AWS雲端服務的Log4Shell漏洞曾出現修補不全的狀況、勒索軟體REvil疑死灰復燃

3{icon} {views}

去年12月引起全球IT人員關注的漏洞Log4Shell,各家軟體業者相繼為受影響產品推出修補程式,而最近有資安業者揭露,AWS於去年發布的修補程式,出現了修補不全的情況,甚至還衍生新的弱點,AWS經過反覆驗證後才在最近完成修補。

而勒索軟體REvil在去年年底十多名成員遭到逮捕,該組織的基礎設施也遭到執法機關接管,但最近有多名資安人員發現,這個駭客組織可能又東山再起。

針對駭客組織Lapsus$入侵Okta的事故,Okta再度公布新的調查結果,指出駭客實際上只入侵了25分鐘,存取2家客戶的帳號,而非先前提及可能影響超過360個用戶。

【攻擊與威脅】

勒索軟體REvil的基礎設施於今年1月遭到俄羅斯政府摧毀,但最近傳出再度開始恢復運作的現象。研究人員Soufiane Tahiri與Pancak3發現,有人在俄語論壇市集RuTOR公布新的REvil洩密網站,這個網站位於Tor網路,但使用不同的網域。

而此網站似乎正在找尋想要使用新版勒索軟體的駭客,提供勒索軟體的組織將在成功收到贖金後,收取2成費用。該網站也列出26個受害組織,但其中僅有2個是新增的,其中一個是印度石油(Oil India)。

資安研究團隊MalwareHunterTeam也在今年4月5日至10日,發現上述與REvil有關的外洩網站,但當時網站上並沒有任何內容,而是在一個星期後,有人才從舊的REvil網站複製24個受害組織的資料,並增列2個新的受害組織。資安新聞網站Bleeping Computer指出,美國聯邦調查局(FBI)曾在2021年11月控制REvil的網站,究竟REvil是否真的另起爐灶?顯然有待進一步的調查。

駭客組織Lapsus$今年初入侵身分安全管理業者Okta,該業者曾表示駭客因取得合作夥伴Sitel的客戶支援工程師帳密,可能在5天內存取了365個Okta客戶的資料,但此事最近又有新的調查結果出爐。

Okta於4月19日再度針對這起事件做出說明,表示駭客的確掌控了一臺Sitel工程師所使用的工作站電腦,進而存取Okta的資源,但實際上此攻擊行動只在1月21日進行了25分鐘,駭客透過超級使用者(SuperUser)的應用,存取2家客戶的資料,並瀏覽他們的Slack、Jira等應用程式的內容。該公司強調,駭客這些舉動無法用來竄改用戶的配置,或是重設他們的雙因素驗證、密碼等資料。

自烏克蘭政府機關在今年1月初陸續遭到俄羅斯駭客Gamaredon網路攻擊,最近又有新的攻擊行動出現。賽門鐵克指出,Gamaredon近期使用名為Pteredo的後門程式變種,對烏克蘭發動攻擊,研究人員至少看到4個變種病毒。這些後門程式都會投放Visual Basic程式碼且功能相似,並利用Windows排程工作器來長期在受害電腦上運作,然後從C2伺服器下載額外的程式碼,以執行下個階段的攻擊行動。

而上述變種Pteredo用途略有不同,其中一種主要用於資料收集、另一種用於接收外部的PowerShell程式碼並執行,第3種則是用於更新DNS配置;至於最後一種則包含前述3款的功能。

勒索軟體Hive最近幾個月動作頻頻,有研究人員發現駭客動作相當迅速,入侵後數日後就加密資料。資安業者Varonis針對客戶遭到勒索軟體Hive攻擊的事故進行調查,結果發現,駭客先透過ProxyShell漏洞入侵Exchange Server,並植入Web Shell做為後門,而攻擊者可利用這些後門以系統權限執行惡意PowerShell程式碼,進而從C2伺服器下載Cobalt Strike於記憶體內執行。

接著,攻擊者以系統權限建立名為user的管理員用戶,並利用Mimikatz來截取企業的憑證,並藉由Pass-The-Hash手法來控制網域管理員帳號,最後,駭客在受害組織網路進一步調查,掃描敏感資訊,再部署Hive勒索軟體。研究人員指出,駭客從成功入侵到部署勒索軟體,只花了不到72小時,組織能察覺異狀並採取行動的時間並不多。

又是微軟端點防護出現誤報的情況。根據資安新聞網站Bleeping Computer的報導,有許多IT人員發現自己組織的Microsoft Defender for Endpoint約從4月20日晚間,將Google更新程式下載Chrome瀏覽器更新檔案的工作,視為執行可疑的服務,或是投放有問題的檔案。後來微軟在Microsoft 365 Defender的服務狀態公告裡,坦承上述現象的確是誤報,並非實際的攻擊行動,約在一個半小時後微軟再度公告,表示已修正誤報的情形。

駭客利用零時差漏洞的情況,在2021年出現大幅增加的情況。Google旗下的威脅分析小組(TAG)指出,他們在2021年發現了58個遭到利用的零時差漏洞,相較於2020年僅有25個,多出超過一倍。研究人員認為,去年零時差漏洞數量大幅增加的原因,主要是因為他們相關的檢測與揭露工作所致。其中,最值得留意的是Chrome瀏覽器的漏洞就占了14個、Safari有7個,作業系統的部分,Windows有10個、Android有7個,此外,微軟的郵件系統Exchange Server也有5個。

 

【漏洞與修補】

去年12月被揭露的Log4Shell漏洞,傳出有雲端服務廠商漏洞修補不全的情況。資安業者Palo Alto Networks近日指出,AWS於去年12月中旬針對旗下解決方案發布的Log4Shell熱修補(Hot Patch)程式,存在漏洞修補不完全的現象,而導致可能被攻擊者用於提升權限,或是逃脫容器的情況,研究人員將衍生的弱點列管為CVE-2021-3100、CVE-2021-3101、CVE-2022-0070、CVE-2022-0071,CVSS風險層級為8.8分。在12月下旬通報後,AWS進行多次修補與驗證,於今年4月19日發布完整的修補程式與資安通告。

 

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等,多角化經營並具有國際觀的永續理念。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。

來源鏈接:https://www.ithome.com.tw/news/150544

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機。