作者rtyujlk (BCSYSOP各30篇R神)
看板AntiVirus
标题[情报] 骇客锁定台湾公部门、研究机构、大学
时间Fri Jan 15 07:02:37 2021
骇客锁定台湾公部门、研究机构、大学发动网钓攻击,并在网页邮件系统注入恶意JavaSc
ript窃密
https://www.ithome.com.tw/news/142156
趋势科技近日揭露一起自去年2019年5月开始,新的骇客组织Earth Wendigo发动的网路钓
鱼攻击,这起攻击行动锁定台湾的政府组织、研究机构,以及大学下手。而为了能让攻击
范围更广,骇客进一步在邮件网页系统上注入恶意JavaScript
文/周峻佑 | 2021-01-11发表
新闻
骇客锁定台湾公部门、研究机构、大学发动网钓攻击,并在网页邮件系统注入恶意JavaSc
ript窃密
趋势科技近日揭露一起自去年2019年5月开始,新的骇客组织Earth Wendigo发动的网路钓
鱼攻击,这起攻击行动锁定台湾的政府组织、研究机构,以及大学下手。而为了能让攻击
范围更广,骇客进一步在邮件网页系统上注入恶意JavaScript
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
图片来源:
趋势科技
网路邮件钓鱼攻击事件层出不穷,但骇客为了能够掌控受害者的电子邮件信箱帐号,他们
也发展出较为复杂的手法,来暗中收集能存取这些帐号的资料,而且,这样的手法还针对
台湾公部门与研究机构而来。
在1月5日,趋势科技公开自2019年5月出现的网路钓鱼攻击行动,骇客的手法相当特殊,
藉由钓鱼邮件让受害者上钩之後,他们不仅透过受害者的邮件签名档,对他人发动XSS攻
击横向感染,同时还窃取信箱内容,以及登入电子邮件信箱的凭证,或是连线阶段(Sess
ion)的金钥等。该公司指出,这样的攻击手法,过往没有骇客如此做过,他们将发动攻
击的骇客组织命名为Earth Wendigo。
这个网钓邮件会发起的恶意行为,包含了会窃取浏览器Cookie和网页信箱的连线金钥,并
传送到远端伺服器;再者,则是在受害者电子邮件的签名档加入恶意脚本,并感染联络人
。
骇客为了能让恶意脚本持续注入在网页邮件系统上,他们滥用系统的XSS漏洞。不过,趋
势并未透露漏洞CVE编号与受到波及的网页邮件系统为何。
另一方面,骇客也将恶意JavaScript程式码注册於受害电脑浏览器的Service Worker,这
是浏览器内建功能,能让JavaScript在受害者关闭浏览器後,持续在背景运作。而这个被
注册的脚本,不仅会偷取登入帐密,还能窜改网页邮件页面内容,以便透过上述的XSS漏
洞植入恶意脚本。趋势科技表示,这是他们首度发现骇客实际滥用浏览器Service Worker
的攻击行动。
对此,该公司呼吁,企业不只要培养员工的资安意识,也应该要落实内容安全管制政策(
CSP),来防范这种滥用XSS发动攻击的手法。
这些骇客锁定的目标为何?趋势科技指出,骇客不只锁定台湾的政府组织、研究机构,以
及大学,还有声援图博、维吾尔族,以及香港的人士,也是这起事件被锁定的目标。不过
,对於受害者的人数,该公司没有说明。
新闻
骇客锁定台湾公部门、研究机构、大学发动网钓攻击,并在网页邮件系统注入恶意JavaSc
ript窃密
趋势科技近日揭露一起自去年2019年5月开始,新的骇客组织Earth Wendigo发动的网路钓
鱼攻击,这起攻击行动锁定台湾的政府组织、研究机构,以及大学下手。而为了能让攻击
范围更广,骇客进一步在邮件网页系统上注入恶意JavaScript
按赞加入iThome粉丝团
文/周峻佑 | 2021-01-11发表
图片来源:
趋势科技
网路邮件钓鱼攻击事件层出不穷,但骇客为了能够掌控受害者的电子邮件信箱帐号,他们
也发展出较为复杂的手法,来暗中收集能存取这些帐号的资料,而且,这样的手法还针对
台湾公部门与研究机构而来。
在1月5日,趋势科技公开自2019年5月出现的网路钓鱼攻击行动,骇客的手法相当特殊,
藉由钓鱼邮件让受害者上钩之後,他们不仅透过受害者的邮件签名档,对他人发动XSS攻
击横向感染,同时还窃取信箱内容,以及登入电子邮件信箱的凭证,或是连线阶段(Sess
ion)的金钥等。该公司指出,这样的攻击手法,过往没有骇客如此做过,他们将发动攻
击的骇客组织命名为Earth Wendigo。
这个网钓邮件会发起的恶意行为,包含了会窃取浏览器Cookie和网页信箱的连线金钥,并
传送到远端伺服器;再者,则是在受害者电子邮件的签名档加入恶意脚本,并感染联络人
。
骇客为了能让恶意脚本持续注入在网页邮件系统上,他们滥用系统的XSS漏洞。不过,趋
势并未透露漏洞CVE编号与受到波及的网页邮件系统为何。
另一方面,骇客也将恶意JavaScript程式码注册於受害电脑浏览器的Service Worker,这
是浏览器内建功能,能让JavaScript在受害者关闭浏览器後,持续在背景运作。而这个被
注册的脚本,不仅会偷取登入帐密,还能窜改网页邮件页面内容,以便透过上述的XSS漏
洞植入恶意脚本。趋势科技表示,这是他们首度发现骇客实际滥用浏览器Service Worker
的攻击行动。
对此,该公司呼吁,企业不只要培养员工的资安意识,也应该要落实内容安全管制政策(
CSP),来防范这种滥用XSS发动攻击的手法。
这些骇客锁定的目标为何?趋势科技指出,骇客不只锁定台湾的政府组织、研究机构,以
及大学,还有声援图博、维吾尔族,以及香港的人士,也是这起事件被锁定的目标。不过
,对於受害者的人数,该公司没有说明。
在骇客组织Earth Wendigo发动的网路钓鱼攻击中,他们寄送如图中的信件,让诱使收信
人上当。这乍看之下是Google的异常存取警告信,不过一旦收信者按下了「立即检查」按
钮,他的电子邮件信箱的签名档,便会被植入恶意脚本替骇客散布钓鱼信件。
为回避侦测,骇客运用网页邮件系统搜寻的功能触发脚本
在这起攻击行动中,骇客究竟是如何窃取邮件内容的呢?趋势科技指出,Earth Wendigo
利用JavaScript後门,在受害者电脑与骇客的伺服器之间建立WebSocket连线,接着,这
个攻击者的伺服器会向电脑的浏览器下达指令,接收邮件信箱的信件内容与附件。
受害者会收到伪装成广告的钓鱼邮件,其内容是线上购物的优惠券,但这封信件内嵌了恶
意的JavaScript,为了避免被察觉有异,骇客利用混淆手法来回避侦测,而且,这个恶意
脚本运作的方式也并非直接执行,而是透过网页邮件系统的搜寻建议功能来触发,趋势科
技指出,骇客这麽做的目的,是要避免被静态资安检测机制发现。
更进一步来说,受害者收到的这封邮件,会藉由样式表(CSS)的backgroup-image功能,
产生数个邮件搜寻请求,将恶意程式码变成网页邮件系统的常用关键字,骇客接着利用新
嵌入的HTML元素,搜寻关键字java,来载入网页邮件系统的搜寻建议,来执行恶意脚本。
如此一来,骇客不仅将恶意程式码藏匿於CSS元素中,而成功回避侦测,这组程式码还会
产生新的脚本,从远端伺服器载入其他恶意的JavaScript程式码。
而这些发动网路钓鱼的邮件还有个特点,那就是这些邮件是与受害者相同组织的其他使用
者寄出,看起来更加几可乱真,一般使用者很难看出其实是钓鱼邮件。
浏览器Service Worker机制出现真实滥用案例
除了透过执行恶意脚本来窃密,趋势科技指出,Earth Wendigo为了让这个脚本不断被载
入执行,他们采取了2种方式来感染网页邮件系统,其中一种是藉着网页邮件系统的XSS漏
洞,在网页注入恶意程式码,而这项漏洞出现在该系统提供使用者在首页建立捷径的功能
之中。
另一种方式,攻击者则是将恶意的JavaScript,注册到受害者电脑浏览器的Service Work
er脚本。由於Service Worker是浏览器厂商提供的延伸机制,让网页应用程式在没有网路
连线时处理相关通讯。其实,Service Worker所存在的资安风险曾引起关注,甚至有概念
性验证攻击,但过往并未出现在真实攻击事件中。
从趋势分析其中一个此攻击行动的恶意脚本,他们发现该脚本上传了遭到窜改的Service
Worker脚本到网页邮件伺服器,并假冒成原本该伺服器提供的原始脚本,接着,再将这个
Service Worker脚本登录到用户端的Service Worker服务,并将伺服器上的脚本删除。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.41.226.158 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1610665359.A.15F.html
※ 编辑: rtyujlk (114.41.226.158 台湾), 01/15/2021 07:06:28