在這一週漏洞消息中,有3個漏洞利用消息需要優先關注,包括:(一)行動裝置管理平臺Ivanti Endpoint Manager Mobile(原名MobileIron Core)的CVE-2023-35078零時差漏洞遭利用,已導致挪威12個政府遭入侵;(二)Apple緊急修補一個零時差漏洞CVE-2023-37450,該漏洞存在於作業系統的核心內,該公司指出已得知有攻擊者利用此漏洞;(三)Zimbra前一週被發現有零時差漏洞攻擊,如今公布Zimbra Collaboration(ZCS)的CVE-2023-37580漏洞已遭利用。
其他可留意的漏洞消息,包括:首度出現無線通訊標準協定Terrestrial Trunked Radio(TETRA)的研究與漏洞揭露,還有AMD處理器漏洞Zenbleed,OpenSSH的RCE漏洞,以及WordPress外掛程式Ninja Forms漏洞的揭露。
在威脅態勢方面,近日勒索軟體的動向引發關注,其中Mallox威脅擴大值得留意,另外我們注意到近日Clop、BlackCat勒索軟體駭客變得更為囂張的情形。
●勒索軟體Mallox的攻擊行動在今年上半出現大幅增加的情況,研究人員並指出其入侵管道是鎖定微軟SQL Server,並以暴力破解來獲取權限
●Clop駭客將竊取自受害者的外洩資料,發布到可透過網際網路存取的網站,而非暗網
●lackCat駭客為資料外洩網站加入API、Python爬蟲,這些舉動顯然是向受害組織施加更多壓力
其他值得關注的消息與事件,以網路犯罪工具FraudGPT的出現最受關注,另一個則是惡意簡訊App攻擊,近期臺灣時常傳出這類惡意活動,日本近來也有這類事件發生。同時國內近期接連有兩家上市櫃公司發布資安事件重大訊息,說明遭遇網路攻擊事件:
●有駭客製作出FraudGPT,號稱能用AI製作釣魚郵件及打造破解工具
●中華汽車遭遇網路攻擊事件,因產線配合系統檢修而發生局部停止生產情況
●我們整理這週消息時,新發現另一事件,大樹醫藥在28日說明遭受網路攻擊
●日本傳出惡意簡訊App攻擊,攻擊者發布簡訊假冒當地東京電力公司、東京都水道局名義,聲稱支付電費或水費出現異常並留下網址,使用者若誤信點擊,將安裝包含惡意軟體SpyNote的App
●本月中有資安業者揭露中國駭客濫用的微軟帳號簽章的事件,後續又有研究人員警告,指出其影響可能更為範圍廣泛
關於資安防護焦點方面,國際間對資安事件訊息的公開揭露是更為重視,美國證券交易委員會(SEC)在一年多前提案,規定上市公司要在4天內披露重大資安事件,如今這項新規定已正式通過。
【7月24日】駭客假借日本水電公司名義,向當地安卓用戶散布惡意程式SpyNote
為了方便民眾繳納規費,許多公營事業都在積極提供並推廣行動裝置App,有駭客假借這些資訊來散布手機惡意軟體,例如,5月資安業者Check Point發現名為FluHorse的安卓惡意軟體,就是假借遠通電收ETC的App對臺灣民眾下手。而類似的攻擊行動,最近也在日本出現。資安業者McAfee揭露針對日本民眾的惡意軟體SpyNote,攻擊者聲稱手機用戶的電費或水費欠繳,要求依照指示下載App進行處理。
勒索軟體Mallox的攻擊行動也相當值得留意,因為出現大幅增加的現象,駭客初期入侵受害組織的管道,就是針對微軟SQL Server而來。
中國駭客組織Storm-0558濫用微軟帳號(MSA)金鑰挾持25個組織的電子郵件,微軟已做出緊急處置,但有資安業者發現,駭客濫用的金鑰不僅能存取雲端電子郵件服務Outlook.com,還能登入其他微軟的服務。
【7月25日】中華汽車發布重大訊息證實遭到網路攻擊,並著手恢復受影響系統
國內製造業近期陸續傳出遭到攻擊的情況,有些影響到供應商,有些則攻入企業環境,例如,先前有勒索軟體駭客LockBit聲稱竊得台積電內部資料的事故(台積電否認遭到入侵),但今天傳出有其他公司遭遇網路攻擊,甚至影響正常營運。昨日中華汽車在股市公開觀測站發布重大訊息,表示遭遇資安事故,有資安專家認為很可能就是勒索軟體攻擊,且疑似關閉防火牆而讓駭客有可乘之機。
蘋果針對行動裝置、電腦、穿戴裝置發布作業系統更新也相當值得留意,因為,其中一項零時差漏洞涉及卡巴斯基6月揭露的零點擊攻擊行動Operation Triangulation。
廣泛受到警消單位運用的無線電,有資安業者發現其通訊協定存在一系列漏洞TETRA:Burst,並指出他們已向多個國家的相關單位,以及無線電設備製造商進行通報。
【7月26日】駭客利用Ivanti行動裝置管理平臺的零時差漏洞,攻擊挪威政府的資訊系統
週一挪威政府發布公告,表示他們廣受12個機關採用的ICT平臺遭到攻擊,而駭客利用的漏洞,就是Ivanti於週日針對行動裝置管理平臺Ivanti Endpoint Manager Mobile(EPMM,原名MobileIron Core)修補的CVE-2023-35078。Ivanti聲稱沒有發現該漏洞遭到利用的跡象,但已有研究人員發現相關攻擊行動。
Atlassian上週修補的漏洞也相當值得留意,該公司針對企業協同開發軟體Confluence、持續整合與持續部署(CI/CD)系統Bamboo,修補了可被用於遠端執行任意程式碼(RCE)的高風險漏洞。
VMware針對容器管理平臺Tanzu修補的資訊洩露漏洞,也值得IT人員留意,因為,攻擊者很可能用來推送帶有惡意功能的應用程式。
【7月27日】有人在暗網論壇兜售AI網路犯罪工具FraudGPT,號稱不到一週已有3千買家下單
先前駭客嘗試將當紅的大型語言機器學習模型(LLM)ChatGPT用於網路犯罪,但後來開始有人製作專門用於攻擊的LLM,例如研究人員於7月中旬揭露的WormGPT,而最近又有新的AI工具FraudGPT出現,值得留意的是,駭客標榜此工具不光能產生釣魚郵件的內容,還能製作多種類型作案工具,運用在不同型態的網路攻擊。
隨著企業對於資安防護意識與認知的提升,越來越多受害組織不願付錢了事,對此,駭客也祭出過往未曾出現的施壓手法。例如,勒索軟體BlackCat(Alphv)就打算提供網站的API、爬蟲工具,促使有意購買資料的買家更輕鬆找到所需的檔案,並以此對受害組織施加更大壓力,迫使他們支付贖金。
勒索軟體的威脅「不講武德」,再度出現同時針對相同目標下手的狀況!山葉音樂(Yamaha Music)加拿大分公司遭到網路攻擊,研究人員發現有兩組駭客Black Byte、Akira聲稱對其發動攻擊,先前也有類似的案例──勒索軟體駭客BlackCat、Clop皆表明對化妝品業者雅詩蘭黛下手。
【7月28日】惡意軟體Nitrogen被用於勒索軟體攻擊,並透過Google、Bing廣告散布
先前有資安業者趨勢科技揭露勒索軟體BlackCat(Alphv)的攻擊行動,駭客假借提供WinSCP等知名應用程式的名義,透過惡意廣告引誘受害者上當。現在資安業者Sophos有新的發現,攻擊者用來入侵受害電腦的惡意軟體,是另一家資安業者eSentire於1個月前發現的惡意程式Nitrogen,並指出駭客的目標是北美的科技產業及非營利組織。
網頁伺服器Tomcat遭到駭客鎖定的現象,也值得IT人員留意。資安業者Aqua Security揭露長達2年的攻擊行動,並指出駭客運用多達12種Web Shell來作案,但大部分的攻擊行動都是在網頁伺服器植入殭屍網路Mirai。
熱門新聞
2024-12-29
2024-12-28
2024-12-28
2024-12-28
2024-12-30
2024-12-27
2024-12-27
2024-12-30