2025/4/28 -2025/5/2 資安一週大事
- Ricky Chen / SOC資安工程師
- 5月5日
- 讀畢需時 6 分鐘
Advcash、NPM、反向Shell
開源資安公司Socket揭露了一個名為merchant-advcash的惡意NPM套件。這個套件表面上看似是一個合法的金流整合工具,但實際上卻隱藏了一個危險的反向Shell功能,可能會對電商平台的安全造成威脅。
🚨 攻擊方式
觸發時機:這個惡意程式在用戶完成支付後才會啟動,這使得它更難被發現。
隱藏性:由於它在正常的交易流程中執行,因此可以避開許多安全檢測工具。
技術細節:該套件使用Node.js編寫,並在特定的回呼函式中嵌入了反向Shell的程式碼,讓伺服器連接到攻擊者指定的IP地址。
⚠️ 為什麼這很危險?
這種攻擊方式顯示出攻擊者對目標系統的深入了解,並且能夠利用正常的商業流程來隱
藏他們的行為。雖然這個惡意套件已經被NPM官方下架,但它的存在提醒我們在處理金 流和用戶資料時必須更加小心。
🛡 如何保護自己?
加強安全檢查:開發者應該使用動態和靜態檢查工具來監控第三方套件,避免僅依賴套件的描述或README文件來評估安全性。
供應鏈安全:在整合支付系統時,必須特別注意供應鏈的安全,確保所有使用的工具和套件都是可信的。
定期更新:保持所有開發工具和套件的最新版本,以減少安全風險。
資料來源:
釣魚郵件
[4月29日] 租金也能被詐?駭客假冒房東發信騙你轉帳
針對租屋族群的詐騙手法在法國和加拿大出現,該詐騙利用電子郵件冒充房東或租賃管理公司,誘使租客將租金匯入詐騙者控制的帳戶。
🚨攻擊手法
駭客先入侵合法信箱
駭客(詐騙集團 TA2900)會先入侵某間真正的房東或租賃公司的 Email 帳號,或用假的帳號仿冒,看起來像是真的。
發送偽造郵件給租屋者
他們會假裝是房東或租賃公司,寄出一封看起來很正常的 Email,內容說:
「您好,我們的銀行帳戶資訊已變更,請將下一次租金轉帳到以下新帳戶,謝謝您。」
這些郵件通常語氣很專業,還會附上偽造的付款說明或公司抬頭。
誘導轉帳至詐騙帳戶
租屋者如果沒特別留意,就會把租金直接匯給詐騙者,以為自己完成了正常的付款流程。
要求提供匯款證明
詐騙者還會說:「請將匯款截圖或憑證寄到我們的新聯絡信箱」,這個信箱通常是 Gmail 或 Outlook 的免費帳號,而不是原來的公司信箱。
5. 快速洗錢並轉移資金
每個銀行帳戶只使用 2~3 次就停用,避免追查
有時會用所謂的「錢騾」來幫他們轉帳(例如找人收錢再轉出)
🛡 如何保護自己
核實帳戶變更:若收到銀行帳戶變更通知,應直接聯繫房東或租賃公司確認。
避免匯款至不明帳戶:不要將租金匯入未經核實的新帳戶。
警惕可疑郵件:注意郵件中的語言錯誤或不尋常的要求,這可能是詐騙的跡象。
使用官方通訊管道:僅透過官方認可的通訊方式與房東或租賃公司聯繫。
資料來源:
NullBulge、Slack、AI工具
在2024年,一名加州男子Ryan Mitchell Kramer(化名「NullBulge」)利用惡意程式入侵迪士尼員工的電腦,竊取了超過1.1TB的公司內部Slack資料,並公開洩漏資料。
🚨 攻擊方式
偽裝成AI工具的惡意程式:Kramer在GitHub等平台上發布了一個聲稱能生成AI藝術的工具,實際上內含惡意程式碼。
植入惡意程式碼:迪士尼員工Matthew Van Andel下載並執行該工具,導致Kramer獲得其電腦的存取權限,包括1Password密碼管理器中的帳號資訊。
滲透Slack系統:Kramer利用竊取的帳號資訊,進入迪士尼的Slack內部頻道,下載了約1.1TB的機密資料,涵蓋近10,000個頻道的訊息與檔案。
假冒駭客組織進行恐嚇:Kramer冒充虛構的俄羅斯駭客組織「NullBulge」,威脅Van Andel若不合作,將公開其個人資訊與迪士尼的內部資料。
公開洩漏資料:在未獲回應後,Kramer於2024年7月12日將竊取的資料發布在BreachForums等平台,包括未公開的專案、原始碼、內部API連結等。
🛡 公司/企業如何避免?
建立「下載來源審查制度」
對外部工具進行白名單控管,限制員工使用未經審核的軟體。
落實終端設備安全管理(EDR)
能即時偵測惡意程式行為,例如非法連線、程式異常執行。
Slack、Teams 等協作平台做權限控管
避免所有人都能接觸高機密頻道或下載內部文件。
建立事件通報與回應流程(IRP)
一旦發現異常可快速停權、調查、封鎖駭客擴散路徑。
定期資安教育訓練
教員工辨認釣魚信、假工具、駭客行為,提高整體防禦力。
資料來源:
NoName057、殭屍網路、DDOS
NoName057(16) 的親俄駭客組織,對荷蘭的多個公共和私人機構發動了大規模的分散式阻斷服務(DDoS)攻擊,導致多個網站無法正常運作。
🔹 攻擊目標
荷蘭的省級和市級政府網站
公共服務機構
私人企業網站
🔹 攻擊方式
建立「殭屍網路」軍團
駭客控制了來自全球成千上萬台被感染的電腦、路由器、攝影機等裝置。
這些裝置組成所謂的「Botnet」(殭屍網路),等待指令行動。
挑選政治目標:荷蘭政府與機構網站
駭客在 Telegram 頻道公開點名攻擊對象,包括荷蘭的地方政府網站、公共服務平台、甚至是企業網站。
理由是荷蘭政府對烏克蘭的軍事援助政策。
發動大規模流量攻擊
駭客組織 NoName057(16) 透過殭屍網路,同一時間對特定網站發送大量連線請求。
這種「洪水式」攻擊會讓網站的伺服器資源耗盡,進而宕機或極度緩慢。
網站癱瘓,服務中斷
多個地方政府網站無法連線,影響民眾查詢或辦理業務。
雖然沒有資料外洩,但造成公部門形象與服務信任上的損害。
駭客宣傳戰果
駭客在公開平台(如 Telegram)貼出被打垮網站的證據與截圖,宣示報復成功。
並持續威脅其他支持烏克蘭的國家與組織。
🚨 為什麼這樣的攻擊很嚴重?
服務中斷:政府和企業網站無法正常運作,影響民眾使用公共服務。
信任危機:頻繁的攻擊可能削弱民眾對政府和機構的信任。
政治意圖:駭客組織明確表示攻擊是對特定政策的不滿,具有政治威脅性質。
🛡 如何預防或減緩 DDoS 攻擊?
部署防護設備:使用能自動偵測並攔截異常流量的網路安全設備。
啟用雲端防護服務:可協助吸收並過濾攻擊流量。
設置流量限制:限制單一使用者在特定時間內的請求次數。
建立備援系統:確保在主系統受攻擊時,備用系統能迅速接手。
持續監控與通報機制:即時監控網路流量,並在發現異常時迅速通報並應對。
資料來源:
Azure、挖礦攻擊
[5月2日] 駭客濫用 Azure 雲端資源進行挖礦攻擊
微軟威脅情報團隊揭露,駭客組織 Storm-1977 利用名為 AzureChecker.exe 的命令列工具,對教育機構的 Azure 雲端租戶發動密碼潑灑攻擊,成功取得帳號後,建立大量容器進行加密貨幣挖礦活動。
🚨 攻擊流程
準備攻擊工具:駭客使用 AzureChecker.exe 工具,從特定網域下載經 AES 加密的資料,解密後獲得攻擊目標資訊。
發動密碼潑灑攻擊:透過 AzureChecker.exe 讀取帳密列表檔案 accounts.txt,對目標租戶進行密碼潑灑攻擊。
取得訪客帳號:攻擊成功後,駭客使用取得的訪客帳號建立資源群組。
建立容器進行挖礦:在受害租戶的 Azure 環境中建立超過 200 個容器,利用雲端資源進行加密貨幣挖礦。
⚠️ 風險與影響
資源濫用:駭客利用受害者的雲端資源進行挖礦,可能導致資源耗盡,影響正常業務運作。
帳號安全:密碼潑灑攻擊可能導致多個帳號被盜用,增加資訊安全風險。
隱私洩漏:若駭客進一步存取敏感資料,可能造成資料洩漏。
🛡️ 如何防範?
強化密碼政策:避免使用弱密碼,定期更換密碼,並啟用多因素驗證(MFA)。
監控異常活動:定期檢查雲端資源使用情況,監控異常登入與資源使用行為。
停用未使用的工作負載:根據微軟統計,過去一年有超過 51% 的工作負載處於無活動狀態,建議停用未使用的資源,以降低被濫用風險。
資料來源:
Comentários