【心急人上當】銀行木馬Dridex假扮Kaseya VSA工具更新檔
美國 IT 管理服務供應商 Kaseya 被勒索軟件 REvil 入侵,背後全因其管理工具 VSA 存在致命漏洞。未出事的客戶為求盡快修補漏洞,都急於安裝系統更新檔。網絡安全公司 Malwarebytes 就發現,有黑客利用人性弱點推出惡意軟件,假扮為官方更新檔發出釣魚電郵,幕後黑手,可能同銀行木馬軟件 Dridex 有關……
Kaseya 的 VSA 漏洞事故,受影響企業多達 1,500 間,當中更有不少公司採用了 VSA 工具,向客戶提供 IT 管理服務,因此牽涉其中的企業實在難以估計。Kaseya 雖然已緊急推出系統更新檔堵塞漏洞,呼籲客戶即時更新,但竟淪為其他黑客的攻擊陷阱。網絡安全公司 Malwarebytes 研究團隊發現,有企業收到一封關於安裝系統更新的惡意釣魚,內容是講述 Kaseya VSA 工具的漏洞及影響,信中更載有一個名為 SecurityUpdates.exe 的執行檔,由於信件假裝由 Microsoft 發出,因此心急如焚的企業 IT 人員有可能誤信電郵內容,開啟附件的執行檔。
經研究團隊分析後,SecurityUpdates.exe 實際上會在電腦系統內安裝滲透測試工具 Cobalt Strike。另一間網絡安全公司 Proofpoint 研究員解釋,由於 Cobalt Strike 是一款合法的滲透測試工具,可用於驗查網絡內電腦設備有否漏洞存在,以及進行模擬攻擊,因此即時內部網絡有它的存在,其他安全工具未必會將它定性為惡意軟件。研究員指在最近一季所發現的勒索軟件攻擊,有 66% 都會借助 Cobalt Strike 入侵系統,搜尋內部網絡的機密檔案,甚至引入其他惡意軟件。另外亦有跡象顯示,愈來愈多勒索軟件組織傾向使用 Cobalt Strike 入侵企業,因此如內部網絡有它的蹤影,已經令網絡安全響起警號。
由於使用 Cobalt Strike 建立立足點的黑客組織愈來愈多,因此 Malwarebytes 研究團隊是單憑它難以鎖定今次釣魚攻擊是由誰發起。不過在分析過程中,研究員發現下載 Cobalt Strike 的 IP 位址,竟然與以往銀行木馬 Dridex 的位址一模一樣,有理由相信實為同一組織所為。專家提醒受影響企業應提高警覺性,切勿胡亂使用可疑電郵內的附件進行更新,現階段應該切斷 VSA 工具的連線,再親自到 Kaseya 網站下載更新檔使用。