锁定手机的金融木马攻击不时传出,最近研究人员揭露名为Brokewell的恶意程式,并指出该恶意程式能绕过Android 13的防护机制,进而透过侧载的方式执行其他作案工具。
值得留意的是,Brokewell并非首款能绕过上述防护机制的安卓恶意软体,但研究人员认为,攻击者未来应该会透过租赁服务提供其他网路犯罪份子利用,使得该恶意软体危害范围进一步扩大。
【攻击与威胁】
金融木马Brokewell挟持安卓装置,从而窃取机敏资料、洗劫金融帐户
资安业者ThreatFabric发现名为Brokewell的安卓金融木马,并指出该恶意程式具备广泛的设备接管功能,攻击者也开发了名为Brokewell Android Loader的恶意程式载入元件,从而绕过Google在Android 13加入辅助服务(Accessibility Service)管制,而能侧载应用程式。
这个恶意程式被发现的原因,是研究人员看到冒牌的Google Chrome更新网页,与正牌网页极为相似,不同之处在于:正牌网页同时提供「取得Chrome」和「我想更新Chrome」的连结,冒牌网页只有「更新Chrome」的按钮。但这种差异,恐怕多数使用者都无法轻易察觉。
根据研究人员的观察,Brokewell几乎每天都有更新,显示骇客相当勤劳,他们也推测,未来这项攻击模式很有可能朝向租赁服务发展,从而吸引其他网路犯罪份子,以此对更多地区发动相关攻击。
德国媒体ZDFheute及明镜(Spiegel)指出,他们取得汽车大厂福斯(Volkswagen)针对网路攻击的调查文件,从而揭露一起未曾揭露的资安事故。
根据这份文件,福斯从2010年至2015年遭骇客入侵,包含智慧财产相关的档案遭到外泄。对方疑似从2010年调查该公司的IT基础架构,寻找可用漏洞,并于次年成功存取,并在2014年多次将机密资料传至外部伺服器,这些骇客犯案后亦清除作案迹证。
后来资安专家调查发现,对方共发起3波攻击,窃得汽油引擎、变速箱研发资料,而对于近年兴趣的电动车,相关开发资料也惨遭毒手,估计总共超过1.9万份文件外流。根据对方的IP位址,作案工具及时区,推测攻击者来自中国,相关证据指向中国政府及解放军。
身分验证解决方案业者Okta提出警告,锁定该公司用户的帐号填充攻击爆增
4月27日身分验证解决方案业者Okta的资安团队提出警告,继思科从3月下旬发现锁定多个厂牌的SSL VPN系统的大规模暴力破解攻击,他们也在本月19日至26日,发现针对客户的帐号填充(Credential Stuffing)攻击大幅增加,而且,攻击来源疑似是几乎相同的攻击基础设施。但究竟有多少用户受害?该公司并未说明。
究竟对方如何取得使用者的帐密资料?该公司认为,骇客很可能是透过其他资料外泄事故,或是借由网路钓鱼及恶意软体攻击取得。
值得留意的是,这些攻击具有相同的特征,那就是骇客仰赖隐身服务Tor来发出请求,而且,数以百万的请求过程,也都透过滥用合法装置的代理伺服器服务(Residential Proxies)进行。
资安业者Akamai指出,他们员工收到许多佯称是美国邮局(United States Postal Service,USPS)的诈骗简讯,从而调查发现,从去年10月至今年2月,用户DNS查询仅有51%导向正牌的美国邮局网站,其余都被导向钓鱼网站,而且,每逢特定节日,钓鱼网站的DNS查询次数就会远大于正牌网站。
根据研究人员的调查,全球至少有超过68万个含有USPS字串的钓鱼网域名称,其中约有27万个采用.com、27万个采用.top、5.8万个采用.shop、3万个采用.xyz、1.6万个采用.org。
虽然他们在调查期间,观察到正牌网站的DNS查询量略多于钓鱼网站,但研究人员指出,这样的结果是因过滤资料的方式造成,实际上恶意流量显然超过了合法流量,这也突显网域名称抢注与网钓攻击泛滥的现象。
其他攻击与威胁
◆乌克兰遭遇Office已知漏洞攻击,对方利用PowerPoint档案散布Cobalt Strike
◆瑞典物流业者Skanlog传出遭遇勒索软体攻击,导致当地酒品供应受到冲击
◆加拿大连锁药局London Drugs遭遇网路攻击,被迫暂停营业
◆印度银行ICICI行动应用程式配置错误,导致逾1.7万张信用卡资料曝光
【漏洞与修补】
针对防火墙危急漏洞CVE-2024-3400,Palo Alto Networks证实攻击者有可能借此持续存取受害装置
4月12日资安业者Palo Alto Networks发布资安公告,指出旗下防火墙存在危急漏洞CVE-2024-3400,CVSS风险评分达到10分,此漏洞存在于防火墙作业系统PAN-OS的GlobalProtect功能,未经授权的攻击者有机会使用root权限,在防火墙上执行任意程式码。
当时通报此事的资安业者Volexity指出,他们察觉这项漏洞的原因,是发现客户的防火墙出现可疑的攻击流量。Palo Alto也在17日证实,漏洞利用出现增加的情况,且有第三方公布概念性验证程式码(PoC),如今情况又有新的进展。
30日该公司再度更新资安公告,指出他们针对前述的PoC手法进行分析,确认一旦攻击者加以利用,即使IT人员对防火墙进行升级或是重置,对方仍能持续在受害装置上活动,并以root层级执行命令。
【资安产业动态】
为了培养多元的资安人才,近年来国家科学及技术委员会与教育部联手,举办GiCS寻找资安女婕思资安竞赛,今年已迈入第4届。本次竞赛自3月8日开放报名,上周末举行决赛并发表成果。
本次竞赛于4月27日,在台南沙仑资安暨智慧科技研发大楼举办决赛,比赛结果出炉,在资安闯天关的赛事当中,高中职组的冠军是台中高工及文华高中组成的WHC队,拿下大专校院组冠军的队伍名称相当特殊,叫做「逢甲大学是一所积极新创、学科齐全,在国际上具有重要影响力与竞争力的综合性大学,欢迎大家报考逢甲大学」。
而在另一场创意发想赛,高中职组由内湖高中「美少女战四」队得到冠军,大专院校今年首度分为两组,其中,资讯相关科系组的冠军是元智大学「查某囝仔」队,非相关科系组别的第一名,是中国文化及逢甲大学组成「蘑菇蘑菇 让我把你带回家」队。
从云端闸道器起家的CTERA,主力产品是基于GFS分散式档案系统(Global File System)平台的CTERA Edge Filer储存装置,以及云端储存服务,可建立跨多云的分散式档案储存环境。为了对抗勒索软体威胁,CTERA也在去年年中为其储存平台提供勒索软体保护功能,其中包括基于机器学习的即时攻击侦测、零时差漏洞滥用防护、事件管理仪表板,以及即时复原等功能。
日前CTERA又为勒索软体保护功能新增基于诱饵档案(Decoy files)的资料外泄防护能力,可借此侦测攻击者的非授权存取行为,并即时展开对应,降低资料外泄的风险。
其他资安防御措施
近期资安日报
【4月29日】互动式BI系统Qlik Sense危急漏洞遭到锁定,对方利用勒索软体Cactus发动攻击