【資安日報】2022年9月28日,中國駭客APT41透過CHM檔案散布竊密軟體、北韓駭客Lazarus宣稱提供Crypto職缺散布惡意軟體
[ad_1]
駭客傳遞惡意軟體到受害電腦的手法,不少很可能是透過惡意巨集文件,或是HTML檔案、光碟映像檔來進行,但最近有人製作了具備多種檔案格式特徵的CHM檔案來發動攻擊。這個CHM檔案可被當作Windows說明檔案執行,但後來駭客透過了MSHTA元件來啟動部署惡意軟體的流程。
PowerPoint的投影片模式也成為駭客濫用的對象!俄羅斯駭客組織APT28濫用這種功能觸發惡意PowerShell指令碼,而可能躲過資安防護系統的偵測。
北韓駭客Lazarus再度假借加密貨幣交易所的職缺發動網釣攻擊!但與過往事件不同的是,這次駭客似乎鎖定macOS使用者而來。
【攻擊與威脅】
中國駭客APT41透過CHM檔案散布竊密軟體IcedID
資安業者Palo Alto Networks揭露自今年8月上旬出現的惡意軟體IcedID攻擊行動,中國駭客組織APT41等多個駭客組織,濫用CHM檔案發動攻擊,目的是要隱藏PowerShell或JavaScript指令碼執行的惡意酬載。
與許多CHM檔案的攻擊不同之處在於,這個CHM檔案在首次開啟時會顯示無害的說明視窗,但再度執行就會啟動惡意指令,然後呼叫MSHTA元件載入IcedID惡意程式。由於此檔案在透過兩種程式開啟會出現不同的結果,而有可能成功規避資安系統的偵測。
北韓駭客Lazarus舊技重施,專門鎖定Mac電腦用戶下手,以提供加密貨幣交易所Crypto職缺的名義散布惡意軟體
最近2年,北韓駭客Lazarus假冒大型公司,以提供工作職缺的名義發動網釣攻擊,這樣的事故已有數起,但該組織現在偏好以加密貨幣交易所做為幌子。
資安業者SentinelOne發現,該駭客組織以加密貨幣交易所Crypto的名義,並透過LinkedIn找尋下手目標,企圖在受害者的Mac電腦植入惡意軟體,且無論是搭載Intel處理器或是M1晶片的電腦都可能感染。
這些駭客以加密貨幣交易所職缺來發動攻擊的情況已非首例,今年8月,他們就透過另一家加密貨幣交易所Coinbase的名義來散布惡意軟體。
小心駭客透過PowerPoint投影片模式傳送惡意軟體的攻擊手法,即使沒有點擊也有可能中招
威脅情報業者Cluster25指出,俄羅斯駭客組織APT28約自9月9日開始,運用了PowerPoint簡報檔來散布惡意軟體Graphite,目標是歐盟、東歐國家的政府部門及國防單位。
此PPT簡報檔的內容聲稱與經濟合作暨發展組織(OECD)的線上會議有關,並包含能觸發惡意PowerShell指令碼的URL,一旦受害者將簡報檔以投影片模式開啟,並將滑鼠游標停留在上述的URL,就會觸發惡意PowerShell指令碼執行,從OneDrive下載偽裝成JPG圖檔的DLL檔案,最終在受害電腦植入Graphite。研究人員指出,駭客利用這樣的手法便無須使用巨集,很有可能得以規避不少資安系統的偵測。
澳洲大型電信業者Optus資料外洩,駭客疑遭執法單位盯上而宣稱刪除竊得資料
名為OptusData的駭客在澳洲大型電信業者Optus遭駭後,取得1,100萬名用戶個資,並在駭客論壇BreachForums以100萬美元的價格,求售這些資料,隨後這些駭客又在論壇上公布1萬名Optus用戶的資料,供其他駭客運用,結果有人收到勒索簡訊。
但現在這些駭客一改囂張的行徑,原因很可能是執法單位介入調查。根據資安新聞網站Bleeping Computer的報導,自稱握有Optus外洩資料的駭客於9月27日表示,他們不再出售相關資料,並聲稱已刪除手上留存的副本。
該新聞網站指出,駭客這麼做的原因,很有可能就是澳洲聯邦警察(AFP)於26日針對此案啟動「颶風行動」計畫,並與其他國家的執行部門合作,追捕涉案人士。
暗網出現能散布木馬程式Agent Tesla的作案工具,能繞過Windows的UAC措施
資安業者Zscaler發現,有人在暗網上兜售名為Quantum Builder的工具,並標榜能產生木馬程式Agent Tesla攻擊所需的相關檔案。
根據研究人員的分析,駭客會運用Quantum Builder製作惡意的LNK、HTA,以及PowerShell檔案的酬載,然後將木馬程式植入Windows電腦。上述酬載包含了多種隱匿攻擊意圖的能力,例如,為了讓最終執行的酬載能透過管理員權限執行,並將其加入防毒軟體的白名單,駭客濫用了Microsoft Connection Manager Profile Installer(CMSTP)來繞過使用者帳戶控制(UAC)的機制;再者,則是PowerShell指令碼以記憶體內執行的方式運作,此外,駭客在感染鏈的多個階段裡,也利用寄生攻擊(LOLBins)手法。
研究人員指出,Quantum Builder不只能用於散布Agent Telsa,他們也看到駭客用於散布RedLine Stealer、IcedID、GuLoader等惡意程式。
駭客購買搜尋引擎廣告散布惡意軟體下載器NullMixer,在受害電腦植入十餘種作案工具
資安業者卡巴斯基提出警告,駭客購買Google搜尋引擎最佳化(SEO)廣告,以提供破解軟體的名義散布惡意軟體NullMixer,一旦使用者執行駭客提供的檔案,電腦就有可能被植入超過十種惡意程式,如:SmokeLoader、RedLine Stealer、PseudoManuscrypt等。該公司攔阻47,778名使用者執行NullMixer,這些受害者大多位於巴西、印度、俄羅斯、義大利、德國、法國、美國。研究人員提出警告,由於想要執行破解軟體的使用者往往會關閉防毒軟體,而很可能讓駭客藉此為所欲為。
【其他資安新聞】
三星因今年發生的資料外洩事件遭䀻 提出集體訴訟
烏克蘭提出警告,俄羅斯駭客即將針對盟國的關鍵基礎設施發起大規模網路攻擊
程式碼安全軟體廠商WhiteSource更名為Mend
近期資安日報
【2022年9月27日】 中國駭客TA413利用後門程式Lowzero攻擊圖博人士、Zoom用戶成駭客散布惡意程式的攻擊目標
【2022年9月26日】 微軟SQL Server遭到勒索軟體Fargo鎖定、駭客假冒CI/CD平臺竊取開發者GitHub帳號
【2022年9月23日】 勒索軟體BlackCat鎖定備份系統竊取資料、存在15年的Python漏洞恐影響35萬個開源專案
[ad_2]
Source link