下载DMG档案执行安装,过程中必须在AppleScript程式输入密码,而骇客这么做的目的,就是绕过macOS内建的防毒工具Gatekeeper。若是使用者成功套用「更新」,FrigidStealer就会在电脑搜寻敏感资料,并经由DNS通道向C2伺服器外泄资料。
其他攻击与威胁
【漏洞与修补】
【资安产业动态】
为减少密码带来的风险,在Google I/O大会上,Google宣布Chrome将加入新功能,可在侦测用户输入的密码外泄时,建议、或自动使用更安全的新密码。
Chrome是以内建的Google Password Manager实现防护。之前Password Manager已经能自动产生安全性较高的密码,以及名为Password Checkup的功能,它能检查并通知用户密码外泄。
现在Password Manager以前述功能为基础,纳入自动密码变更功能。Chrome若在用户登入时侦测到已外流的密码,Password Manager会提示用户,并提供自动修复的选项。而若是在受到支援的网站上,Chrome会产生高强度密码,并自动更新、取代旧密码。这项新功能可以免除用户辛苦寻找帐号设定,或者找到一半放弃的情形。