駭客會利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼、略過存取控管、阻斷服務,甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
正當企業才要從 Log4Shell 漏洞 (CVE-2021-44228) 的震撼中回神過來,瞄準開放原始碼網站伺服器 (如 Apache HTTP Server) 的攻擊便席捲而來。駭客利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼 (RCE)、略過存取控管、阻斷服務 (DoS),甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
面對駭客的惡意活動,企業單靠及時修補系統仍稍嫌不足。邁入 2022 年,採用一套軟體組成元件分析 (SCA) 解決方案來發掘軟體供應鏈上每一層環節的問題,將是一項不可或缺的要素。
Water Pamola對許多目標網路商店都下了帶有內嵌XSS腳本的訂單。一旦網路商店帶有這種XSS漏洞,當網路商店管理者在管理後台打開訂單時就會載入惡意腳本。
該腳本執行的惡意行為包括頁面擷取、帳密網路釣魚、Web Shell感染和惡意軟體派送。這波活動的目標可能是竊取信用卡資料, 類似入侵數千家網路商店的Magecart盜卡組織惡意活動。
從2019年開始,趨勢科技就一直在追踪被稱為Water Pamola的威脅活動。這活動最初是利用夾帶惡意附件的垃圾郵件來入侵日本、澳洲和歐洲國家的網路商店。
但是從2020年初起,我們注意到Water Pamola活動發生了一些變化。現在的受害者主要出現在日本。根據最新的監測資料,攻擊不再透過垃圾郵件發動。而是當管理者在網路商店管理後台查看客戶訂單時,就會觸發惡意腳本執行。
Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。
開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。
木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。
趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。
這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:
繼續閱讀目前已有多個情報來源披露,有一項精密的駭客攻擊正利用一個已遭篡改的網路監控軟體入侵供應鏈上下游企業。本文討論這個名為 Sunburst 的後門程式以及您該如何防範這項威脅。
目前已有多個情報來源披露,有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統,在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。
Sunburst 是一個精密的後門程式,幾乎能讓駭客完全掌控被感染的系統,不過其行為相當獨特。
在它執行之前,它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行,而且電腦必須連上網域。也因為這些限制條件,使得研究人員在分析時更加困難,不過卻也某種程度限制了受害者的擴散範圍。
繼續閱讀