今年有多起锁定游戏公司的攻击行动,从年初电玩游戏开发商Riot Games证实遭骇,旗下《英雄联盟》及防作弊系统的原始码遭窃,到最近Sony旗下电玩业者Insomniac Games遭勒索软体Rhysida入侵,偷走处于开发状态的电玩游戏《金钢狼》相关资料,这类资安事故有越来越频繁的情况。
而在本日的资安新闻里,传出有人对电玩开发商Ubisoft发动攻击,该公司在两天之内察觉有异,并做出处理,使得受害情况得到控制,但攻击者身分仍不得而知。
【攻击与威胁】
游戏开发商Ubisoft传出遭网路攻击,骇客宣称目标是《虹彩六号:围攻行动》的内部资料
资安研究团队VX-underground指出,12月20日有人入侵电玩公司Ubisoft,该公司的管理者约在48小时后才察觉异状,注销相关存取权限,约有900 GB资料外流。
骇客究竟如何入侵该公司内部网路环境?目前原因不明,但骇客透露他们企图透过稽核使用者权限,并耗费大量时间检视该公司的Teams、Confluence、SharePoint的内容,目的是想要窃取《虹彩六号:围攻行动》的内部资料,但没有成功。
骇客锁定电玩产业下手的事件频传,最近一起是Sony旗下电玩业者Insomniac Games遭勒索软体Rhysida入侵,骇客窃得1.6 TB资料,其中有不少与预计2025年发表的电玩游戏《金钢狼》有关。
资料来源
1. https://twitter.com/vxunderground/status/17380931905387605742. https://twitter.com/vxunderground/status/1738144068788494722
窃资软体RedLine、Vidar锁定旅馆而来,骇客假借投诉与订房为由发动攻击
资安业者Sophos揭露在今年4月美国报税季截止前的网路钓鱼攻击,骇客针对全球的旅馆业者而来,散布窃资软体RedLine、Vidar。这种钓鱼邮件内容只有文字,而且会在收信人回覆此类邮件之后,攻击者才会发送后续的讯息,向收信人「说明」投诉或请求协助的细节。
研究人员指出,骇客当时所寄送的钓鱼邮件分成两种类型,其中一种是声称在住宿过程遇到严重问题,例如:遭遇暴力攻击、放在房间的贵重物品遭窃,向旅馆业者投诉;另一种则是假借有特殊订房需求的名义,例如:花粉症人士、身障人士、长者等,向业者寻求进一步的订房协助。这些电子邮件都会带有URL,指向Google Drive、Mega、Dropbox等云端档案共用系统,或是即时通讯软体Discord代管的ZIP或RAR压缩档,声称是做为投诉佐证资料,或是房客的医疗资料,而且,这些压缩档的共通点是套用密码保护,不会被防毒软体视为有害。
在其中一起攻击行动里,骇客声称近期过世的亲戚在旅馆留下相机,请饭店协助,工作人员回覆后,骇客假装生气并以提供相机的照片为由,要求收信人从指定Google Drive连结下载档案,一旦收信者照做,电脑就有可能被植入窃资软体Redlin或Vidar,而且,骇客为了回避侦测,这些窃资软体的程式大小都超过600 MB。
方程式编辑器的老旧漏洞被利用,骇客拿来散布恶意软体Agent Tesla
资安业者Zscaler揭露新一波恶意软体Agent Tesla的攻击行动,骇客先是假借提供订单、发票相关的资料为由寄送钓鱼邮件,其内容挟带了含有巨集的Excel档案(XLAM档),一旦收信人依照指示开启,电脑就有可能触发方程式编辑器漏洞CVE-2017-11882(CVSS风险评分为7.8),后续在无需使用者互动的情况下,于受害电脑部署其他恶意程式元件。
骇客先是透过巨集下载恶意JPG档案,然后利用PowerShell解码埋藏在上述图档里、以Base64编码的DLL档案,然后载入恶意处理程序。值得留意的是,上述DLL元件被注入Windows元件RegAsm.exe的处理程序,从而启动Agent Tesla。此恶意程式由.NET打造,具备键盘侧录及RAT木马的功能。
窃资软体MetaStealer透过恶意广告散布
资安业者Malwarebytes揭露窃资软体MetaStealer最近一波的攻击行动,骇客假借提供文字编辑软体Notepad++,以及远端登入个人电脑桌面软体的AnyDesk名义,约从11月中旬开始在Google投放恶意广告,一旦使用者点选,就会被带往骇客制作的诱饵网站,若是依照指示下载安装程式并执行,电脑就会执行PowerShell指令码,而有可能被植入MetaStealer。
伊朗骇客APT33锁定国防产业,散布恶意程式FalseFont
微软威胁情报团队提出警告,他们在11月初发现伊朗骇客组织APT33(亦称Peach Sandstorm)新一波的攻击行动,对方使用名为FalseFont的后门程式,针对全球的国防工业基地(DIB)相关组织的从业人员发动攻击。
研究人员指出,骇客开发与运用FalseFont的方式,与他们去年看到的几乎一致,这代表骇客正在持续改良网路间谍攻击的技术。对此,他们呼吁使用者重设遭到密码泼洒攻击的密码,并采用多因素验证(MFA)保护帐号、远端桌面连线(RDP)。
资料来源
1. https://twitter.com/MsftSecIntel/status/17378957101696288242. https://twitter.com/MsftSecIntel/status/17378957136467396973. https://twitter.com/MsftSecIntel/status/1737895715911700830
欧洲刑警组织警告逾400个电商网站遭骇,被植入信用卡侧录程式
欧洲刑警组织(Europol)联手17国执法单位,以及欧盟网路安全局(ENISA)、资安业者Group-IB、Sansec,针对信用卡侧录攻击(Card Skimming)进行调查,结果在2个月里发现443个电商网站被骇客植入相关作案工具,客户的信用卡或借记卡资料已遭泄露。这起调查行动由希腊主导,属于欧洲犯罪威胁对抗平台(EMPACT)的重点项目。
参与本次调查行动的Group-IB指出,他们认出的信用卡侧录恶意程式家族多达23种,包含:ATMZOW、health_check、FirstKiss、R3nin等。
资料来源
1. https://www.europol.europa.eu/media-press/newsroom/news/action-against-digital-skimming-reveals-443-compromised-online-merchants2. https://www.group-ib. com/media-center/press-releases/digital-skimming-action/
【其他新闻】
美国房地产教育训练中心Real Estate Wealth Network资料库不设防,曝露15亿笔资料
房地产管理软体制造商的CRM系统曝露69万客户资料
多个视窗作业系统CLFS漏洞遭勒索软体骇客利用
RAT木马程式Bandook透过密码保护的压缩档案散布
金融木马Chameleon出现变种,可绕过生物辨识保护机制
近期资安日报
【12月25日】 骇客集团UAC-0099锁定乌克兰组织并利用WinRAR漏洞植入恶意程式LonePage
【12月22日】 巴勒斯坦骇客对以色列组织声称提供F5 BIG-IP「零时差漏洞修补程式」来破坏电脑所有档案
【12月21日】 Sony旗下游戏开发商遭勒索软体Rhysida攻击并导致开发中的游戏资料外流
留言