被「駭」者愈來愈多,國家級駭客、勒索軟體與零日漏洞大舉入侵

作者 | 發布日期 2021 年 07 月 07 日 14:52 | 分類 國際觀察 , 科技生活 , 網路 Telegram share ! follow us in feedly


資安研究機構 FortiGuard Labs 近期發布最新的威脅情資報告,指出目前的駭客攻擊,除了有國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution, RCE)零日(Zero-day)漏洞攻擊。

報告提及一場由俄羅斯情報局第 85 主要特種勤務中心(GTsSS)26165 軍事部隊發起的攻擊行動,利用 Kubernetes 叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。

對此,資安業者 Fortinet 表示,聯合網路安全警示提出多項 GTsSS 執行任務時所採用的戰略技術流程。據觀察,GTsSS 會使用密碼噴灑(Password Spraying)攻擊入侵目標網路,接著橫向移動擴散,再從外洩資料中竊取存取帳密,進行深入偵查,HTTP(S)、IMAP(S)、POP3 與 NTLM 等通訊協定也是駭客鎖定的目標。

而在獲得存取權後,這些駭客會採取進一步行動,例如透過橫向移動擴散接近目標。同時,駭客也利用了 CVE 2020-0688 (Microsoft Exchange 驗證金鑰遠端程式碼執行漏洞)與 CVE 2020-17144(Microsoft Exchange 遠端程式碼執行漏洞);遭到駭客惡意利用的 Kubernetes 叢集,會透過商業 VPN 與 TOR 服務混淆攻擊者的來源以及他們的來源 IP 位址。

除了最新的勒索軟體攻擊,FortiGuard Labs 也留意到微軟 Windows 列印多工緩衝處理器的新發現零日漏洞報告中的問題。一般認為該漏洞的問題來自 CVE-2021-1675(Windows 列印多工緩衝處理器遠端程式碼執行漏洞),微軟亦在其 2021 年 6 月的週二修補日公布。

然而,最新發現的漏洞似乎可能是該漏洞的變形,或存在另一個新漏洞,不過微軟目前尚未發表任何公開聲明證實這個說法。但低階的已驗證使用者或者擁有這類憑證的駭客,可以透過目前這種型態的漏洞輕鬆從「系統」層級奪佔目標伺服器,進行各種攻擊。

FortiGuard 研發中心台灣區經理林樂表示,因應層出不窮的駭客攻擊,各企業須持續舉辦訓練課程,告知職員最新的網路釣魚/魚叉式網路釣魚攻擊;駭客透過社交工程散布機制進行各種網路釣魚/魚叉式網路釣魚攻擊的事件屢見不鮮,讓企業內終端使用者了解各種類型攻擊成為當務之急。

(首圖來源:Fortinet)