文/羅正漢 | 2023-11-13發表

在這一週漏洞利用消息中,今年5月曾發動MOVEit Transfer零時差漏洞攻擊的駭客組織,近期有了新的目標,成為最大關注焦點,還有兩個已知漏洞遭攻擊者鎖定利用的情形也必須留意。

(一)IT服務管理軟體供應商SysAid在11月8日修補已遭利用的零時差漏洞CVE-2023-47246,並說明微軟威脅情報團隊已確定幕後攻擊者是勒索軟體駭客組織Lace Tempest(亦稱Clop、TA505),由於該組織在今年5月底曾發動MOVEit Transfer零時差漏洞攻擊,因此格外引發關注。目前,已陸續有資安業者說明,在10月30日、11月2日就發現該漏洞被利用於攻擊行動的跡象。
(二)Atlassian在10月31日修補旗下DevOps協作平臺Confluence重大漏洞CVE-2023-22518,有資安業者發現11月5日該漏洞正開始被用於攻擊行動,並造成Confluence伺服器感染勒索軟體Cerber。
(三)我們新發現這一周資安日報未提及的漏洞利用消息,是關於今年4月底資安業者揭露服務定位協定(Service Location Protocol,SLP)的高風險漏洞CVE-2023-29552,當時指出駭客可藉此漏洞發動DoS攻擊,並警告存在此漏洞的裝置種類與數量都多,包括許多美國財富1000強的企業,在最近11月8日,該漏洞發現被攻擊者實際利用於攻擊行動。

本周其他重要的漏洞修補消息方面,包括:威聯通修補旗下NAS作業系統2個重大漏洞,Veeam針對旗下IT監控解決方案Veeam ONE修補兩個重大漏洞。此外,ZDI本周公開4個Exchange零時差漏洞,呼籲用戶採取緩解,並說明9月已通報微軟,微軟則說明其中之一在8月已修補,其餘則評估沒有立即修補必要。

在威脅事件焦點方面,我們看到持續有不同產業遭遇資安事件的情形,例如:
●雲端SIEM平臺業者Sumo Logic公告資安事故,察覺自家使用的雲端服務遭駭。
●跨國聯鎖五金零售業者Ace Hardware公告發生資安事故,大部分的IT系統皆面臨中斷或暫停運作的情況。
●樂高市集BrickLink遭網路攻擊,有少部分帳號遭未經授權存取並被用來行騙。
●印度政府機關遭駭客組織SideCopy利用WinRAR漏洞攻擊被資安業者揭露
●柬埔寨政府遭中國駭客使用基礎設施偽裝成雲端備份服務的方式攻擊被資安業者揭露

另一關注焦點在於,10月下旬Okta客戶支援系統遭駭,有了後續消息。該公司在11月初揭露調查結果,指出駭客存取的資料影響了134家客戶,並指出攻擊者利用Okta系統之間溝通的Service Account,執行攻擊行動,我們也特別注意到,Okta所公布的事件起因,值得企業警惕:他們認為這起事件可能與員工Google帳號遭駭有關,因為該員工曾在公司筆電上登入個人Google帳號,導致公司的服務帳戶帳密儲存到個人Google帳戶。

在新興威脅態勢上,有惡意程式開發者宣稱,Google Calendar的事件描述可被轉換成C2加以濫用,這類隱密攻擊手法,引起資安界的討論與關注。其他一些惡意活動被揭露的消息,也不容輕忽,包括:透過PyPI套件散布惡意軟體BlazeStealer的情形,透過企業臉書帳號發布惡意廣告散布NodeStealer竊資,透過WordPress網站下達攻擊命令的惡意程式GootLoader變種,以及名為Socks5Systemz的代理伺服器殭屍網路被揭露等。

 

【11月6日】濫用企業臉書帳號散布NodeStealer竊資軟體的攻擊行動再度出現,想看裸照的使用者是目標

利用企業臉書帳號來散布竊資軟體NodeStealer的攻擊行動,約莫半年前開始出現,迄今已發生數起。這些攻擊行動的共通點,在於駭客的主要目標,都是鎖定經營企業臉書帳號的使用者,或是想要牟取相關職務的人士。

但在近期發生的一起攻擊行動裡,駭客改變了攻擊目標,針對一般的使用者下手,在短短10天內就有10萬人上當。

【11月7日】鎖定Atlassian Confluence重大漏洞的攻擊行動出現,駭客透過勒索軟體Cerber加密伺服器的檔案

最近訊息導向中介軟體ActiveMQ、DevOps協作平臺Confluence分別出現重大漏洞CVE-2023-46604、CVE-2023-22518,如今皆有駭客對其發動勒索軟體攻擊、加密檔案,而造成災情。

其中,值得留意的是針對Confluence的攻擊行動,因為過程中駭客不只利用最近才修補的漏洞,還串連另一個上個月揭露的重大漏洞進行攻擊,這代表受害組織兩個漏洞都還沒修補,而讓對方有機可乘。

【11月8日】駭客組織SideCopy利用WinRAR高風險漏洞發動攻擊,針對印度政府機關而來,Linux電腦也是目標

長期鎖定印度政府機關、軍事單位的駭客組織SideCopy,最近發起了新的攻擊行動,主要是透過WinRAR漏洞CVE-2023-38831,對Windows電腦植入多種惡意程式。

但與過往攻擊行動不同之處,在於這些駭客也使用相同的基礎設施,開始針對Linux主機散布惡意程式,這很可能與印度政府打算導入此種作業系統的政策有關。

【11月9日】駭客藉由PyPI套件散布BlazeStealer竊資軟體,對開發人員的電腦上下其手,甚至造成電腦無法使用

利用惡意開源套件鎖定開發人員的攻擊行動,近期可說是越來越頻繁,但大部分往往出現不到1個月就被研究人員發現、向套件儲存庫經營團隊通報。而最近發生的一起攻擊行動中,駭客從今年初陸續發布惡意PyPI套件,當中潛藏竊資軟體BlazeStealer,直到最近才被揭露。

特別的是,這起攻擊行動當中,駭客相當節制、低調,在10個月內,僅上架了8個惡意套件,而不像大部分同類型的事故,往往在短短的一、兩個星期當中,上架數十個、甚至是數百個套件。

【11月10日】ChatGPT與相關API服務發生間歇性中斷事故,OpenAI坦承是遭遇大規模DDoS攻擊所致

駭客組織Anonymous Sudan近期的攻擊行動不時傳出,但大部分都針對歐美國家的政府機關與知名企業而來,透過DDoS攻擊癱瘓他們的網站來表達訴求。而在最近針對OpenAI的攻擊行動當中,出現了更為顯著的影響,因為Anonymous Sudan直接讓OpenAI的重要業務停擺。

值得留意的是,這起攻擊行動造成大型語言模型ChatGPT出現間歇性停擺的時間,超過一整天,影響程度有待觀察。

 

iThome Security

熱門新聞

Advertisement