资安研究机构 FortiGuard Labs 近期发布最新的威胁情资报告,指出目前的骇客攻击,除了有国家级骇客组织所发起的资安攻击行动,-机构和企业也经常遭到勒索软件和其他远端程式码执行(Remote Code Execution, RCE)零日(Zero-day)漏洞攻击。
报告提及一场由俄罗斯情报局第 85 主要特种勤务中心(GTsSS)26165 军事部队发起的攻击行动,利用 Kubernetes 丛集对全球多个实体进行暴力攻击,有多个-机构与私人企业受害。
对此,资安业者 Fortinet 表示,联合网络安全警示提出多项 GTsSS 执行任务时所采用的战略技术流程。据观察,GTsSS 会使用密码喷洒(Password Spraying)攻击入侵目标网络,接着横向移动扩散,再从外泄资料中窃取存取帐密,进行深入侦查,HTTP(S)、IMAP(S)、POP3 与 NTLM 等通讯协定也是骇客锁定的目标。
而在获得存取权后,这些骇客会采取进一步行动,例如透过横向移动扩散接近目标。同时,骇客也利用了 CVE 2020-0688 (Microsoft Exchange 验证金钥远端程式码执行漏洞)与 CVE 2020-17144(Microsoft Exchange 远端程式码执行漏洞);遭到骇客恶意利用的 Kubernetes 丛集,会透过商业 VPN 与 TOR 服务混淆攻击者的来源以及他们的来源 IP 位址。
除了最新的勒索软件攻击,FortiGuard Labs 也留意到微软 Windows 打印多工缓冲处理器的新发现零日漏洞报告中的问题。一般认为该漏洞的问题来自 CVE-2021-1675(Windows 打印多工缓冲处理器远端程式码执行漏洞),微软亦在其 2021 年 6 月的周二修补日公布。
然而,最新发现的漏洞似乎可能是该漏洞的变形,或存在另一个新漏洞,不过微软目前尚未发表任何公开声明证实这个说法。但低阶的已验证使用者或者拥有这类凭证的骇客,可以透过目前这种型态的漏洞轻松从“系统”层级夺占目标服务器,进行各种攻击。
FortiGuard 研发中心台湾区经理林乐表示,因应层出不穷的骇客攻击,各企业须持续举办训练课程,告知职员最新的网络钓鱼/鱼叉式网络钓鱼攻击;骇客透过社交工程散布机制进行各种网络钓鱼/鱼叉式网络钓鱼攻击的事件屡见不鲜,让企业内终端使用者了解各种类型攻击成为当务之急。
(首图来源:Fortinet)
