月份彙整: 2021 年 9 月

蘋果修補舊款裝置的零時差攻擊漏洞

發佈日期: 作者:

9月23日釋出的iOS 12.5.5以及2021-006 Catalina,分別修補3個以及1個已遭駭客開採的安全漏洞 
文/陳曉莉 | 2021-09-24發表

圖片來源:  蘋果

蘋果在9月23日更新了舊版的iOS 12與macOS Catalina,修補已遭駭客開採的3個安全漏洞,其中的兩個是蘋果在9月中旬,先行針對新裝置所修補的CVE-2021-30860及CVE-2021-30858,另有一個是最近才被發現的CVE-2021-30869。

新的CVE-2021-30869漏洞存在於蘋果作業系統所使用的XNU核心,是由Google的研究人員所發現,為一類型混淆漏洞,允許惡意程式以核心權限執行任意程式,而且坊間已有鎖定該漏洞的攻擊程式。

兩個舊漏洞分別是CVE-2021-30860與CVE-2021-30858。前者出現在蘋果圖像渲染函式庫CoreGraphics,為一整數溢位漏洞,當它處理一個惡意的PDF檔案時,可能允許駭客執行任意程式,後者則藏匿在WebKit,它是個釋放後使用漏洞,在處理惡意的網頁內容時可能造成任意程式執行。

上述3個漏洞都已被開採,蘋果率先修補新裝置的CVE-2021-30860與CVE-2021-30858漏洞,此次才修補舊裝置的相關漏洞,以及CVE-2021-30869。

23日釋出的iOS 12.5.5適用於iPhone 5s/6/6 Plus,iPad Air、iPad mini 2/3與第六代的iPod touch,同時修補了3個漏洞。新版的2021-006 Catalina則僅修補CVE-2021-30869。

資料來源: 蘋果修補舊款裝置的零時差攻擊漏洞

3月勒索軟體HelloKitty鎖定VMware ESXi發動攻擊,Palo Alto揭露目前災情與受害範圍

發佈日期: 作者:

資安業者Palo Alto Networks在7月,發現鎖定VMware ESXi的勒索軟體HelloKitty,受害者遍及義大利、澳洲、德國、荷蘭,以及美國,攻擊者至少得到148萬美元 
文/周峻佑 | 2021-08-27發表

圖片來源:  Palo Alto Networks

今年2月,製作電玩《電馭叛客2077》(Cyberpunk 2077)開發商的CD Projekt,驚傳遭到勒索軟體攻擊,後來有資安業者指出,攻擊的勒索軟體名為HelloKitty。但資安業者Palo Alto Networks指出,目前這款勒索軟體發展出Linux版本,自今年3月開始鎖定伺服器虛擬化平臺VMware ESXi,且已有受害組織並支付贖金

HelloKitty最早大約是自2020年底開始出現,主要鎖定Windows作業系統,根據資安公司FireEye的發現,它是從另一款稱做DeathRansom的勒索軟體衍生而來的變種,為了避免受害者透過備份資料復原,HelloKitty會刪除Windows電腦的磁碟區陰影複製(Volume Shadow Copy)內容。

在今年7月中旬,資安研究組織MalwareHunterTeam就發現了數個鎖定VMware ESXi的HelloKitty勒索軟體,自3月開始發動攻擊,使用ESXi命令列工具(esxcli)關閉虛擬機器(VM),但並未提及受害規模。

而對於這款勒索軟體的近況,Palo Alto提出了更多的發現。該公司指出,這款勒索軟體發展可說是相當迅速,近期的版本更是透過Go語言編譯,而且只會在記憶體內載入、執行,這麼做的目的,很可能是為了迴避資安防護系統的偵測。

Palo Alto表示,他們在2021年7月,發現檔案名稱為funny_linux.elf的勒索軟體,其中的勒索訊息,措辭與Windows版的HelloKitty相符,他們進一步追查發現, Linux版的HelloKitty,最早約從2020年10月開始發展,並在2021年3月開始攻擊VMware ESXi,研究人員觀察到有6個受影響的組織。

這些組織分別是:義大利與荷蘭製藥組織、德國製造商、澳洲工業自動化解決方案業者,以及位於美國的醫療辦公室與股票經紀人。

研究人員發現,攻擊者疑似依據受害組織的規模,而開出不同的贖金價碼,他們看到駭客收取的是門羅幣,金額最高的是1千萬美元,最低的則是95萬美元,落差相當大。除了門羅幣,這些駭客也接受以比特幣支付的贖金,但Palo Alto表示,受害組織若是使用比特幣付贖金,攻擊者會收取較高的金額。而研究人員根據駭客提供的比特幣錢包位址進行追蹤,駭客收到3筆款項,總計1,477,872.41美元。

而對於攻擊者向受害組織勒索的方式,Palo Alto也從勒索訊息中看到不同的內容,在不同受害組織的HelloKitty軟體裡,駭客留下的聯絡方式,同時具備洋蔥網路(Tor)的網址,以及針對受害單位的Protonmail電子郵件信箱,研究人員依據這個現象研判,可能有多組攻擊者使用相同的惡意軟體程式碼基礎(Codebase)。不過,其中一個受害組織收到的勒索訊息裡,駭客沒有留下聯絡資訊。

資料來源: 3月勒索軟體HelloKitty鎖定VMware ESXi發動攻擊,Palo Alto揭露目前災情與受害範圍