11个国家的执法单位于2月20日宣布破获勒索软体骇客LockBit的基础设施,但与其他骇客组织的攻坚行动有所不同,执法单位后续表明他们掌握其首脑LockBitSupps身分,意有所指对方很可能住在遭到制裁的俄罗斯,事隔2个多月,此事又有新的进展。
这些执法单位预告,将于指定的时间公布LockBitSupps身分,并在4天内关闭LockBit的网站,后续情况如何,有待进一步的观察。
【攻击与威胁】
执法单位再度针对勒索软体骇客LockBit的网站出手,预告透露对方更多身分相关资讯
2月下旬多国执法单位联手围剿勒索软体骇客LockBit的基础设施,后来不到一个星期的时间,对方疑似卷土重来,并将美国联邦调查局(FBI)列为受害组织,双方之间的攻防,最近又有新的进展。
5月6日资安研究员Jon DiMaggio发现,执法单位疑似再度修改LockBit的网站,预告将在世界协调时间(UTC)7日下午2时公开发表声明,内容包含该骇客组织首领LockBitSupps的身分,并并透露将公布其他不为人知的事情,在4天后关闭网站。该名研究人员认为,这次执法单位应该是来真的,可信度很高。
对此,骇客向另一个资安研究团队VX-Vnderground透露,认为执法单位宣称的并非事实,表明他们仍持续从事攻击行动,将会公布新的受害组织名单。
微软图学资料分析服务Graph的API遭骇客用于恶意通讯,攻击乌克兰组织
资安业者赛门铁克提出警告,他们看到有越来越多骇客,在攻击行动当中,滥用微软图学资料分析服务Graph的API,并指出骇客这么做的目的,通常是也利用微软云端服务架设C2基础设施的情况下,能够促进相关通讯的进行。
研究人员看到利用上述手法针对乌克兰组织的攻击行动,对方使用名为BirdyClient(或OneDriveBirdyClient)的恶意程式,并将其伪制成笔记型电脑触控板驱动程式ALPS Pointing Device Driver(Apoint.exe)相关的DLL程式库元件vxdiff.dll。
此恶意程式的主要功能,就是连接微软Graph的API,并利用云端档案共享服务OneDrive充当C2伺服器,然后让攻击者能上传或下载档案。不过,攻击者的动机为何?研究人员指出,由于尚未找到其他作案工具,目前无从得知意图,也不确定攻击者的身分。
其他攻击与威胁
◆骇客冒充受害者所属公司,寄送带有QR Code的钓鱼邮件,意图骗取帐密资料
◆骇客买下Google赞助商广告,对搜寻知名新闻网站、网路公司的用户进行技术支援诈骗
◆间谍软体Cuckoo锁定macOS用户而来,Intel与M系列处理器的电脑都是目标
【漏洞与修补】
5月6日资安业者Leviathan Security Group揭露名为TunnelVision的漏洞,一旦攻击者触发,就有机会将用户的VPN流量泄露到相同区域网路上的其他电脑,该漏洞被登记为CVE-2024-3661列管,CVSS风险评分为7.6。
研究人员指出,TunnelVision可绕过VPN封包,借由作业系统内建、用来自动分配IP位址的动态主机配置协定(DHCP),迫使目标使用者的流量离开VPN通道,进而有机会让骇客可窥探流量。由于此手法并未破坏VPN所控制的通道,因而不会触发VPN的网路自动断开(Kill Switch)机制,使得用户误以为自己的流量仍受到VPN保护。
由于TunnelVision攻击手法是让用户脱离VPN的保护,严格来说,这并非VPN系统本身的漏洞,但研究人员还是透过电子前线基金会(EFF)及美国网路安全暨基础设施安全局(CISA),向超过50个VPN供应商通报此事。
其他漏洞与威胁
【资安产业动态】
Google Cloud整合Gemini、Mandiant、VirusTotal,推出AI安全方案
5月6日Google Cloud于RSA大会宣布推出名为Google Threat Intelligence的威胁情资服务,将以Gemini 1.5 Pro模型为基础,整合资安分析产品线Mandiant与恶意程式解析服务VirusTotal而成。这项服务以AI助理Gemini提供简单易用的介面,方便用户以自然语言查询Google旗下产品及公开资源为基础的资安知识。
该公司宣称,结合其安全资料库的Gemini,可简化企业安全部门的研究作业。以分析WannaCry档案为例,只需34秒就能完成逆向工程,并找出如何一击阻绝运作。Gemini模型也提供实体萃取(Entity Extraction)工具,使AI助理能从网路搜寻公开研究资讯及产业报告,然后整理成结构清楚的资讯。
去年微软帐户(MSA)消费者签章金钥的外泄,导致中国骇客组织Storm-0558于微软服务中潜伏超过1个月,渗透欧美地区的25个政府组织,今年初俄罗斯骇客组织Midnight Blizzard又成功入侵微软测试租户帐户,长达两个月才被发现。对此,美国国土安全部网路安全审查委员会(CSRB)认为,微软的资安文化不足,无法防堵这些可以预防的意外,应进行根本性的安全改革。
对此,5月3日微软以去年提出的安全未来倡议(Secure Future Initiative,SFI)为基础,提出相关的具体措施,他们根据SFI的3大核心概念:设计安全(Secure by Design)、以安全为预设(Secure by Default)、安全操作(Secure Operations),提出了6大支柱暨目标。包括:保护身分与机密、保护租户并隔离生产系统、保护网路、保护工程系统、监控与检测威胁,以及加快回应与修复速度。
再者,该公司也宣布将部署全新的安全治理框架,新设多个副资安长执位,执行长Satya Nadella更宣告,微软的政策将全面以资安为优先。
近期资安日报
【5月6日】德国与捷克证实去年遭遇俄罗斯骇客APT28利用特定Outlook漏洞攻击事故