企业级红队演练工具遭到骇客滥用的情况,最常见的就是Cobalt Strike、Brute Ratel C4(BRc4),但如今有另一款名为Shellter工具遭到利用,罕见的是,开发团队也做出公开说明,表示他们打算如何因应及防范类似情况再度发生,并希望察觉此事的Elastic能够及早通知,而非看到部落格文章才得知此事。
除此之外,美国逮捕涉嫌听令中国政府窃取COVID-19研究资料的中国骇客,也相当受到关注,尤其是这些骇客为了搜括资料,后续更进一步利用资安漏洞ProxyLogon,对Exchange伺服器发动大规模攻击。
【攻击与威胁】
骇客滥用合法的资安演练工具从事攻击行动,最常见的莫过于渗透测试工具Cobalt Strike,不过这样的现象自2022年下旬出现变化,有人利用红队工具Brute Ratel C4(BRc4)犯案,去年出现利用红队演练框架MacroPack、EDRSilencer的事故,如今又有类似资安工具遭到滥用引起关注。
7月3日,企业资料搜寻分析解决方案业者Elastic揭露最新的窃资软体攻击行动,骇客滥用名为Shellter的防毒软体及EDR回避侦测工具,于受害电脑载入恶意程式。他们根据软体授权资料进行追踪,研判骇客从今年4月开始活动,最终目的是散布窃资软体。对此,Shellter开发团队隔天提出说明,表示他们已借由Elastic公布的资料找到客户的身分并做出处置,但该公司也认为处理过程有瑕疵,Elastic掌握这项情报数个月,却始终没有向他们通报此事。
这起事故也突显两个议题,其中一个便是红队演练工具开发团队都会通常审核、列管买家,无论客户有意或不慎外流档案,厂商要如何防范工具遭到流出及滥用的难题;另一个则是研究人员的通报流程出现瑕疵,没有及时通知软体开发者,而被发现该公司疑似已知情一段时间的情况。
过去几年以色列、美国曾传出骇客入侵水力设施企图进行控制的事故,例如,2020年4月、6月以色列传出农业水泵和氯控制器遭到网路攻击的情况,疑为伊朗骇客所为;2023年,美国水利单位的工控系统传出遭到伊朗骇客组织Cyber Av3ngers攻击,原因疑似他们采用以色列自动化控制业者Unitronics的系统而遭到锁定,上述的攻击多半针对农业用水及饮用水,假若得逞恐怕会影响作物收成与民众健康,如今传出有骇客针对水坝闸门控制系统下手,而险些波及下游民众的生命安全。
资安新闻网站HackRead引述挪威能源媒体Energiteknikk的报导指出,今年4月挪威传出有骇客入侵水坝控制系统的事故,导致闸门开启数个小时而无法自由控制、关闭。而这一切发生的原因,竟是因为弱密码酿祸。这起事故发生在Lake Risevatnet水坝,位于挪威西南的工业城镇和行政中心城镇Svelgen附近,一旦该闸门开启,每秒就会释出497公升的水,挪威当局指出,还好河床能应付每秒2万公升的水流入,而不受影响。
其他攻击与威胁
◆◆
【漏洞与修补】
研究人员发现微软Azure存在部分角色有过高特权以及曝露VPN金钥的漏洞,两漏洞合用可能让攻击者轻易取得企业敏感资料。
2项漏洞是由Token Security发现。其一存在Azure角色为基础的存取控制(Role-based Access Control, RBAC)。第二个则位于Azure API,可能让攻击者泄露VPN金钥。
研究人员说,结合这二个漏洞能发展出攻击串,使骇客得以存取公司内部的云资产或是本地部署网路。例如攻击者先取得某个具备(或不当分配了)*/read特权的角色,取得VPN 闸道的共享金钥,借此建立站对站连线(site-to-site connection)连上内部网路,包括企业VPC和本地部署网路。他也以影片示范了如何利用Log Analytics Reader角色连上企业VPN发动窃密攻击。