在這一週的漏洞消息中,資安研究團隊Shadowserver在X社群平臺指出,Juniper在17日修補Junos OS中J-Web介面的漏洞CVE-2023-36844,在25日發現有攻擊行動出現,並且同日已有概念性驗證(PoC)攻擊程式公開。
在攻擊活動焦點方面,我們認為有3起最新揭露值得密切關注,因為臺灣企業、政府組織均成為這些惡意活動的目標之一。以下是本週重大攻擊事件揭露:
●駭客組織Earth Estries網路間諜活動,他們年初開始針對臺、美、德、南非、馬來西亞、菲律賓的政府組織與科技業下手,其攻擊手法會部署Cobalt Strike來投放更多惡意程式,並在每一輪的攻擊活動當中,會定期清除後門程式再重新部署。
●中國組織UNC4841鎖定Barracuda郵件閘道漏洞攻擊,最近有新發現,今年5、6月共有兩波新攻擊,對象是政府、高科技、資訊、電信、製造。
●中國駭客組織Flax Typhoon攻擊手法,該團體2021年開始鎖定臺灣政府、教育、製造、資訊等數十個單位,東南亞、北美、非洲的組織也是其目標。其手法包括部署僅4 KB的Web Shell中國菜刀(China Chopper),利用名為Invoke-WebRequest的PowerShell指令碼,以及部署SoftEther的VPN用戶端程式等。
在攻擊態勢與事件方面,近期以勒索軟體攻擊,以及攻擊者鎖定企業從IT服務業者下手的消息最受矚目,並且有相當多關於中國駭客攻擊活動的揭露。
●勒索軟體Play近期攻擊行動鎖定安全服務代管業者下手,並利用遠端監控及管理(RMM)軟體繞過防護,進而取得目標組織完整的存取權限。
●倫敦警局因負責列印通行證及授權卡的IT承包商遭遇網路攻擊,導致4.7萬名警官與員工資料外洩。
●有駭客利用LockBit 3.0產生器打造近4百個變種,經調查後發現,當中使用的橫向感染手法,有90%利用PSEXEC執行,有72%濫用群組原則物件(GPO)。
●MalDoc in PDF攻擊手法的揭露,攻擊者會在PDF檔案埋藏惡意Word文件,由於防毒引擎根據其檔案標頭視為PDF檔來分析,當使用者以電腦檢視該檔時,卻視為Word檔案而開啟。
●波蘭國家鐵路(PKP)的無線電通訊網路在25日晚間遭駭,有攻擊者多次在斯德丁城市附近向火車發出停止的命令,且訊號中穿插俄羅斯國歌與普丁演講聲音。
●在Meta掃蕩發送垃圾訊息帳號的最新成果中,發現Spamouflage的大規模網路操弄活動,駭客在50多個社群平臺散布讚揚中國與新疆省、批判美國等西方國家的訊息,主要鎖定臺、美、澳、英、日本,以及其他使用中文的用戶。
其他威脅活動,我們也需要注意後續發展態勢,包括:出現鎖定程式語言Rust開發者的新攻擊行動,風險控管業者Kroll員工遭遇SIM卡挾持攻擊、以及中國間諜利用LinkedIn收集英國機密資料,中國駭客組織製作間諜軟體BadBazaar鎖定鎖定烏克蘭、波蘭、荷蘭、西班牙等Telegram及Signal用戶的揭露。
而在臺灣本地的重大資安事件方面,以直播平臺17Live指控綠界科技金流系統出現漏洞的消息受廣泛關注,但雙方目前各執一詞。整體資安的推動工作上,本周有兩大焦點,分別是:我國資安院建立通用人才職能框架有新進展,已定義「12+7」種類型,年底首波培訓課程將為資安長開課,此外數位政府高峰會在30日舉行,當中不僅介紹了政府數位應用的最新發展,對這一年來重要資安進展,也有專家與官員做出說明。
【8月28日】中國駭客Flax Typhoon鎖定臺灣組織而來,發動寄生攻擊
面對臺海的緊張局勢,中國駭客鎖定臺灣的任何攻擊行動格外受到關注。上週微軟揭露的新駭客組織Flax Typhoon,就鎖定臺灣數十個企業組織下手,進行長時間的網路間諜行動,值得一提的是,駭客為了隱匿攻擊行動,大量就地取材,運用寄生攻擊(LOLBins)手法,儘可能使用最少的惡意軟體來達成目的。
無論是提升權限、建立遠端存取的管道,或是在受害組織的內部網路進行橫向移動,這些駭客大部分都利用Windows作業系統內建元件來進行,使得資安人員難以察覺異狀。
【8月29日】勒索軟體LockBit製作工具外流,不到一年出現近400個變種
惡意昭彰的勒索軟體LockBit 3.0,去年有人將製作工具流出,當時研究人員認為可能會被其他駭客用於大量產生所需的勒索軟體,這樣的情況本週終於得到證實。資安業者卡巴斯基近期透露,他們一共看到396個LockBit變種,並確認至少有四分之三是該工具產生。
值得留意的是,雖然駭客多半是應付緊急需求才使用此製作工具產生攻擊程式,大部分皆採用預設配置,但同時也貝備橫向感染的能力。
【8月30日】駭客在PDF檔案裡埋藏惡意Word文件來發動攻擊,藉此躲過資安系統偵測
迴避資安系統偵測的網路威脅滲透方式千變萬化,過去曾出現運用兩種以上檔案格式/多型態(Polyglot)檔案來散布惡意程式的手法,最近類似的攻擊行動再度出現。例如,日本電腦網路危機處理暨協調中心(JPCERT/CC)揭露的攻擊手法MalDoc in PDF,駭客製作同時擁有PDF及DOC檔案特徵的惡意文件,企圖混淆網路威脅偵測技術的判斷,研究人員指出,大部分防毒軟體會將這類內容視為PDF檔案進行解析,而無法察覺駭客在Word檔案埋藏的惡意巨集。
【8月31日】駭客組織Earth Estries從事網路間諜活動,包含臺灣在內的多國政府機關、科技業者成為目標
中國駭客攻擊行動日益頻繁。幾乎每天都會出現在資安新聞當中,但今天更誇張,幾乎全部都與他們有關。這群駭客的攻擊目標從企業組織的應用系統、行動裝置應用程式、郵件安全閘道,甚至是透過社群網站來散布各式吹捧中國、批判西方國家的訊息。這樣的威脅態勢,可說是變得越來越險峻。值得留意的是,這些攻擊行動當中,大多都把臺灣視為主要目標,我們無法再置身事外。
【9月1日】AI程式碼編譯網站Sourcegraph證實遭遇網路攻擊,起因是工程師提交程式碼出錯,導致Token外洩而被奪權
工程師不慎在程式碼裡帶入重要的帳密資料,且並未採取保護的情況,過往有不少研究人員揭露極其氾濫的現象,但如今出現真實的資安事故。AI程式碼編譯網站Sourcegraph昨(8月31日)證實遭遇網路攻擊,駭客濫用其網站管理者的權限大規模呼叫API,影響該網站的運作。
但駭客究竟如拿到管理員權限?起因竟是有工程師在提交程式碼的內容裡,不慎讓管理者的Token曝光,而讓攻擊者有機可乘。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19