在這一周的漏洞消息中,最主要的焦點,就是2022年底兩起商業間諜公司攻擊活動的揭露,Google TAG公布了當時被使用的零時差漏洞與串連多個漏洞,這意味著當時這些修補的漏洞,都已出現鎖定利用情形,包括:iOS(CVE-2021-30900)、Arm Gpu(CVE-2022-38181、CVE-2022-22706)、Google Chrome(CVE-2022-3038)與Linux Kernel(CVE-2023-0266)的5個漏洞。同時,週末我們整理這方面消息時,新注意到幾個老舊漏洞如今也被列入已知漏洞成功利用清單,包括Cobalt Strike去年漏洞(CVE-2022-39197、CVE-2022-42948),以及Samba的漏洞(CVE-2017-7494),還有微軟IE相關的漏洞(CVE-2014-1776、CVE-2013-3163)。另外,本周Pwn2Own Vancouver 2023新找出的27個零時差漏洞,後續業者將有修補釋出。

在威脅態勢方面,殭屍網路與DDoS受關注,包括發現ShellBot與MooBot利用監控系統Cacti或瑞昱Realtek近兩年的漏洞,以及MacStealer竊資軟體借助殭屍網路散布的情形,值得一提的是,有英國國家刑事局為抓捕網路罪犯,設置多個DDoS租賃服務誘餌並發現有數千人存取。此外,還有勒索軟體Dark Power新動向,以及又有軟體供應鏈攻擊出現,這次鎖定的是VoIP IP-PBX業者,同樣值得留意。

在其他攻擊活動與威脅揭露方面,ChatGPT的濫用隱憂持續受重視,歐洲刑警組織警告,注意網路罪犯正濫用ChatGPT與其他的大型語言模型(LLM)的威脅,需注意模仿特定人士的書寫與說話,以及產生網路釣魚的社交工程與假訊息散布;在國際間有多個攻擊活動被資安業者揭露,包括中國駭客組織Mustang Panda近期攻擊行動,以及中國駭客鎖定中東電信業者攻擊行動Operation Soft Cell。

至於國內資安事件方面有兩起事件受關注,包括:威秀影城公告系統升級與鄭重提醒反詐騙,數日後傳出50萬客戶資料外洩消息,以及出現國內大學教授紛紛遭到變臉不雅照勒索的情況。

 

【3月27日】SharePoint遭到濫用,駭客藉此引誘使用者下載惡意程式

為了規避網路流量的偵測,駭客濫用免費的雲端檔案共用服務OneDrive、Google Drive、Dropbox等,可說是相當常見。但有不少企業在內部網路或Office 365公有雲架設協同作業網站入口SharePoint,方便員工能共用檔案,使得有些駭客也看上這點,透過此種共用系統讓使用者降低戒心,再利用檔案裡的URL,將他們引導至釣魚網站而達成目的。

除了上述濫用SharePoint攻擊行動,駭客使用免費雲端檔案共用服務的手法也出現變化。例如,中國駭客組織Mustang Panda特意將上傳至Google Drive的檔案,以使用密碼保護的壓縮檔打包,藉此讓這些惡意軟體逃過Google的檢測機制。

但在駭客散布惡意軟體的事故之餘,國內發生了使用Deep Fake照片向多所大學教授進行勒索的情況,雖然駭客使用簡體中文和中國用語,但教授很可能為了息事寧人,選擇付錢了事。

【3月28日】推特傳出原始碼被公布在GitHub儲存庫,疑為離職員工挾怨報復

推特在馬斯克(Elon Musk)入主之後大幅裁員,使得這些離職員工可能心生不滿而進行報復。根據各大新聞網站的報導,推特尋求法律途徑要求GitHub下架儲存庫,其內容是該公司網站與內部工具的專有原始碼,但究竟這些資料如何流出?傳出是離職員工上傳,但推特並未證實這項說法。

殭屍網路病毒Emotet近期的攻擊行動頻頻,之前被發現開始透過挾帶OneNote檔案的釣魚郵件散布,但最近駭客也跟上了美國報稅季,假借當地稅務機關的名義發動攻擊。值得留意的是,駭客不光使用OneNote挾帶惡意程式,也有使用Word檔案的情況。

過往的竊資軟體(Infostealer)幾乎都是針對Windows電腦而來,但最近有竊資軟體鎖定的是Mac用戶,值得留意的是,該惡意程式不光會對瀏覽器和加密貨幣錢包下手,還會針對macOS的密碼管理系統解密、回傳相關資料。

【3月29日】歐盟刑警組織提出警告,駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式

駭客發動與ChatGPT相關的攻擊行動日益頻繁,包含利用該機器學習語言模型來製作釣魚信件,或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注,並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。

除了ChatGPT相關攻擊橫行,商業郵件詐騙(BEC)也相當值得留意。近日美國聯邦警查局(FBI)提出警告,駭客假冒合作廠商的名義發動相關攻擊,但與過往不同的是,這些駭客現在會使用延遲付款方式,使得受害廠商不易及早察覺詐騙而難以追回貨款。

而在面臨BEC攻擊行動之外,執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如,英國國家刑事局(NCA)就假借提供DDoS租賃服務(DDoS-for-Hire)的名義,讓想要租用此種服務發動攻擊的駭客上當。

【3月30日】駭客鎖定網路電話系統3CX下手,針對電腦版用戶端程式進行供應鏈攻擊

今天的資安新聞,我們看到針對網路電話(VoIP)、MFT檔案共享系統、行動裝置作業系統而來的攻擊行動相當引人關注,其中,又以網路電話系統3CX遭到鎖定的供應鍵攻擊事故,因為有3家資安業者不約而同提出警告,並揭露不同層面的發現。

在針對應用系統的攻擊行動之餘,惡意軟體IcedID的發展趨勢也引起研究人員注意,原因是攻擊者為了迴避資安系統偵測,大幅精簡該惡意程式原本的金融木馬模組,而且在遭滲透或感染的電腦部署更多惡意軟體。

上週OpenAI修補ChatGPT多項漏洞,如今有研究人員發現部分漏洞修補不全,而能繞過修補程式利用漏洞的現象。對此,該名研究人員協助OpenAI製作更新軟體。

【3月31日】攻擊工具也跟上「多雲」風潮,一口氣搜括18種雲端服務平臺的組態不當設定資料

駭客掃描存在特定弱點的雲端設施,進而發動攻擊的情況算是相當常見,但現在竟然出現了能大量掃描的模組化工具AlienFox,攻擊者從找尋目標到發現特定的系統弱點,都能利用同一組工具完成。基於這樣的攻擊便利性,上雲的企業與組織在暴露於公開網路的網站與應用系統,勢必要加快修補漏洞與修正不當設定的腳步,否則將會在更短時間之內被攻陷。

關切雲端資安風險態勢變化之餘,殭屍網路的攻擊行動也相當值得留意。有資安業者對殭屍網路ShellBot、MooBot的態勢提出警告,並指出駭客所使用的兩個重大漏洞,也有其他殭屍網路病毒加以運用。

因結合ChatGPT與AI對話機器人而吸引大量使用者的Bing搜尋引擎,最近被研究人員找到漏洞,能用來竄改搜尋結果,但起因與Azure AD有關。

熱門新聞

Advertisement