文/周峻佑 | 2024-09-05發表
上週趨勢科技揭露鎖定中東的惡意程式攻擊,並指出駭客將其偽裝成資安業者Palo Alto Networks旗下SSL VPN服務GlobalProtect的安裝程式,此事相當值得關注,原因是這種手法相當具有針對性,很有可能是鎖定該系統的使用者而來,如今Palo Alto Networks也揭露相關攻擊行動,呼籲用戶提高警覺。
本週Palo Alto Networks旗下的威脅情報團隊Unit 42揭露惡意程式載入工具WikiLoader變種攻擊行動,並指出駭客藉由搜尋引擎最佳化中毒(SEO Poisoning)手法,佯稱提供GlobalProtect應用程式的名義散布。
研究人員在今年6月看到相關攻擊行動,並指出駭客的主要攻擊目標是美國高等教育機構及交通單位,但研究人員特別提到,由於這次攻擊者利用搜尋引擎最佳化中毒的手法,使得影響範圍較過往利用網路釣魚來得廣泛。
一旦使用者搜尋GlobalProtect而上當,點選惡意廣告,就會被帶往架設於雲端Git儲存庫的冒牌網站,並從Bitbucket下載打包成ZIP檔的「安裝程式」。
而這個檔案解壓縮後,使用者很可能只看到執行檔GlobalProtect64.exe,但研究人員指出,實際上ZIP檔裡含有超過400個檔案,大部分都設為隱藏。若是使用者執行上述執行檔,駭客就會使用DLL側載手法載入第1個WikiLoader元件。
接著,該DLL元件載入其他模組,並解開Shell Code,注入Windows檔案總管的處理程序。
而被注入的程式碼將C2伺服器進行通訊,駭客利用遭駭的WordPress網站充當C2,並使用物聯網裝置常見的通訊協定MQTT連線。
之後,這些被注入的程式碼又被載入Sysinternals公用程式元件,然後從C2伺服下載WikiLoader後門程式,並透過側載的方式執行。但究竟後續駭客藉由WikiLoader在受害電腦植入那些惡意軟體,研究人員表示不清楚。
研究人員提及,攻擊者運用使用者習以為常的錯誤訊息,防止察覺異狀。例如,前述安裝程式並不會真的部署GlobalProtect,而駭客在完成惡意程式載入後,會顯示特定程式庫遺失而無法完成安裝的錯誤訊息,藉此避免使用者起疑。
網頁設計.RWD響應式網站 / 服務類
網站技術:Javascript
協助民眾了解與申請商標的相關流程與資訊,讓客戶加深專利商標這方面的訊息,以過往的案件來加深大眾對於商標的重要性。甚至可以為不同類型客戶量身打造品牌策略服務、分析對手情況...等等服務。
網頁設計.RWD響應式網站 / 教育人文類
發展和推動大學商學院教職員的培訓,從大學商學院的研究及其他協會保持密切聯繫到學術和教育學院。AACSB提供出版品和報告以提升商學院的教育水準。
企業形象網站.無障礙網頁 / 服務類
響應台灣無障礙的生活的理念,各地輔具中心皆有相關設備提供民眾租借使用以解決生活中的不便利。
網站把主要功能以大區塊的方式呈現,民眾可以快速尋找想要的輔具工具,點選後直接進到申請頁,簡易又明確的流程協助民眾完成租借流程。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策