駭客盯上資安廠商SSL VPN系統,散布惡意程式攻擊中東組織
iThome 資安日報9月3日報導,駭客盯上資安廠商的SSL VPN系統作為誘餌,意圖散布惡意程式,攻擊目標鎖定中東組織。資安業者趨勢科技揭露,駭客偽裝成Palo Alto Networks旗下SSL VPN服務GlobalProtect,意圖竊取內部資料,並遠端執行PowerShell命令,進而滲透受害組織的網路環境。
攻擊手法:利用偽造應用程式引誘使用者
過往駭客多半是宣稱提供常見的應用程式,或是IT人員會用到的系統工具,但如今,有人以特定廠牌SSL VPN軟體作為幌子發動攻擊。這意味著駭客的攻擊目標相當有針對性,因為使用者很有可能是該廠牌SSL VPN系統的用戶,這樣的誘餌顯然能夠降低使用者的戒心,而有可能得逞。
攻擊目標:中東組織,意圖竊取內部資料
趨勢科技表示,此次攻擊鎖定中東組織,意圖竊取內部資料,並遠端執行PowerShell命令,進而滲透受害組織的網路環境。研究人員尚未清楚攻擊者如何散布惡意程式,但他們認為很有可能是透過網路釣魚進行,引誘使用者安裝GlobalProtect代理程式為由進行散布。
其他資安事件:
除了針對SSL VPN系統的攻擊外,近期還有其他值得關注的資安事件:
- 越南人權組織遭駭客OceanLotus鎖定攻擊,入侵超過4年。 駭客組織OceanLotus(也稱做APT32、APT-C-00、Canvas Cyclone)入侵當地的人權組織,並研判為期超過4年。駭客在受害電腦上植入5項工作排程,偽裝成Adobe Flash更新工具、Microsoft Defender更新任務,意圖載入Metasploit和Cobalt Strike有效酬載、經過演算法處理的Shell Code、VBS指令碼、BAT批次檔,以及COM物件。
- 針對Roblox平臺的NPM供應鏈攻擊已持續超過一年。 駭客持續鎖定遊戲平臺Roblox的開發人員展開攻擊,利用偽造且惡意的NPM套件,試圖竊取敏感資訊或是危害系統已超過1年。駭客主要是仿冒專為Roblox平臺開發者設計的JavaScript程式庫noblox.js,例如將惡意套件命名為noblox.js-async、noblox.js-thread 或noblox.js-api等,再藉由NPM軟體套件管理系統進行散布。
- 英國倫敦交通局證實遭遇網路攻擊。 倫敦交通局(Transport of London,TfL)著手因應仍在進行的資安事故,但強調相關運輸服務並未受到影響,所有旅客的資料尚未出現遭到外流的跡象。
資安防禦措施:
面對日益嚴重的網路攻擊,企業和個人都需要提高警惕,採取有效的資安防禦措施:
- 定期更新軟體和系統。 漏洞是駭客攻擊的主要途徑,定期更新軟體和系統可以有效降低被攻擊的風險。
- 使用強大的密碼。 使用強大的密碼可以有效防止帳戶被盜用。
- 提高安全意識。 避免點擊可疑鏈接,不要輕易下載來源不明的檔案,提高安全意識可以有效防止被攻擊。
- 使用多重驗證。 多重驗證可以有效提高帳戶安全性。
- 定期備份資料。 定期備份資料可以有效防止資料損失。
結論:
網路攻擊日益猖獗,企業和個人都需要提高警惕,採取有效的資安防禦措施,才能有效保護自身安全。
Views: 1