在這一週有多個漏洞利用消息,其中併入Ivanti的MobileIron產品線與WinRAR的開發商Rarlab各修補了一項零時差漏洞。

●Ivanti在8月21日修補行動裝置安全閘道Sentry的CVE-2023-38035漏洞,並表示已有部分用戶遭受相關漏洞攻擊。
●RARLab在7月20日修補WinRAR的CVE-2023-38831漏洞,不過近期有資安業者研究發現,今年4月已出現針對該漏洞的攻擊。
●由Ignite Realtime社群開發的開源即時通訊系統Openfire,今年5月修補了主控臺路徑穿越漏洞CVE-2023-32315,最近出現有關攻擊手法。
●Veeam今年3月修補Backup & Replication(VBR)備份解決方案的漏洞CVE-2023-27532,近日發現勒索軟體Cuba針對未修補的系統進行攻擊。

還有兩起已知漏洞後續出現遭成功利用狀況,本週收錄的資安日報新聞尚未提及,也必須要重視:
Adobe在3月修補的ColdFusion反序列化漏洞(CVE-2023-26359)
Citrix在6月修補Content Collaboration的漏洞(CVE-2023-24489)

其他值得注意的漏洞消息,包括開源網路管理軟體OpenNMS於8月9日修補一重大漏洞,以及Dell Compellent的vCenter整合工具DSITV有一資訊洩露漏洞的揭露,但由於產品生命週期已終止,廠商不再修補,可能成為駭客鎖定目標。

在重要資安消息方面,有三起事件值得我們關切,包括:
●惡意軟體HiatusRAT攻擊的揭露,因為有資安業者指出該木馬程式原先3月駭客鎖定歐洲及拉丁美洲,但在今年6到8月間已將目標轉向臺灣及美國,並觀察到有臺灣半導體、化學製造廠與縣市政府遭鎖定情況。
●關於勒索軟體Akira的威脅態勢上,近日有新的研究調查結果,指出該組織很有可能鎖定思科VPN軟體的漏洞下手,繞過身分驗證流程以入侵目標系統。
●AT&T的資安研究團隊揭露名為ProxyNation的惡意活動,攻擊者主要鎖定Windows電腦並部署代理伺服器應用程式(Proxyware)。

其他值得關注的消息與事件,在國際間,我們看到丹麥主機代管業者CloudNordic、Azero Cloud遭遇勒索軟體攻擊,災情非常嚴重,伺服器磁碟資料與主要次要備份系統全遭加密,這導致大多數的用戶資料無法復原,還有大型語言學習網站DuoLingo傳資料外洩,中國駭客鎖定東南亞賭博產業攻擊行動的揭露。

關於攻擊手法上,在最近的資安新聞中我們看到幾個惡意活動也不容輕忽,例如,建置殭屍網路Smoke Loader的駭客,正散布名為Whiffy Recon的Wi-Fi掃描惡意程式,其特性是會向C2回傳受害電腦的無線網路與地理位置資訊;有攻擊者假冒網管工具Advanced IP Scanner名義,透過SEO Poisoning手法來散布惡意程式DarkGate;又有新一波針對Mac電腦攻擊的活動,是假借OfficeNote等生產力應用程式名義並帶有開發人員簽章,用以散布惡意軟體XLoader。

至於防禦焦點上,近日我國鴻海研究院聯手美國麻省理工學院(MIT)多媒體實驗室推出黑客松的競賽,相當難得,當中推出了更容易入門的輕型無人車車用平臺EVπ,盼推動電動車創新服務將Security by Design視為基礎。此外,美國CISA公布JCDC遠端監控與管理(RMM)的網路防禦計畫,強調將提升RMM生態系的安全性與韌性。

 

【8月21日】逾3千個安卓惡意軟體採用不支援的壓縮格式演算法,目的是防止被研究人員反組譯

駭客鎖定安卓裝置散布惡意軟體的情況,近期可說是相當頻繁, 但最近出現較為罕見的攻擊手法引起研究人員關注。因為,這種手法鎖定研究人員而來,防止他們利用各式的工具拆解惡意APK檔案。有資安業者進一步調查,發現市面上至少有3千個惡意App採用此類方法來打包安裝程式,從而影響各式靜態分析工具的運作。

值得一提的是,上述手段並非新的攻擊手法,有研究人員指出,最早曾在2014年就出現類似的攻擊行動。

【8月22日】木馬程式HiatusRAT鎖定臺灣而來,半導體、化學製造業、縣市政府成為目標

木馬程式HiatusRAT今年3月被揭露,當時研究人員發現駭客主要針對歐洲及拉丁美洲而來,但事隔3個月,現在這些駭客轉移目標,竟然針對臺灣的製造業、縣市政府,以及美國軍事採購系統而來,由於目標出現如此大幅度的轉變,使得研究人員推測這群攻擊者很可能與中國政府有關。

另一起與地緣政治有關的攻擊行動,則是針對美韓進行的大規模軍事演習Ulchi Freedom Shield而來,傳出北韓駭客Kimsuky對參與演習的承包商發送釣魚郵件。

【8月23日】研究人員揭露勒索軟體Akira新攻擊手法,駭客鎖定思科VPN系統做為初始入侵管道

有駭客使用了較為罕見的攻擊模式,使得研究人員難以找出其確切的作案手法和過程。例如,勒索軟體Akira的攻擊行動,最早是資安業者Sophos於5月發現跡象,直到最近有了新的進展。惡意軟體分析員Aura、資安業者SentinelOne指出,駭客鎖定特定廠牌的VPN系統入侵受害組織,但究竟他們如何成功通過身分驗證?兩組研究人員有不同的推測。

另一方面,資安業者SentinelOne指出這些駭客還會利用開源的遠端桌面連線工具RustDesk存取受害組織網路,而這是他們首度看到有人濫用此工具來進行網路攻擊。

【8月24日】DuoLingo用戶個資傳出在駭客論壇兜售,疑似因API臭蟲而外洩

駭客透過網頁抓取手法收集網站使用者的資料,屢見不鮮,然而面對這類資料外洩行為,站方不易察覺,通常要等到駭客兜售之後,網站服務業者才意識到商譽嚴重受損,而開始著手進行調查,但為時已晚。例如,有人在駭客論壇BreachedForums宣稱取得260萬筆語言學習網站DuoLingo的用戶資料,該公司著手調查此事,並強調他們沒有遭到入侵。

但值得留意的是,有資安新聞網站指出,駭客很可能是利用該公司曝露超過半年的API漏洞,取得相關資料,後續情況有待進一步觀察。

【8月25日】北韓駭客Lazarus鎖定歐洲、美國組織,利用Zoho ManageEngine服務臺系統漏洞發動攻擊

北韓駭客Lazarus近期的動作頻頻,不時傳出對於臨近的韓國,以及位於地球另一端的歐洲國家發動攻擊,而最近研究人員揭露的新一波攻擊行動,是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是,駭客在漏洞公布的數天後,就將其用於攻擊行動,而讓尚未修補的企業組織措手不及。

另一方面,研究人員發現駭客也改良了作案工具,使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。

熱門新聞

Advertisement