【資安日報】12月19日,金融木馬威脅在2023年爆增,惡意程式家族較去年多出接近一倍,600款行動應用程式用戶成駭客鎖定的目標

使用手機操作網路銀行或進行線上交易,如今可說是相當普遍,越來越多駭客也受到這股潮流吸引而發動金融木馬程式攻擊,將其偽裝成知名的銀行應用程式、行動支付App、加密貨幣錢包,企圖將使用者帳戶裡的資產提領一空。

根據資安業者Zimperium的調查,這種惡意軟體的攻擊行動在2023年出現大幅增加的現象,研究人員提及,此類惡意程式現今普遍具備自動轉帳模組(Automated Transfer System,ATS),駭客也很有可能藉由電話客服作為散布的管道(Telephone-Based Attack Delivery,TBAD)。

 

【攻擊與威脅】

全球逾1,800個行動應用程式遭銀行木馬鎖定

資安業者Zimperium針對金融木馬的生態進行調查,指出2023年共有29個惡意程式家族從事攻擊行動,鎖定全球61個國家、逾1,800款銀行的手機應用程式而來,最大的受害國家是美國,多達109家銀行成為金融木馬的目標,其次則是英國、義大利,各有48家、44家銀行成為攻擊目標,相較於2022年公布的調查結果(10個惡意程式家族、鎖定約600款應用程式),今年參與攻擊行動的惡意程式與攻擊範圍皆顯著增加。

研究人員指出,有別於去年駭客的攻擊對象是銀行與行動支付應用程式,今年擴及加密貨幣、社群軟體、即時通訊應用程式,銀行的應用程式仍為大宗,占全部的61%。

今年5大惡意程式家族為Hook、Godfather、Teabot、Xenomorph、Exobot,針對的銀行數量分別是618家、419家、414家、400家、371家,此外,有不少銀行的應用程式成為多組駭客的攻擊目標,例如:Intesa Sanpaolo Mobile、Capital One Mobile、Bank of America等,皆有超過10個惡意程式家族對其出手。

伊朗近7成加油站遭到癱瘓,傳出是以色列駭客組織所為

根據伊朗國家電視臺、以色列媒體的報導,伊朗12月18日遭遇網路攻擊,導致全國約有70%加油站的服務中斷,被迫手動作業,首都德黑蘭受到的影響最嚴重。石油部長Javad Owji證實此事,並指出攻擊者來自國外,仍有超過3成的加油站維持正常運作。

而對於攻擊者的身分,上述媒體皆將矛頭指向以色列駭客組織Predatory Sparrow(亦稱Gonjeshke Darande),該組織也聲稱是他們所為,並強調為了避免衝擊當地的緊急服務,他們已特別控制攻擊力道。

值得留意的是,這起攻擊事故正逢伊朗打算提高油價,兩者之間是否有所關連?Javad Owji認為與漲價無關。Predatory Sparrow針對伊朗發動攻擊並非首例,今年1月,該組織聲稱攻擊伊斯蘭共和國廣播電視臺(IRIB),並使用資料破壞軟體(Wiper)造成傷害。

資料來源

1. https://t.me/GonjeshkeDarandeOfficial/3
2. https://t.me/GonjeshkeDarandeOfficial/4
3. https://t.me/GonjeshkeDarandeOfficial/12
4. http://www.aljazeera.com/news/2023/12/18/iran-says-cyberattack-disrupts-petrol-stations-across-country

雲端服務供應商Westpole傳出遭到勒索軟體LockBit攻擊,波及義大利政府機關部分服務運作

根據義大利媒體La Repubblica的報導,當地雲端服務業者Westpole於12月8日遭到網路攻擊,波及他們的客戶PA Digitale,而這家公司仰賴Westpole提供的平臺Urbi,向義大利各個地方政府與組織提供服務。知情人士透露,駭客使用勒索軟體LockBit 3.0的變種攻擊Westpole,但並未在暗網的網站上列出該公司。

此外,PA Digitale也遭到勒索軟體攻擊,從而導致公部門及市政府的多項服務癱瘓,部分以手動操作的方式提供服務。義大利網路安全機構Agenzia per la Cybersicurezza Nazionale(ACN)證實PA Digitale遭遇供應鏈攻擊,並著手協助復原受害組織的資料,有當地媒體指出,這起網路攻擊很有可能衝擊部分政府機關員工本月份的薪資。

La Repubblica指出,Westpole目前可能僅復原了約50%的系統,但該公司強調尚未發現資料外洩的跡象。

服裝品牌Supreme、Timberland、The North Face的母公司VF遭遇資安事故,營運被迫中斷

根據資安新聞網站Bleeping Computer、SecurityWeek的報導,旗下擁有Supreme、Vans、Timberland、North Face等13個知名品牌的威富集團(VF Corporation),於上週呈報美國證券交易委員會(SEC)的8-K表單當中,透露了12月13日發生的網路攻擊事件,該公司在察覺網路出現未經授權存取的情況後,關閉了部分IT系統,並聘請外部資安專家遏止災害擴大。

攻擊者加密了該公司的部分電腦,並竊取資料,當中含有個資,但受害範圍仍有待確認。而對於這起資安事故帶來的影響,威富認為對業務營運造成重大、長期的衝擊,客戶可能會面臨線上訂單交貨延遲,甚至是無法下單的情況,而全球實體零售門市仍維持正常運作。值得留意的是,由於這起網路攻擊事故發生在聖誕節購物季期間,帶來的衝擊可能會更加嚴重。

美國電信服務供應商Xfinity證實遭遇CitrixBleed漏洞攻擊

美國電信業者Comcast旗下的子公司Xfinity於12月18日發布聲明,他們在10月25日進行的例行網路安全演練當中,發現內部網路環境出現可疑活動,經過進一步調查,10月16日至19日內部系統出現未經授權存取,而駭客入侵的管道,就是CitrixBleed漏洞(CVE-2023-4966)。

11月16日該公司發現攻擊者竊取了客戶的資料,但數量有待確認,12月6日確認駭客存取的資料內容,包含了使用者的名稱、密碼的雜湊值,部分外洩的用戶個資,還涉及姓名、聯絡資訊、社會安全碼末4碼等類型的內容。對此,該公司也要求用戶重設密碼,但沒有透露受害人數。

 

【其他新聞】

聖誕節將至,駭客組織Storm-0539的禮物卡詐騙攻擊行動升溫

WordPress網站代管服務Kinsta提出警告,有人透過Google廣告發動攻擊,企圖竊取帳密資料

程式碼版本控制系統Perforce Helix Core存在漏洞,攻擊者有可能用於遠端執行任意程式碼

研究人員揭露收信軟體Outlook零點擊漏洞攻擊鏈細節

金門租車業者金豐租車傳出資料外洩,呼籲客戶防範詐騙

 

近期資安日報

【12月18日】 新型態惡意軟體NKAbuse濫用區塊鏈進行傳輸資料、接收C2命令的工作,鎖定墨西哥、哥倫比亞、越南而來

【12月15日】 小型路由器成中國駭客組織Volt Typhoon下手目標,駭客植入殭屍網路病毒,入侵受害組織進行間諜行動

【12月14日】 OAuth應用程式身分驗證流程遭到濫用,駭客將其用於發動挖礦攻擊、商業郵件詐騙、散布大量垃圾郵件

Read More 

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *