文/周峻佑 | 2024-08-20發表
在Windows作業系統自動更新時,電腦通常必須重新啟動,這段過程完全無法使用,最近有攻擊者製造電腦正在更新的假象,藉此從容地偷取受害電腦的資料。
資安業者Sophos揭露從今年7月中旬出沒的勒索軟體駭客組織Mad Liberator,並指出這些駭客雖然在部分攻擊行動可能會加密受害電腦檔案,然後進行雙重勒索,要脅若不付錢,他們就會外流竊得的資料,但根據研究人員自己的觀察,這些駭客主要偏重於資料外洩,幾乎沒有看到使用勒索軟體加密檔案的事故。
在其中一起資安故裡,這些駭客透過社交工程手法取得受害組織的網路存取權限,然後透過遠端桌面軟體AnyDesk發出連線請求,待用戶授權而能存取目標主機,但究竟駭客如何尋找下手目標,研究人員表示不清楚。
一旦成功建立連線,攻擊者就會傳送名為Microsoft Windows Update的執行檔並開啟。而這個程式的作用,就是模仿作業系統更新的畫面,讓使用者誤以為電腦正在安裝更新程式。研究人員指出,由於這支程式不會執行其他惡意行為,大部分的防毒軟體並未視為有害。
為了避免使用者按下Esc鍵讓程式停止運作拆穿計謀,這些駭客濫用AnyDesk的功能,停用用戶端的鍵盤及滑鼠。
正當用戶以為電腦在執行系統更新作業的時候,駭客透過AnyDesk進行遠端存取,先是存取受害者的OneDrive帳號、網路共享資料夾,然後藉由AnyDesk的檔案傳輸功能將偷到的資料外流,並留下勒索訊息。接著,駭客利用Advanced IP Scanner試圖尋找其他下手目標。
這起攻擊行動持續了接近4個小時,攻擊者最終切斷AnyDesk連線,並留下作案的檔案,但並未使用工作排程或其他自動化的方式再度啟動。對此,研究人員呼籲,企業應管制AnyDesk存取控制名單,僅允許來自指定設備的連線,避免遭遇類似的攻擊。
線