廣受許多組織使用的網站內容管理系統WordPress,再度傳出有數個外掛程式存在重大的存在請求偽造(CSRF)漏洞,CVSS風險層級高達8.8分,研究人員估計總共有8.4萬個網站受到影響。
另外,不少企業採用的SAP,其中一個CVSS風險層級9.1分的重大漏洞,研究人員發現可被用於供應鏈攻擊,讓攻擊者在SAP應用程式植入惡意軟體,呼籲用戶要儘速修補漏洞。
除了上述的嚴重漏洞之餘,北韓APT駭客組織去年大肆透過加密貨幣業者竊取資金的現象,也較以往增加4成,而成為北韓在許多國家對其經濟制裁下,用來發展軍事的資金來源。
【攻擊與威脅】
中華職棒YouTube頻道被盜,直播內容變比特幣演說
根據國內多家媒體報導,中華職棒YouTube官方頻道在1月17日晚間21時20分被盜用,頻道名稱被更改為MicroStrategy,直播內容則是講解比特幣,狀況在22時30分左右排除,但張貼的影片有被刪除的狀況。不過這起事件並未結束,我們從PTT網友針對此事的回應來看,在1月18日上午5時到9時,被盜狀況仍繼續發生,並指出這樣的直播維持有2千人觀看。
勒索軟體Qlocker再度鎖定威聯通NAS發動攻擊
勒索軟體Qlocker曾於2021年4月下旬,鎖定威聯通(QNAP)的NAS用戶發動攻擊,利用備份資料同步元件HBS 3的漏洞入侵。但最近,該勒索軟體再度出現新一波的攻擊行動而值得留意。根據資安新聞網站Bleeping Computer於1月15日的報導,他們發現Qlocker疑似在1月6日有了新的攻擊行動,一旦NAS遭到威染,檔案被加密後攻擊者會留下勒索訊息,要求支付0.02至0.03個比特幣來恢復檔案,至少有數十臺NAS遭到感染。該新聞網站呼籲用戶,參考威聯通的最佳實務來強化NAS安全。
臺資安業者TeamT5揭露鎖定俄羅斯政府的APT入侵攻擊手法
今年1月初,資安業者Cluster25揭露北韓駭客組織鎖定俄國外交部的攻擊,對於這樣的攻擊行動,臺灣資安業者TeamT5在1月中旬也公開自家分析結果,解析其攻擊手法,是透過惡意魚叉式電子郵件進行,一旦使用者上鉤開啟郵件附檔中的螢幕保護程式поздравление.scr,該程式背地裡將連線中繼站並下載惡意Payload,再透過Base64演算法取得惡意CAB檔案,當中將包含後門程式scrnsvc.dll,經TeamT5分析,該後門程式與北韓駭客組織Konni所慣用的後門程式家族Sanny有關,與Cluster25的研究分析有相同結論。
近四分之一網釣攻擊冒用DHL的名義出手
過往網路釣魚攻擊中,攻擊者較為偏好利用微軟和Google等IT業者的名義,來取得受害者的信任,進而得手對方的帳密等資料,但這個情況近期出現了變化。資安業者Check Point針對2021年第4季,駭客在發動網路釣魚攻擊的行動裡,所假冒的廠牌名稱,調查後發現,全球有23%網路釣魚是利用物流業者DHL的名義發動攻擊,不只比2021年第3季(9%)高出不少,也超越微軟(20%)、WhatsApp(11%)、Google(10%)。
北韓Lazarus旗下駭客組織鎖定加密貨幣新創公司,將其貨幣盜領一空
北韓駭客鎖定加密貨幣來獲利的情況,近期又有相關的攻擊行動出現。卡巴斯基揭露Lazarus旗下的駭客組織BlueNoroff,約在2021年11月發起SnatchCrypto攻擊行動,鎖定專門處理加密貨幣、數位合約、DeFi、區塊鏈的中小型新創公司下手,對於這些企業的員工傳送具備監控功能的後門程式,最終目的是清空受害組織的加密錢包。為了讓受害者上當,該組織偽裝成超過15家風險投資業者。
北韓駭客2021年竊得4億美元加密貨幣,較前年多出4成
美國與其他國家長期對於北韓實施經濟制裁,使得該國長期以來,倚賴APT駭客攻擊全球各地的金融機構,來竊取資金。但最近2到3年,北韓駭客更加關注如何偷取加密貨幣,根據區塊鏈資安業者Chainalysis調查,這些駭客在2021年總共對於加密貨幣平臺發起至少7次攻擊行動,並取得近4億美元的加密貨幣,較2020年要多出40%。其中,被竊的加密貨幣以太幣占超過半數(58%)、比特幣居次(20%)、22%是ERC-20或替代幣(Altcoin)。
Linux惡意軟體在2021年增加35%,XorDDoS、Mirai、Mozi最為氾濫
攻擊者鎖定Linux作業系統發動攻擊的現象,去年頻繁傳出攻擊事故,許多勒索軟體駭客開始針對這種環境製作專屬攻擊工具,就連Log4Shell漏洞攻擊,也有不少是針對Linux伺服器而來,但這種情況有多嚴重?根據資安業者CrowdStrike的調查,2021年Linux惡意軟體的數量,較2020年多出35%,其中XorDDoS、Mirai、Mozi家族最為氾濫,占所有惡意軟體的22%,其中又以Mozi攻擊出現爆炸性成長,去年的惡意軟體數量是前年的十倍。
【漏洞與修補】
WordPress外掛程式存在高風險漏洞,恐波及8.4萬網站
專注於WordPress網站安全的Wordfence指出,他們發現3個WordPress外掛程式存在請求偽造(CSRF)漏洞CVE-2022-0215,CVSS風險層級為8.8分。這些存在漏洞的外掛程式為Login/Signup Popup、Side Cart Woocommerce、Waitlist Woocommerce,各有超過2萬個、4千個、6萬個網站使用,套件開發者XootiX獲報後已修補上述漏洞。
重大SAP軟體漏洞恐被用於供應鏈攻擊
甫被公布細節不久的軟體漏洞,很可能因為有其他利用的方式,而使得漏洞潛藏的危害比原本預期的還要嚴重,甚至可能引發類似SolarWinds供應鏈攻擊的事故。例如,專精於SAP安全的資安業者SecurityBridge,針對一項存在於NetWeaver AS ABAP、ABAP平臺的重大漏洞CVE-2021-38178提出警告,表示這項漏洞原先被發現是不正確的授權問題,能讓攻擊者將程式碼跳過檢測程序就發布,但研究人員發現,攻擊者還能竄改發布狀態,允許在正式發布程式碼後將狀態變更為「可修改」,使得攻擊者可以任意加入惡意程式進行供應鏈攻擊。這項漏洞SAP已於2021年10月發布修補程式,研究人員呼籲用戶要儘速安裝相關更新。
Safari驚傳頁面呈現引擎漏洞,恐曝露瀏覽器記錄與Google帳號細節
資安業者FingerprintJS揭露Safari 15瀏覽器的WebKit頁面呈現引擎漏洞,這項漏洞與Indexed Database(IndexedDB)的API有關,一旦被攻擊者利用,可透過網站追蹤使用者的網路活動,甚至得知用戶的身分,例如Google帳號的細節,無論是蘋果個人電腦(macOS)或是行動裝置(iOS、iPadOS)用戶都受到影響。這項漏洞自研究人員於1月15日公開後,蘋果已於17日著手於WebKit原始碼加入相關的修補程式,但尚未提供給一般用戶。
【資安產業動態】
半導體資安標準SEMI E187正式發布上架
在2022年1月17日,全球首個半導體晶圓產線設備資安標準已正式上架於SEMI網站,名稱為「SEMI E187 - Specification for Cybersecurity of Fab Equipment」。特別的是,這也是首次由臺灣主導制定的半導體相關國際標準,此項標準在四大方面提出要求,包括:作業系統規範、網路安全相關、端點保護相關,以及資訊安全監控,建立晶圓廠設備資安最低標準。
【近期資安日報】
2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注
2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手
2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料
2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動
2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼
2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙
2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊
2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放
2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟
2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法
2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件
2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊
2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當
2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS
2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者
2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex
2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙
2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源
2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚
2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊
熱門新聞
2024-09-29
2024-10-02
2024-10-01
2024-10-03
2024-10-04
2024-10-01
2024-10-01