Atlassian Confluence零時差漏洞被用於攻擊行動、駭客組織Conti開始鎖定韌體發動攻擊

自6月3日到今天的資安新聞裡，有不少是駭客攻擊行動的揭露。其中，我們要特別提及的是針對協作平臺Atlassian Confluence的零時差漏洞攻擊，因為這項漏洞在公布之後，相關攻擊行動已出現大幅增加的情況。

駭客針對電腦UEFI韌體下手的攻擊行動，最近3至4年已有數起，但鮮少與勒索軟體有關。最近有資安業者解析勒索軟體駭客組織Conti外流的成員對話內容，發現該組織也大力發展對於Intel電腦韌體的攻擊手法，且已製作概念性驗證攻擊程式。

另一個我們認為值得留意的資安事故，是針對企業部署於雲端的Docker而來的挖礦攻擊，駭客鎖定配置不當的Docker下手，成功後還會進一步將挖礦軟體擴散到其他Docker環境。

【攻擊與威脅】

資安業者Volexity於6月2日指出，他們在5月底，發現兩臺連結網際網路的協作平臺Atlassian Confluence伺服器裡，發現駭客利用未知的漏洞，在這些主機上植入JSP檔案的Web Shell，成功後進一步植入名為中國菜刀（China Chopper）的Web Shell。

經調查及分析後，確認是未曾通報的零時差漏洞，他們通知Atlassian，對方獲報後將其登記為CVE-2022-26134進行列管，並確認該漏洞存在於所有版本的Confluence伺服器與資料中心。隔日，Atlassian再度更新資安通告，並提供修補程式與緩解措施。

資安業者GreyNoise提出警告，他們看到網路上已有大量鎖定上述漏洞的攻擊行動，掃描該漏洞的IP位址從原本約20個，在一天當中已增加至211個。 

勒索軟體駭客組織Conti自烏克蘭戰爭表態力挺俄羅斯後，成員之間的對話內容遭到外流，有研究人員進一步解析後指出，這些駭客已經鎖定搭載Intel處理器的電腦韌體下手。資安業者Eclypsium指出，駭客組織Conti最近幾年開始針對電腦韌體發展相關攻擊手法，並在9個月前就製作了概念性驗證攻擊程式。

根據駭客的對話內容，該組織疑似主要鎖定下列3種領域發展攻擊手法，分別是從Intel處理器晶片的管理引擎（ME）找出未被發現的漏洞、嘗試從ME存取UEFI的SPI快閃記憶體來繞過相關防護措施，以及透過系統管理模式（SMM）執行的過程投放惡意軟體等。

研究人員指出，這些層面的攻擊，涉及Intel處理器從2019年至2020年被發現的43項漏洞，有鑑於企業修補處理器與UEFI韌體漏洞的頻率較一般應用程式來得低，再加上成功植入惡意程式後不易被察覺，使得相關攻擊的危害較為嚴重。

駭客濫用雲端Docker設施暗中挖礦的情況，近期又出現新的攻擊行動。資安業者Cado發現名為WatchDog的駭客組織，近期鎖定開放2375埠，且組態配置不當的Docker引擎API端點下手，進而在Docker環境裡更動容器，或是執行任意Shell指令。

研究人員看到這些駭客先是執行cronb.sh來檢查主機狀態，並列出正在執行的處理程序，然後呼叫第二階段的酬載ar.sh，透過一個處理程序執行被隱藏的Shell指令碼，並操弄事件記錄的時戳來誤導鑑識人員，此外，該惡意酬載也會清除阿里雲的代理程式。在進行上述的環境確認作業後，駭客才在受害主機上投放XMRig挖礦程式，並利用systemd服務來維持運作。

在前述攻擊行動成功後，駭客運用zgrab、masscan、pnscan來搜尋其他節點，並進一步擴散。研究人員指出，這些駭客大量使用TeamTNT的工具，很有可能是從該組織竊取並用於攻擊行動。

鮮為人知的中國駭客組織採用罕見手法投放惡意軟體，引起研究人員關注。卡巴斯基指出，他們發現名為LuoYu的中國駭客組織（編按：此組織），近期使用的方式，假借在受害者電腦上更新軟體的名義，部署惡意程式WinDealer，進而透過C2中繼站下達命令、進行螢幕截圖，或是收集電腦軟硬體詳細資料等工作。

駭客利用含有簽章的qgametool.exe軟體更新程式，來下載假冒成視訊串流播放軟體PPTV的WinDealer並安裝在受害電腦上，研究人員指出，在這起攻擊行動的手法裡，比較特別之處，在於C2中繼站連接方式，駭客透過獨特的演算法，從中國西藏自治區或貴州省的4.8萬個IP位址裡挑選連線的對象，研究人員推測，這些駭客很可能使用ISP層級的工具來連結C2中繼站。

檔案共享服務遭到濫用的情況，最近有國家級的駭客藉此發動攻擊。微軟最近指出，他們觀察到黎巴嫩駭客組織Polonium，約自今年2月開始鎖定以色列組織下手，3個月以來超過20個組織受害，這些組織是該國重要的製造業、IT服務業者、國防工業。

研究人員提到，其中一起攻擊行動裡，駭客組織發動供應鏈攻擊，先是滲透IT服務業者，進而攻擊下游航太業者與律師事務所。

而這些受害者共通的特徵，就是大部分採用可能存在弱點的VPN設備，研究人員提及，約有8成受害組織部署Fortinet的SSL VPN設備，使得他們推測駭客的主要入侵管道有可能是重大漏洞CVE-2018-13379。

除此之外，這些駭客很可能還與他國駭客結盟，互通有無。微軟認為該組織很可能也與伊朗情報暨安全部（MOIS）聯手，MOIS疑似將已經成功入侵的網路移交給Polonium，讓這個組織發動第二輪攻擊，再者，兩個組織都是利用OneDrive架設C2伺服器，並使用AirVPN埋藏攻擊來源。OneDrive團隊已封鎖該組織濫用的帳號，並移除相關的應用程式及通知受害組織。

為了躲避執法單位的追查，駭客組織改名或是更換作案工具的情況，已有數起，例如，勒索軟體駭客組織Conti疑似在今年2月底內部資料外流後，將主要成員分散到KaraKurt、BlackByte、Black Basta等組織。資安業者Mandiant發現，勒索軟體駭客組織Evil Corp近期改用LockBit做為作案的工具，理由是為了逃避美國財政部國外資產控制辦公室（OFAC）的制裁。

而這不是該組織第一次因為受到美國制裁而更換作案的勒索軟體，2020年中旬，；2020年底至2021年上旬，他們打造。

網頁設計一頭霧水該從何著手呢?

當全世界的人們隨著網路時代而改變向上時您還停留在『網站美醜不重要』的舊有思維嗎？機會是留給努力改變現況的人們，別再浪費一分一秒可以接觸商機的寶貴時間！

台北網頁設計公司這麼多該如何選擇?

網動是一群專業、熱情、向前行的工作團隊,我們擁有靈活的組織與溝通的能力,能傾聽客戶聲音,激發創意的火花,呈現完美的作品

自行創業缺乏曝光? 網頁設計幫您第一時間規劃公司的形象門面

網站的第一印象網頁設計，決定了客戶是否繼續瀏覽的意願。台北網動廣告製作的RWD網頁設計，採用精簡與質感的CSS語法，提升企業的專業形象與簡約舒適的瀏覽體驗，讓瀏覽者第一眼就愛上它。

來源鏈接：https://www.ithome.com.tw/news/151308

廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司，除了模組化的架站軟體，我們的營業主軸還包含：資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

有別於一般網頁架設公司，除了模組化的架站軟體，我們的營業主軸還包含：資料庫程式開發、網站建置、網頁設計、電子商務專案開發、系統整合、APP設計建置、專業網路行銷。

---

Orignal From: Atlassian Confluence零時差漏洞被用於攻擊行動、駭客組織Conti開始鎖定韌體發動攻擊