利用Log4Shell漏洞的攻擊行動近期似乎較少傳出,但相關攻擊是否就此銷聲匿跡?答案顯然是否定的。例如,伊朗駭客組織MuddyWater現在鎖定了以色列組織的IT服務管理系統SysAid來入侵,其利用的漏洞正是Log4Shell。在此之前,這些駭客就已經利用此漏洞發動攻擊,但不同的是,他們鎖定的目標是遠距辦公平臺VMware Horizon。
繼上週有資安業者表示,雲端通訊服務Twilio遭駭是專門鎖定Okta用戶的大規模攻擊行動0ktapus的冰山一角,有130個組織成為攻擊目標,Twilio、Okta也公布他們調查結果。此外,不只是即時通訊軟體業者Signal表示資料外洩與Twilio的資安事故有關,餐點外送平臺也遭遇類似的情形。
行政院新設的數位發展部於8月27日正式揭牌,資通安全署署長人選確定是原國發會資訊管理處長謝翠娟。當天資通安全署也在網站上正式公布這項人事安排。
【攻擊與威脅】
伊朗駭客利用IT服務管理系統的Log4Shell漏洞,攻擊以色列組織
駭客利用Log4Shell漏洞發動攻擊的情況,有許多事故都針對VMware Horizon遠距工作平臺而來,但有攻擊者將目標轉向存在相同漏洞的其他應用系統。微軟的研究人員指出,伊朗駭客組織MuddyWater(亦稱Mercury)在針對以色列企業的攻擊行動中,透過IT服務管理系統系統SysAid的Log4Shell漏洞進行滲透,然後使用惡意PowerShell程式碼來投放Web Shell。
接著,駭客試圖取得受害電腦的管理員權限,使用Mimikatz來竊取帳密,並以WMI和遠端管理工具RemCom進行橫向移動,最終使用隧道工具Ligolo將竊得的資料傳送到C2。研究人員公布入侵指標(IoC)供企業識別相關攻擊。
Twilio證實163個組織受到8月初攻擊事件影響
雲端服務業者Twilio於8月初遭駭,經過2星期的調查後,該公司確定有163個組織受到影響,其中有93個使用者的雙因素驗證應用程式Authy帳號遭到挾持,駭客將其用於註冊額外的裝置,Twilio已移除駭客登錄的裝置,並呼籲Authy用戶儘速檢查帳號是否出現可疑存取行為,以及確認註冊的裝置名單。
駭客利用雲端服務Twilio的漏洞竊取Okta帳密資料
針對Twilio遭駭的事故,資安業者Group-IB指出與名為0ktapus的大規模攻擊行動有關,駭客專門鎖定採用Okta身分驗證解決方案的組織下手,竊取雙因素驗證的簡訊OTP驗證碼犯案,Okta也透露他們所了解的情況。
8月25日,Okta發出公告指出,發起上述攻擊行動的駭客能透過Twilio主控臺,存取少量使用者的電話號碼,以及內含OTP密碼的簡訊內容。駭客至少存取了38個與Okta有關的電話號碼。Okta也發現,駭客會打電話給目標組織的員工,甚至是這些員工的家人。
美國餐點外送業者DoorDash傳出資料外洩,疑與Twilio攻擊事件有關
又有企業聲稱資料外洩與Twilio的攻擊事故有關!8月25日,美國餐點外送業者DoorDash發出公告,他們發現有人能透過外部供應商竊得的帳密,取得DoorDash內部工具的存取權限,曝光的資料包含訂餐者的姓名、送餐地址、電話號碼、電子郵件信箱,以及員工的姓名、電話號碼、電子郵件信箱。
雖然上述公告沒有提及外部供應商的身分,但DoorDash向新聞網站TechChunch透露,Twilio員工遭到網釣簡訊而導致公司資料外洩的事故,與DoorDash的資料外洩有關,引發外界聯想。
北韓駭客Kimsuky鎖定南韓政治人物下手,並進行一連串檢查機制迴避資安人員調查
卡巴斯基揭露北韓駭客組織Kimsuky的攻擊手法,該組織專門鎖定南韓組織下手,以地緣政治相關的主題進行釣魚郵件攻擊,但與許多攻擊行動不同的是,這些駭客會先利用C2伺服器確認目標後,才對受害者傳送惡意文件,收信人開啟檔案後,指令碼會把受害者的IP位址傳送至另一個C2伺服器驗證,駭客再度確認完才會進一步行動。這一波攻擊行動Kimsuky的主要目標,是與政治及外交有關的南韓實體,以及政治人物、外交官、記者、脫北者等。
藍新金流8月25日晚間傳出服務中斷,疑遭DDoS攻擊導致
藍新金流NewebPay在8月26日下午五時左右對外發布公告,說明IDC機房遭受數波在海外惡意攻擊,導致藍新金流平臺的服務,發生不穩定或暫時中斷情形,根據其內容,該公司可能遭受DDoS攻擊而導致服務中斷,直到晚間11點50左右,才說明服務已全數回復正常。
根據其用戶張貼從藍新科技收到的通知內容來看,相關攻擊行動在前一日就發生,在8月25日晚間9點15開始,藍新也啟動防護機制封鎖海外部分IP位址。
【漏洞與修補】
Atlassian修補CI/CD解決方案的重大漏洞
Atlassian針對旗下的持續整合及持續部署(CI/CD)解決方案Bitbucket發布資安通告,該系統存在指令注入漏洞CVE-2022-36804,一旦攻擊者利用這項漏洞,就有可能在具備程式碼儲存庫或是私有Bitbucket存取權限的情況下,發送惡意HTTP的呼叫來執行任意程式碼,CVSS風險評分為9.9分。
受影響的範圍涵蓋了Bitbucket的Server及Data Center元件,6.10.17以上的版本都可能存在相關風險。該公司已發布新版軟體,並呼籲用戶儘速安裝,或暫時關閉公開的儲存庫來降低風險。此外,由Atlassian代管的服務不受影響。
【資安防禦措施】
我國數位發展部8月27日正式成立
經過兩年多籌備的數位發展部(MODA)於8月27日舉行揭牌儀式,總統蔡英文、行政院院長蘇貞昌皆到場見證。而預計要在掛牌這天公布的人事任命,也在網站揭露,其中的資通安全署長將由國發會資訊管理處長謝翠娟擔任,資通安全署旗下將設立綜合規劃組、通報應變組、輔導培訓組、稽核檢查組、法規及國合組,以及秘書室、人事室、政風室、主計室等部門。
美國陸軍公開招募、成立國家駭客軍隊
烏克蘭戰爭讓網路攻防變得更加白熱化,美國陸軍為了因應總統拜登的強化資安政策,宣布對外招募專職於網路作戰的國家級駭客。該單位打算尋求人才,包含了網路作戰指揮官、網路作戰官、密碼情報分析師、網路防衛員,以及保護軍事設備的專家。美國陸軍將提供相關訓練,包括網路作戰技能、IT安全認證、電腦鑑識、惡意程式分析,以及駭客訓練等。
【其他資安新聞】
駭客以測試遊戲為幌子,散布竊密軟體AsyncRAT、RedLine Stealer、Raccoon Stealer
近期資安日報
【2022年8月26日】 駭客鎖定Gmail企業用戶發動AiTM網釣攻擊、PyPI套件開發者遭到釣魚郵件攻擊導致套件遭竄改
【2022年8月25日】 駭客鎖定Microsoft 365用戶發動AiTM攻擊、GitLab修補CVSS評分達9.9分的重大漏洞
熱門新聞
2024-11-25
2024-11-25
2024-11-22
2024-11-25
2024-11-24
2024-11-25