|
中華數位科技與 ASRC 研究中心本季觀察到的特殊郵件攻擊: 【攻擊者瞄準微軟OneNote發動新惡意攻勢】
Qbot 於今年第一季有一波透過電子郵件流竄的惡意攻擊,名為 QakNote。
這個攻擊主要的特性是使用 .one 的惡意文件試圖攻克 Microsoft OneNote,為後續的惡意行動打開受感染裝置的入侵大門。
為了防範巨集在 Office 文件中被惡意濫用,微軟去年七月宣布關閉巨集功能的措施會部署到 Windows 平台的 Access、Excel、PowerPoint、Word 和 Visio。今年一月我們就發現了攻擊者瞄準 Microsoft OneNote 發動新的惡意攻勢。
.one 的惡意文件中可包含惡意的 VBS 、HTA 或 LNK 捷徑作為附件,也可以夾帶惡意的 .js或 .jse,當受害者不慎點擊其中的夾帶附件,就可能觸發一連串呼叫 powershell.exe 執行的惡意行為。
【土耳其震災募款詐騙】
2023 年 2 月 6 日凌晨 4 時 17 分,土耳其發生強烈地震,受災規模巨大引起世界關注,同樣也引起了詐騙份子的關注。在初期,我們觀測到的詐騙郵件透過冒名全球捐贈網 (globalgiving.org) 的募款信件,搭配帶有 QRcode 的釣魚頁面進行虛擬貨幣的捐款詐騙。
釣魚頁面本身不具備交易或騙取機敏資料的功能,只提供三個指向詐騙用虛擬錢包位址的 QR code:
BTC
bitcoin:15euPhVcHmSP1kHeq2EyWvf9NXS12hmcWN
ETH
ethereum:0xFb9217f10569a60A352b26A22fD99a1719c1bCd7@1
USDT
ethereum:0xdAC17F958D2ee523a2206206994597C13D831ec7@1/transfer?address=0xFb9217f10569a60A352b26A22fD99a1719c1bCd7
另一型態則是在內文要求直接捐款至特定比特幣錢包帳戶:bc1q2ta3f85kyd6ez6gtz45agxfxwp7007wdnzvg4n。
詐騙信夾帶了 QRcode 圖片附件,經過解碼,結果為另一個比特幣錢包:
bitcoin:bc1qfpehxeppc9yd2farrxxq5mlr4xr82ezwevu7uf,這個錢包過去就被廣泛用於各種詐騙與恐嚇取財。
提醒您,若要響應各種善款的捐助,請直接找尋有公信力的捐款單位;務必提防透過詐騙郵件要求任何捐款指示的行動,許多網路的詐騙行動並非一次性的損失,食髓知味的攻擊者會記錄容易上當的受害者並且持續攻擊!
【兩個微軟高風險漏洞】
Microsoft 於 2 月 14 日發布重大漏洞 CVE-2023-21716,同時影響了多個版本的 Microsoft Office,此為遠端執行任意程式碼 (RCE,Remote Code Execution) 漏洞,CVSS 評分值高達 9.8。這個漏洞的入侵方式為攻擊者透過電子郵件夾帶特製的 RTF 檔案,若使用者開啟 RTF 檔案;或以帶有預覽視窗的 Office 應用程式 (如: Microsoft Outlook) 瀏覽,駭客可藉此漏洞執行任意程式碼。
而在 Microsoft 3月發佈的安全性更新中 CVE-2023-23397 (CVSS評分值9.8) 為Microsoft Outlook 特權提升 (EoP) 漏洞,可利用 Outlook 的行事曆提醒功能來竊取受害者的 Net-NTLMv2 雜湊。駭客寄送利用此漏洞的惡意郵件後,Outlook 客戶端只要接收並處理郵件,即便使用者沒有開啟或預覽這封惡意郵件,都會自動觸發該漏洞並洩漏 Net-NTLMv2 雜湊。2022 年 4 月 1 日從烏克蘭上傳 VirusTotal 的樣本,試圖攻擊烏克蘭國家移民局;一家經營軍艦、國防科技的土耳其公司,2022 年底便遭受到漏洞攻擊。漏洞早在一年前便開始被濫用。
這兩個漏洞都可讓駭客透過惡意電子郵件進行攻擊,應盡速修補。
【郵件炸彈】
郵件炸彈 (Email bomb) 是一種惡意濫用電子郵件的行為,其目的是使目標郵箱超額或使目標郵件伺服器癱瘓,其中一種手段是利用壓縮檔來進行。透過修改壓縮檔,可讓商業郵件伺服器、Antispam 機制或是防病毒軟體在解壓縮檢查壓縮檔內容物時,拒絕服務或其他問題。在今年三月份我們看見了一種融合了過去郵件炸彈手法的新攻擊手段。
這種攻擊在 Office Word 檔的前半段塞入惡意攻擊的程式碼;而後半段則全填為 0。當資安防禦工事試圖解壓縮進行掃描檢查時,解壓縮後的檔案大小過大很容易將暫存空間塞滿,或造成其他包括記憶體方面未預期的錯誤;也可能因為檔案過大而被略過某些掃描。所幸,這波攻擊只持續了一小段時間便消失了。
這一季最受矚目的資訊相關新聞,應該就是面向大眾的 AI 實用功能推出與應用,由 OpenAI 的 ChatGPT 為全球展示了生成式 AI 為人類生產效率提升的可能性;可預見的,也可能提高攻擊者的攻擊效率。雖然目前還未看到較具體的攻擊應用,但生成式 AI 可在短時間內生成較以往更令人信服的文字、翻譯流暢度、以假亂真的畫面,社交工程方面的攻擊將會是未來的一大隱憂。
詳細資訊,請參考完整報告:https://www.asrc-global.com/insights.html?nid=1100 - 新聞稿有效日期,至2023/06/03為止
聯絡人 :Softnext
聯絡電話:02-25422526
電子郵件:pim@softnext.com.tw
 上一篇:南山中學六百位同學熱情響應飢餓三十,今年共計捐款418,150元
 下一篇:歐洲太空總署與達梭系統簽署合作意向書
|
