嚴重程度僅次於Heartbleed、ShellShock之重大漏洞Log4Shell,不光是利用相關漏洞的攻擊態勢加劇,還傳出有第2個(CVE-2021-45046)、第3個衍生漏洞!而且,漏洞的影響範圍可能還到了火星。值得留意的是,攻擊者已經開始進一步使用其他攻擊手法,例如,在攻擊流程改以針對JVM使用遠端方法呼叫(RMI)的管道發動攻擊,取代多數Log4Shell攻擊行動所鎖定的LDAP。
除此之外,透過間諜軟體攻擊工業控制系統(ICS)的情況,有資安業者看到針對全球的大規模攻擊行動,駭客融合了北韓Lazarus和中國APT41的攻擊手法,而難以判斷攻擊者的身分。
趨勢科技最近也發布了2022年的資安趨勢預測,當中特別提及,他們認為勒索軟體駭客將會發動4重勒索,不光加密及外洩檔案、DDoS攻擊,且會對受害組織的上下游進行供應鏈攻擊,以脅迫受害者付贖金,而相當值得留意。
【攻擊與威脅】
Log4Shell衍生的漏洞遭到廣泛利用
網路基礎設施業者Cloudflare指出,Log4Shell未修補完全而產生的第2個漏洞CVE-2021-45046,他們已經看到攻擊者積極利用這項漏洞,呼籲IT人員要儘速更新Log4j至2.16.0版。揭露這項漏洞的資安業者Praetorian指出,他們又在2.15.0版找到第3個漏洞,攻擊者可在特定情況下用於洩露資料,不過,該公司為了避免此漏洞遭到利用,並未透露更多細節。這個Log4j漏洞是否已於2.16.0版修補,目前仍不明朗。
鎖定Log4Shell漏洞的攻擊手法出現變化,駭客以RMI發動挖礦攻擊
利用Apache Log4j重大漏洞「Log4Shell」發動攻擊的態勢,已出現多種型態的手法,且國家級駭客也加入行列。不過,也有部分的攻擊者調整戰術,而讓IT人員更難以防範。資安業者Juniper Networks指出,他們看到部分利用Log4Shell的攻擊者,從原本使用LDAP的服務,改用遠端方法呼叫(RMI)的API來進行,亦有一些駭客是LDAP、RMI同時並用,最終目的是注入門羅幣挖礦程式。這些駭客改用RMI的原因,研究人員指出,主要是防守方和相關防護工具,聚焦於JNDI和LDAP監控,RMI可能會被忽略,若是受害電腦使用的JVM缺乏嚴略的管制政策,攻擊者有機會更容易發動RCE攻擊。
NASA探索火星的機智號故障,傳出疑似受到Log4Shell漏洞波及
在全球造成嚴重災情的Log4Shell漏洞,傳出也可能波及到了外太空!根據The Register等媒體的報導,本月初美國太空總署(NASA)用來探索火星的機智號(Ingenuity)直升機,在第17次探勘任務中,發生飛行過程資料傳輸中斷的情況,再加上Apache在今年6月公開機智號使用Log4j的推文遭到刪除,外界懷疑本次任務出錯與Log4Shell有關。對此,NASA沒有正面回應,僅表示機智號系統正常,只是回傳的資訊不足導致任務沒有圓滿成功。
大規模間諜軟體PseudoManuscrypt攻擊鎖定工控系統而來
卡巴斯基指出,他們從2021年6月發現疑似鎖定工業控制系統(ICS)而來的間諜程式PseudoManuscrypt,自1月20日至11月10日,他們在全球195個國家、35,000臺電腦上攔截這個間諜程式的攻擊,攻擊目標為政府組織、軍工業、實驗室,其中,至少有7.2%受害電腦是ICS的一部分。這個間諜軟體具備Lazarus惡意程式Manuscrypt的特徵,但採用中國駭客組織APT41常用的KCP通訊協定,再加上攻擊者使用中文,駭客很有可能來自中國。
駭客組織Earth Centaur利用ProxyLogon漏洞入侵運輸業者
趨勢科技揭露自2020年7月開始,名為Earth Centaur(亦稱Tropic Trooper)的網路間諜發起攻擊行動,目標是運輸業有關的組織與政府機構。該組織透過易受攻擊的IIS與Exchange伺服器入侵組織(如利用ProxyLogon漏洞),並使用惡意程式載入器Nerapack來投放RAT木馬程式Quasar,攻擊者亦在攻擊行動中,企圖存取航班時刻表、財務規畫文件等組織內部資料,以及探測受害電腦的個人資料。研究人員指出,Earth Centaur精通紅隊演練的技巧,並依據攻擊目標使用各式後門,或是透過反向代理繞過資安系統的監控。
殭屍網路Phorpiex變種挾持加密貨幣交易,得手近50萬美元
資安業者Check Point發現名為Twizt的殭屍網路病毒,藉由名為Crypto Clipping的攻擊手法,自動透過作業系統剪貼簿的功能,將受害者的錢包網址替換成駭客的錢包,在最近1年內,至少有969筆交易遭到攔截,攻擊者得手3.64個比特幣、55.87個以太幣,以及價值5.5萬美元的ERC20代幣,價值接近50萬美元,受害者大多位於衣索比亞、奈及利亞、印度。研究人員指出,Twizt是自2016年出現的殭屍網路Phorpiex變種。
英國廣告網站Gumtree洩露廣告主個資
滲透測試服務業者Pen Test Partners指出,他們發現英國知名廣告網站Gumtree,在HTML程式碼洩露賣家的個資,包含了電子郵件地址、郵遞區號、GPS位置,以及賣家的姓氏。研究人員指出,他只需要在瀏覽廣告網頁時按下F12,就能取得上述個資。這樣的情況,使得賣家在廣告裡拒絕透露上述資訊的配置形同虛設。此外,該公司指出,Gumtree專門提供給iOS設備的API,容易受到不安全的直接物件參照(IDOR)攻擊,而洩露賣家全名與更多個資。Gumtree獲報後已著手修復,但一度告知研究人員「得到回應就是一種獎勵」,企圖拒絕支付IDOR漏洞的懸賞獎金。
Rust勒索軟體BlackCat透過遠端桌面軟體入侵受害電腦
資安研究團隊MalwareHunterTeam於12月3日,向Bleeping Computer透露,他們在11月21日看到第一個以Rust程式語言製作,且被用於攻擊行動的勒索軟體BlackCat(亦稱Alphv、Noberus)。賽門鐵克於12月16日揭露了更多細節,指出他們看到在11月3日就有相關的攻擊行動,迄今他們已經發現3種BlackCat的變種,並發現攻擊者入侵受害電腦的管道,是透過名為ConnectWise Connect的遠端桌面軟體。
勒索軟體駭客將攻擊範圍擴及受害者的供應鏈,形成「4重勒索」
趨勢科技發表2022年資安預測,提出3大觀察重點,首先是高科技製造業是勒索軟體駭客的頭號目標,駭客可能會發展「4重勒索」攻擊模式,不只加密檔案、外洩內部機密、發動DDoS攻擊,還會藉由供應鏈攻擊讓受害層面擴大;再者,供應鏈也是駭客著眼的攻擊目標,他們會針對開發者、企業配合的外部廠商下手。此外,民眾對於各式網路服務更加依賴,再加上共用密碼的情況相當普及,也使得攻擊者竊取個資的情況將會更為嚴重。
【漏洞與修補】
SAP修補20個應用程式的Log4Shell漏洞
針對Log4j的重大漏洞「Log4Shell」,許多廠商已盤點旗下產品有那些受到影響。例如,根據資安業者Onapsis指出,截至12月14日,SAP已經確認旗下有32個應用程式受到Log4Shell波及,並對於其中20個發布修補程式,另外12個軟體的更新檔案正在製作中。但在Log4Shell漏洞之外,Onapsis也提醒用戶也要安裝SAP推出的例行修補,當中也修復數個重大漏洞。
聯想電腦管理軟體爆權限擴張漏洞,影響ThinkPad、Yoga系列產品
資安業者NCC Group在聯想筆電的管理軟體Lenovo Vantage中、系統管理服務Lenovo System Interface Foundation中,發現可被用來提升攻擊者權限的漏洞。這些漏洞存在於上述軟體的IMController元件,影響該公司旗下ThinkPad與Yoga系列的產品。聯想獲報後已完成修補。
【資安防禦措施】
美國國防部全面部署防範惡意廣告威脅的措施
根據美國國防部(DoD)12月13日發出的信件指出,美國國家安全局(NSA)、中央情報局(CIA)、聯邦調查局(FBI)等軍情單位(IC),國防資訊系統局(DISA)已採取一系列的防禦措施,來因應惡意廣告(Malvertising)所帶來的威脅。這些措施包含了網頁內容過濾器、Sharkseer人工智慧偵測工具,以及基於雲端的網際網路隔離系統(CBII)等。
資安處公布11月資安事件通報數91件,並強調9大事項要各機關注意
在12月15日,行政院資通安全處發布資通安全網路月報(110年11月),除指出本月資安事件通報數量為91件,當中也提到近期多項重要政策已施行,執行面需要各機關配合,包括:包括優先採購國內資安自主產品、落實原則禁止遠端連線,導入資安弱點通報(VANS)及端點偵測機制(EDR),以及參考最新版資訊服務採購契約範本,在今年12月底前將資安相關要求,納入契約規範等。㊣
【資安產業動態】
密碼管理服務LastPass成為獨立公司
IT服務業者LogMeIn於14日宣布,有鑑於全球市場愈來愈重視密碼安全,他們準備讓旗下的密碼管理服務LastPass,成為獨立的公司來因應這樣的趨勢。LogMeIn表示,LastPass獨立之後,將會增加對客戶經驗、市場功能、工程的投資,以加速其密碼管理、單一簽入(SSO)與多因素認證(MFA)的研發。
滲透測試工具Kali Linux強化Samba相容性,改善Arm裝置支援
美國資安業者Offensive Security近日發布Kali Linux 2021.4,新版本增加9項工具,並改良Samba的相容性,以便更容易執行相關的滲透測試工作。值得一提的是,對於搭載蘋果M1處理器的電腦,除了能透過Parallels虛擬化平臺執行,新版本因為導入了Linux Kernel 5.14版,而擁有對應的GPU元件,也能夠在VMware Fusion上運作。
【近期資安日報】
熱門新聞
2024-04-17
2024-04-15
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15