AntiVirus 板


LINE

駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊,並在網頁郵件系統注入惡意JavaSc ript竊密 https://www.ithome.com.tw/news/142156 趨勢科技近日揭露一起自去年2019年5月開始,新的駭客組織Earth Wendigo發動的網路釣 魚攻擊,這起攻擊行動鎖定臺灣的政府組織、研究機構,以及大學下手。而為了能讓攻擊 範圍更廣,駭客進一步在郵件網頁系統上注入惡意JavaScript 文/周峻佑 | 2021-01-11發表 新聞 駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊,並在網頁郵件系統注入惡意JavaSc ript竊密 趨勢科技近日揭露一起自去年2019年5月開始,新的駭客組織Earth Wendigo發動的網路釣 魚攻擊,這起攻擊行動鎖定臺灣的政府組織、研究機構,以及大學下手。而為了能讓攻擊 範圍更廣,駭客進一步在郵件網頁系統上注入惡意JavaScript 按讚加入iThome粉絲團 文/周峻佑 | 2021-01-11發表 圖片來源: 趨勢科技 網路郵件釣魚攻擊事件層出不窮,但駭客為了能夠掌控受害者的電子郵件信箱帳號,他們 也發展出較為複雜的手法,來暗中收集能存取這些帳號的資料,而且,這樣的手法還針對 臺灣公部門與研究機構而來。 在1月5日,趨勢科技公開自2019年5月出現的網路釣魚攻擊行動,駭客的手法相當特殊, 藉由釣魚郵件讓受害者上鉤之後,他們不僅透過受害者的郵件簽名檔,對他人發動XSS攻 擊橫向感染,同時還竊取信箱內容,以及登入電子郵件信箱的憑證,或是連線階段(Sess ion)的金鑰等。該公司指出,這樣的攻擊手法,過往沒有駭客如此做過,他們將發動攻 擊的駭客組織命名為Earth Wendigo。 這個網釣郵件會發起的惡意行為,包含了會竊取瀏覽器Cookie和網頁信箱的連線金鑰,並 傳送到遠端伺服器;再者,則是在受害者電子郵件的簽名檔加入惡意腳本,並感染聯絡人 。 駭客為了能讓惡意腳本持續注入在網頁郵件系統上,他們濫用系統的XSS漏洞。不過,趨 勢並未透露漏洞CVE編號與受到波及的網頁郵件系統為何。 另一方面,駭客也將惡意JavaScript程式碼註冊於受害電腦瀏覽器的Service Worker,這 是瀏覽器內建功能,能讓JavaScript在受害者關閉瀏覽器後,持續在背景運作。而這個被 註冊的腳本,不僅會偷取登入帳密,還能竄改網頁郵件頁面內容,以便透過上述的XSS漏 洞植入惡意腳本。趨勢科技表示,這是他們首度發現駭客實際濫用瀏覽器Service Worker 的攻擊行動。 對此,該公司呼籲,企業不只要培養員工的資安意識,也應該要落實內容安全管制政策( CSP),來防範這種濫用XSS發動攻擊的手法。 這些駭客鎖定的目標為何?趨勢科技指出,駭客不只鎖定臺灣的政府組織、研究機構,以 及大學,還有聲援圖博、維吾爾族,以及香港的人士,也是這起事件被鎖定的目標。不過 ,對於受害者的人數,該公司沒有說明。 新聞 駭客鎖定臺灣公部門、研究機構、大學發動網釣攻擊,並在網頁郵件系統注入惡意JavaSc ript竊密 趨勢科技近日揭露一起自去年2019年5月開始,新的駭客組織Earth Wendigo發動的網路釣 魚攻擊,這起攻擊行動鎖定臺灣的政府組織、研究機構,以及大學下手。而為了能讓攻擊 範圍更廣,駭客進一步在郵件網頁系統上注入惡意JavaScript 按讚加入iThome粉絲團 文/周峻佑 | 2021-01-11發表 圖片來源: 趨勢科技 網路郵件釣魚攻擊事件層出不窮,但駭客為了能夠掌控受害者的電子郵件信箱帳號,他們 也發展出較為複雜的手法,來暗中收集能存取這些帳號的資料,而且,這樣的手法還針對 臺灣公部門與研究機構而來。 在1月5日,趨勢科技公開自2019年5月出現的網路釣魚攻擊行動,駭客的手法相當特殊, 藉由釣魚郵件讓受害者上鉤之後,他們不僅透過受害者的郵件簽名檔,對他人發動XSS攻 擊橫向感染,同時還竊取信箱內容,以及登入電子郵件信箱的憑證,或是連線階段(Sess ion)的金鑰等。該公司指出,這樣的攻擊手法,過往沒有駭客如此做過,他們將發動攻 擊的駭客組織命名為Earth Wendigo。 這個網釣郵件會發起的惡意行為,包含了會竊取瀏覽器Cookie和網頁信箱的連線金鑰,並 傳送到遠端伺服器;再者,則是在受害者電子郵件的簽名檔加入惡意腳本,並感染聯絡人 。 駭客為了能讓惡意腳本持續注入在網頁郵件系統上,他們濫用系統的XSS漏洞。不過,趨 勢並未透露漏洞CVE編號與受到波及的網頁郵件系統為何。 另一方面,駭客也將惡意JavaScript程式碼註冊於受害電腦瀏覽器的Service Worker,這 是瀏覽器內建功能,能讓JavaScript在受害者關閉瀏覽器後,持續在背景運作。而這個被 註冊的腳本,不僅會偷取登入帳密,還能竄改網頁郵件頁面內容,以便透過上述的XSS漏 洞植入惡意腳本。趨勢科技表示,這是他們首度發現駭客實際濫用瀏覽器Service Worker 的攻擊行動。 對此,該公司呼籲,企業不只要培養員工的資安意識,也應該要落實內容安全管制政策( CSP),來防範這種濫用XSS發動攻擊的手法。 這些駭客鎖定的目標為何?趨勢科技指出,駭客不只鎖定臺灣的政府組織、研究機構,以 及大學,還有聲援圖博、維吾爾族,以及香港的人士,也是這起事件被鎖定的目標。不過 ,對於受害者的人數,該公司沒有說明。 在駭客組織Earth Wendigo發動的網路釣魚攻擊中,他們寄送如圖中的信件,讓誘使收信 人上當。這乍看之下是Google的異常存取警告信,不過一旦收信者按下了「立即檢查」按 鈕,他的電子郵件信箱的簽名檔,便會被植入惡意腳本替駭客散布釣魚信件。 為迴避偵測,駭客運用網頁郵件系統搜尋的功能觸發腳本 在這起攻擊行動中,駭客究竟是如何竊取郵件內容的呢?趨勢科技指出,Earth Wendigo 利用JavaScript後門,在受害者電腦與駭客的伺服器之間建立WebSocket連線,接著,這 個攻擊者的伺服器會向電腦的瀏覽器下達指令,接收郵件信箱的信件內容與附件。 受害者會收到偽裝成廣告的釣魚郵件,其內容是線上購物的優惠券,但這封信件內嵌了惡 意的JavaScript,為了避免被察覺有異,駭客利用混淆手法來回避偵測,而且,這個惡意 腳本運作的方式也並非直接執行,而是透過網頁郵件系統的搜尋建議功能來觸發,趨勢科 技指出,駭客這麼做的目的,是要避免被靜態資安檢測機制發現。 更進一步來說,受害者收到的這封郵件,會藉由樣式表(CSS)的backgroup-image功能, 產生數個郵件搜尋請求,將惡意程式碼變成網頁郵件系統的常用關鍵字,駭客接著利用新 嵌入的HTML元素,搜尋關鍵字java,來載入網頁郵件系統的搜尋建議,來執行惡意腳本。 如此一來,駭客不僅將惡意程式碼藏匿於CSS元素中,而成功回避偵測,這組程式碼還會 產生新的腳本,從遠端伺服器載入其他惡意的JavaScript程式碼。 而這些發動網路釣魚的郵件還有個特點,那就是這些郵件是與受害者相同組織的其他使用 者寄出,看起來更加幾可亂真,一般使用者很難看出其實是釣魚郵件。 瀏覽器Service Worker機制出現真實濫用案例 除了透過執行惡意腳本來竊密,趨勢科技指出,Earth Wendigo為了讓這個腳本不斷被載 入執行,他們採取了2種方式來感染網頁郵件系統,其中一種是藉著網頁郵件系統的XSS漏 洞,在網頁注入惡意程式碼,而這項漏洞出現在該系統提供使用者在首頁建立捷徑的功能 之中。 另一種方式,攻擊者則是將惡意的JavaScript,註冊到受害者電腦瀏覽器的Service Work er腳本。由於Service Worker是瀏覽器廠商提供的延伸機制,讓網頁應用程式在沒有網路 連線時處理相關通訊。其實,Service Worker所存在的資安風險曾引起關注,甚至有概念 性驗證攻擊,但過往並未出現在真實攻擊事件中。 從趨勢分析其中一個此攻擊行動的惡意腳本,他們發現該腳本上傳了遭到竄改的Service Worker腳本到網頁郵件伺服器,並假冒成原本該伺服器提供的原始腳本,接著,再將這個 Service Worker腳本登錄到用戶端的Service Worker服務,並將伺服器上的腳本刪除。 --



※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.41.226.158 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1610665359.A.15F.html ※ 編輯: rtyujlk (114.41.226.158 臺灣), 01/15/2021 07:06:28







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:WOW站內搜尋

TOP