The Good 本週的好消息有著一些醒目的教訓。 一名俄羅斯人因涉嫌對電動車製造商特斯拉的網路攻擊未遂並在美國被逮捕。 Egor Kriuchkov 被指控試圖以價值有 100 萬美元的比特幣賄賂特斯拉員工,以換取在公司網路上安裝惡意程式以及提供有關公司基礎設施的詳細信息。 Kriuchkov 在試圖離開美國時遭到聯邦調查局(FBI)的逮捕,據稱他對這位不願透露姓名的特斯拉員工說,他在俄羅斯的同夥將首先從特斯拉竊取數據,然後勒索 400 萬美元的贖金。 這群駭客們打算在安裝惡意程式時發動 DDoS 攻擊,以分散資安團隊的注意力。 據說 Kriuchkov 聲稱他已使用這種聲東擊西的方式成功的獲利。 有人也認為,Kriuchkov 可能是指本月初對 Carlson Wagonlit Travel 進行的勒索程式攻擊。 利用內部人員作為破壞資安安全控制的手段,是一種會與從事間諜活動的國家級駭客聯繫在一起的技術。但也很顯然,網路犯罪團隊也有能力並且願意長期投資 ,尤其是回報時會變的非常有錢。我們對這名特斯拉員工表示敬意,Elon Musk 也表示這是對公司的一次 “嚴重攻擊”。 The Bad 不幸的是,對於每一次被阻擋到的攻擊,還是有其他的漏網之魚。 在本週呢~ 研究人員詳細的介紹了臭名昭著的 QakBot(又名 QBot,QuakBot)該惡意程式是從銀行木馬程式演變為惡意程式交付平台,與 Emotet,TrickBot 和其他所謂的 “ Swiss Army knoif” 工具不同。 今年的發展非常迅速,在 1 月到 8 月之間至少進行了 15 次轉變。 最近的 QakBot 活動已成為作者的垃圾郵件的發源地,針對歐洲和美國的政府,軍事以及製造業的攻擊也不斷發生。 QakBot 的成功建立於在熟悉的 MO:利用 reply 鏈攻擊的網路釣魚郵件並攜帶有毒檔案,利用 Visual Basic 下載第二階段的 payload 並與攻擊者的 C2(C&C)伺服器連線。 有些說法表示在某些情況下,QakBot 在競爭對手的平台上 deliver。 這個惡意程式具有 backdoor 的功能,有的變種包含了 plugin,可讓操作者通過 VNC 連接控制中毒的設備。 主要目標為:竊取憑據和收集電子郵件以用於進一步的垃圾郵件攻擊,該惡意程式也可以將受害者的設備送到殭屍網路中,進而控制其它的設備。 研究人員並表示,QakBot 還具有能力在受害者不知道的情況下,進行網路銀行交易。 Source: Check Point 相對的,與許多其他惡意程式一樣,防止惡意程式的關鍵是通過網路釣魚信件來阻止初始的代碼執行。 我們建議使用者注意常見的誘餌,例如工作廣告,COVID-19 和 Election 2020 的主題,以及無預期的發票和付款提醒。 The Ugly 駭客們一直在尋找新的感染媒介,那還有什麼比世界上使用最廣泛的共享平台之一 Google Drive 中的未修補漏洞更好?? 本週,一位研究人員發現,感謝 “ Manage Versions 管理版本” 功能,攻擊者可以在不發出警告的情況下,秘密地將上傳並共享到 Google 雲端的非可執行檔,切換為惡意執行檔。 POC 證明了可以將用戶之間共享的檔案(例如 Invoice.pdf)更新為 Invoice.exe,如果點擊了原始檔的相同連接,則該文件變成了可執行惡意程式檔,也不會向用戶發出任何警告。 更糟的是,儘管有些 anti-virus 可能會將檔案辨別為惡意,但 Google Chrome 對於直接從 Google 雲端下載的任何內容是採默認的信任。 可以在不檢查檔案類型的情況下更改版本是一個危險的漏洞,攻擊者可以在魚叉式廣告攻擊中利用這個漏洞:與無辜的用戶共享一個的檔案,鼓勵他們進行操作執行,然後切換到惡意程式,然後等到使用者下一次點擊連結...
目前尚無法得知 Google 是否計劃在將來解決問題,但在 Google 在“ Manage Versions 管理版本”功能中強制執行文件類型驗證之前,所有 Google 雲端的用戶都要有意識到這一項風險。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|