一週前微軟、HPE向美國證券交易委員會(SEC)坦承,他們的電子郵件系統遭到俄羅斯駭客APT29入侵,由於採用了相同的雲端郵件系統,又是相同的駭客組織所為,當時外界懷疑可能有其他公司受害,如今微軟證實了這項說法。
微軟在25日針對資安事故的發生過程提出進一步的說明,並根據他們後續的調查結果指出,這些駭客也同時對其他公司發動攻擊,呼籲Exchange Online用戶應採取相關措施防範。
【攻擊與威脅】
針對11月遭到俄羅斯駭客組織APT29入侵高階主管電子郵件信箱的事故,微軟揭露更多細節
1月12日微軟察覺遭到別名為Midnight Blizzard、Nobelium的俄羅斯駭客組織APT29入侵,對方自11月進行密碼噴濺(password spray)攻擊,企圖從高階主管和資安部門員工的電子郵件打聽情報,在19日公布初步調查結果之後,現在他們透露更多細節。
25日微軟指出,這些駭客利用密碼噴濺入侵未被用於正式生產環境的使用者帳號,這些帳號並未透過雙因素驗證(MFA)保護,讓對方能夠得逞,而且,駭客透過代理伺服器從事攻擊行動,並只針對特定帳號進行極為少量次數的帳密嘗試,而能在不被微軟發現的情況下得逞。接著,這些駭客找到用於測試的OAuth舊版應用程式並進行破壞,設法提升存取微軟內部網路環境的權限,然後建立其他的惡意OAuth應用程式。
過程中駭客建立新的使用者帳號,用於批准這些惡意OAuth應用程式在微軟公司的環境執行,再透上述的測試版應用程式,對此帳號授予Exchange Online的full_access_as_app角色,從而存取郵件帳號。值得留意的是,根據微軟的調查,他們並非APT29的唯一目標,而先前證實郵件系統遭駭的HPE,後續未透露更多消息,因此無法確定他們是否為這波攻擊駭客鎖定的目標。
人工智慧新創Anthropic證實資料外洩,起因是第三方供應商遭駭
根據科技新聞媒體Windows Reports、VentureBeat的報導,打造聊天機器人Claude人工智慧新創於1月22日得知,他們的承包商不慎向第三方廠商發送該公司客戶資料,導致截至2023年12月31日為止的應收帳款資料外流,這些資料包含銀行或是付款資訊,但不包括敏感個資。而對於這起事故發生的原因,Anthropic表示是承包商疏失,並非他們的系統遭駭,也並未察覺這起事故造成的攻擊行動。
由於這起事故的時間點,正好發生在美國聯邦貿易委員會(FTC)打算著手調查人工智慧業者在投資與合作之間,是否會造成市場壟斷,Anthropic正是其中之一,上述資料外洩事故是否有所關連?該公司發言人強調與FTC調查無關,並拒絕發表評論。
資料來源
1. https://windowsreport.com/anthropics-data-breach-letter/
2. https://venturebeat.com/ai/anthropic-confirms-it-suffered-a-data-leak/
針對資料外洩事故,基因檢驗業者23andMe證實駭客竊取相關資料長達半年而未曾察覺
10月份基因檢驗業者23andMe傳出遭到入侵,該公司先後於10月、12月,向美國證券交易委員會(SEC)通報此事,截至12月,估計受到影響使用者人數約有690萬,最近該公司透露進一步的資訊。
根據23andMe向加州總檢察長提交的法律文件,駭客自4月29日至9月27日,藉由帳號填充(credential stuffing)攻擊手法,竊得用戶的基因遺傳資料,並將部分公布於駭客論壇BreachForums、23andMe非正式的用戶Reddit論壇(subreddit),當中包含約100萬名德裔猶太人、410萬名英國民眾基因資料。
該公司亦透露駭客存取了用戶帳號裡的其他資訊,包含透過基因資料分析而得的健康報告。此外,假若用戶使用了DNA親屬鑑定功能,他們的親屬及家譜資料也可能遭竊。
英國化妝品業者Lush證實遭到網路攻擊,疑為勒索軟體駭客組織Akira所為
1月11日英國美妝製造暨零售業者Lush發布公告指出,他們遭遇網路攻擊事件,並尋求鑑識專家協助進行全面調查,近期有駭客宣稱是他們所為。
根據Computer Weekly、The Register的報導,26日勒索軟體駭客組織Akira聲稱入侵了Lush,並從該公司內部環境竊得110 GB的資料,內含護照資料等個人檔案、會計及財務資訊、正在進行的專案、客戶資料等。Computer Weekly表示,他們無法驗證駭客說法的真實性;The Register則認為,護照很有可能是聘雇員工收集的資料,推測駭客存取了含有員工資料的系統。
而對於這起事故的發生經過,Computer Weekly取得資安業者Sophos的說法指出,事發至今Lush營運並未出現明顯中斷的現象,對方很有可能單純向其勒索,但究竟駭客有無加密該公司檔案,仍不得而知。
資料來源
1. https://www.computerweekly.com/news/366567932/Akira-ransomware-gang-claims-Lush-cyber-attack
2. https://www.theregister.com/2024/01/26/akira_lush_ransomware/
MFT檔案傳輸系統GoAnywhere存在身分驗證繞過漏洞,近800臺主機曝險
1月22日資安業者Fortra發布資安公告,指出他們在12月初得知MFT檔案傳輸系統GoAnywhere存在身分驗證繞過漏洞CVE-2024-0204,一旦攻擊者加以利用,就有機會在未經授權的情況下,遠端透過網頁管理介面建立具有管理員權限的使用者,影響6.0.1至7.4.0版的GoAnywhere,CVSS風險評為9.8分,該公司於12月7日發布的7.4.1版修補上述漏洞。
1月23日資安業者Horizon3揭露對於這項漏洞的分析結果,並公布概念性驗證程式碼(PoC),利用此漏洞對目標系統的路徑穿越弱點存取名為InitialAccountSetup.xhtml的檔案,並啟用初始帳號設定畫面,從而建立新的管理員帳號。研究人員也建議IT人員,應透過網頁管理介面進行檢查,是否存在由攻擊者建立的管理者帳號,確認系統有無遭到入侵的跡象。
而對於受到影響的範圍,根據資安業者Censys的調查,他們在24日確認有近170臺主機可能曝險,其中有超過100臺在美國、逾6成管理介面為Amazon、Microsoft Azure、Google Cloud代管;資安新聞網站Cybersecurity Dive根據Shadowserver基金會的威脅情報平臺偵測結果指出,在25日有近800臺執行個體尚未修補漏洞(編按:臺灣有13臺),但大多數的網頁管理介面並未曝露於網際網路,後續情況有待進一步觀察。
資料來源
1. https://www.fortra.com/security/advisory/fi-2024-001
2. https://www.horizon3.ai/cve-2024-0204-fortra-goanywhere-mft-authentication-bypass-deep-dive/
3. https://censys.com/goanywhere-mft-vulnerabilities-are-going-nowhere-for-now/
4. https://www.cybersecuritydive.com/news/goanywhere-unpatched-critical-CVE/705759/
【漏洞與修補】
首屆汽車漏洞挖掘競賽Pwn2Own Automotive結果出爐,找出49個漏洞、發出130萬美元獎金
資安業者趨勢科技旗下的漏洞懸賞專案Zero Day Initiative(ZDI)於1月24至26日在日本東京,首度針對汽車資安舉辦漏洞挖掘競賽Pwn2Own Automotive,參賽團隊總共在特斯拉電動車、充電樁、車載資訊系統找到49個漏洞,並得到1,323,750美元獎金。26日比賽結果出爐,由資安業者Synacktiv組成的隊伍以50個大師點數得到冠軍,奪下世界破解大師(Masters of Pwn)的稱號,並抱走45萬美元獎金。
值得一提的是,本次競賽得到最高獎金的漏洞出現於比賽的第1天,該漏洞存在於特斯拉的數據機元件上,Synacktiv成功執行了3個臭蟲的攻擊鏈,並得到10萬美元、10個大師點數。
資料來源
1. https://www.zerodayinitiative.com/blog/2024/1/24/pwn2own-automotive-2024-day-one-results
2. https://www.zerodayinitiative.com/blog/2024/1/24/pwn2own-automotive-2024-day-two-results
3. https://www.zerodayinitiative.com/blog/2024/1/25/pwn2own-automotive-2024-day-three-results
【其他新聞】
Go語言惡意程式CherryLoader偽裝成筆記應用程式散布
烏克蘭能源、交通、郵政機構連續遭遇俄羅斯的網路攻擊,導致服務受到衝擊
思科修補Unified Communications企業協作系統重大漏洞
近期資安日報
【1月26日】中國駭客組織鎖定當地知名應用程式進行軟體供應鏈攻擊並部署間諜程式Nspx30
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-11-29
2024-11-15
2024-11-20