The hacker news發佈了一篇4 關於資料停機和遺失的指導性事後分析
數據外洩是一個嚴重的網路安全問題,它可能導致個人資料、財務資訊、商業機密等被不法分子竊取、濫用或公開。數據外洩的原因可能有很多,例如系統漏洞、人為疏失、惡意攻擊等。在這篇部落格中,我將介紹四個近期發生的數據外洩案例,並從中提出一些保護自己的網路安全的建議。
案例一:中國黑客利用 VMware 零日漏洞進行網絡間諜活動
根據黑客新聞的報導,一個與中國有關聯的網絡間諜組織,自 2021 年底以來,一直利用 VMware vCenter Server 的一個未修補的漏洞(CVE-2023-34048)進行攻擊。這個漏洞是一個越界寫入的問題,可以讓具有網路存取權限的惡意攻擊者在 vCenter Server 上執行遠端程式碼。VMware 在 2023 年 10 月 24 日修補了這個漏洞,並在本週更新了其公告,承認這個漏洞已經被野外利用。
這個網絡間諜組織被稱為 UNC3886,之前也被發現利用 VMware 和 Fortinet 的其他漏洞,來植入惡意程式,竊取目標系統的資料。這次的攻擊流程是這樣的:首先,攻擊者通過繞過 Windows Defender SmartScreen 的方式,讓受害者點擊一個惡意的網際網路捷徑檔(.URL),從而連接到攻擊者控制的伺服器,並執行一個控制面板檔(.CPL)。接著,這個惡意的 .CPL 檔會呼叫 rundll32.exe 來執行一個 DLL,這個 DLL 會呼叫 Windows PowerShell 來下載並執行下一階段的攻擊,這個攻擊是從 GitHub 上下載的。最後,這個下載的 PowerShell 載入器(DATA3.txt)會使用一個開源的殼碼載入器 Donut,來解密並執行 Phemedrone Stealer,這是一個開源的資訊竊取程式,可以從瀏覽器、加密貨幣錢包和通訊應用程式中竊取資料。
這個案例顯示了攻擊者如何利用零日漏洞來進行隱蔽的網絡間諜活動,並且針對防火牆和虛擬化技術,因為這些技術通常缺乏端點偵測和回應(EDR)的解決方案,從而讓攻擊者可以在目標環境中持續存在。因此,我們建議 VMware vCenter Server 的使用者盡快更新到最新版本,以減少潛在的威脅。此外,我們也建議使用者開啟 Windows Defender SmartScreen 的保護功能,並且不要隨意點擊來歷不明的連結或檔案。
案例二:黑客利用 Windows 漏洞來部署竊取加密貨幣的 Phemedrone Stealer
根據黑客新聞的報導,有些惡意攻擊者已經利用一個已修補的 Windows 漏洞(CVE-2023-36025)來部署一個開源的資訊竊取程式,叫做 Phemedrone Stealer。這個程式可以從瀏覽器、加密貨幣錢包和通訊應用程式中竊取資料,並且通過 Telegram 或其指揮和控制(C&C)伺服器將竊取的資料傳送給攻擊者。
這個 Windows 漏洞是一個安全繞過的問題,存在於 Windows SmartScreen 中,可以讓攻擊者通過誘使使用者點擊一個特製的網際網路捷徑檔(.URL)或一個指向網際網路捷徑檔的超連結,來繞過 Windows SmartScreen 的保護。這個漏洞已經在 2023 年 11 月的微軟安全更新中被修補。
這次的攻擊流程與案例一類似,也是通過惡意的 .URL 檔來連接到攻擊者控制的伺服器,並執行一個惡意的 .CPL 檔,然後呼叫 rundll32.exe 來執行一個 DLL,這個 DLL 會呼叫 Windows PowerShell 來下載並執行下一階段的攻擊,這個攻擊是從 GitHub 上下載的。最後,這個下載的 PowerShell 載入器(DATA3.txt)會使用 Donut 來解密並執行 Phemedrone Stealer。
這個案例顯示了攻擊者如何利用已修補的漏洞來部署各種類型的惡意程式,包括勒索軟體和竊取程式,如 Phemedrone Stealer。因此,我們建議使用者及時安裝 Windows 的安全更新,以防止被攻擊。此外,我們也建議使用者使用可靠的安全軟體,並且不要存放過多的加密貨幣在線上錢包中,以減少損失的風險。
案例三:惡意廣告在 Google 上針對中文使用者,推銷假冒的 NordVPN
根據[黑客新聞]的報導,有些惡意廣告在 Google 上出現,針對中文使用者,推銷一個假冒的 NordVPN,這是一個知名的虛擬私人網路(VPN)服務提供商。這些廣告會導引使用者到一個假冒的 NordVPN 官網,並試圖說服使用者下載並安裝一個惡意的應用程式,叫做 NordVPN 安全瀏覽器。這個應用程式實際上是一個木馬程式,可以竊取使用者的敏感資料,例如密碼、信用卡資訊、瀏覽歷史等。
這個案例顯示了攻擊者如何利用 Google 的廣告系統來傳播惡意程式,並且利用知名品牌的名聲來吸引使用者的信任。因此,我們建議使用者在下載任何應用程式之前,要先檢查其來源是否可靠,並且使用正版的 VPN 服務,以保護自己的網路隱私和安全。
案例四:黑客利用 SolarWinds 的 Orion 平台來入侵美國政府和企業
根據[黑客新聞]的報導,一個被認為與俄羅斯有關聯的高級持續性威脅(APT)組織,已經利用 SolarWinds 的 Orion 平台,一個廣泛使用的網路管理軟體,來入侵美國政府和企業的系統。這個攻擊被稱為 SolarWinds 事件,是一個供應鏈攻擊,也就是攻擊者通過竊取 SolarWinds 的程式碼簽章憑證,來將惡意程式碼植入 Orion 的更新檔中,然後通過正常的更新機制,將惡意程式碼傳送到 Orion 的使用者的系統中。這個惡意程式碼被稱為 Sunburst,它可以讓攻擊者遠端存取和控制受感染的系統,並且執行各種惡意活動,例如竊取資料、安裝其他惡意程式、破壞系統等。
這個案例顯示了攻擊者如何利用供應鏈攻擊來進行大規模的網絡間諜活動,並且針對高價值的目標,例如政府機構和大型企業。這個攻擊也展示了攻擊者的高度專業和隱蔽,因為他們能夠在 SolarWinds 的程式碼中植入惡意程式碼,並且在數個月內逃避偵測。因此,我們建議使用者在安裝任何軟體更新之前,要先驗證其完整性和來源,並且使用多層的安全防護,以防止被攻擊。
詳情請看: