這星期釋出的安全性漏洞消息,以ConnectWise在19日修補遠端桌面軟體ScreenConnect的漏洞CVE-2024-1709,最受關注,因為在公告的隔日,就發現有駭客開始鎖定利用,該業者也在20日示警、公布入侵威脅指標(IoC),並在21日針對已結束維護支援服務的用戶內部環境建置版本,提供最新升級。

在資安威脅焦點方面,最大消息就是勒索軟體LockBit組織的伺服器被攻破。在英、美等10國家聯合發起的打擊行動之下,已接管其技術基礎設施與資料外洩網站,並凍結相關加密貨幣帳戶,美方也拘留兩名利用LockBit服務的聯盟夥伴,並公布新起訴兩名發動攻擊的俄羅斯人。

由於全球已有上千家企業組織遭受LockBit的危害,因此這次國際查緝行動具有相當大的意義。我們也注意到,在此次行動成果公布後,在打擊勒索軟體網路犯罪的No More Ransom計畫網站,已釋出由日本警方打造的相關解密工具。

還有前陣子農曆過年期間,有南韓研究人員發表破解勒索軟體Rhysida的論文,如今在No More Ransom平臺上,也有資安業者Avast釋出的相關解密工具。

另一件大消息,是中國資安業者「安洵信息」傳出資料外洩,意外曝露該國政府對全球各國發動網路間諜行動的情況,引發國際關注。研究人員指出,這些資料很有可能來自該公司專門研發間諜軟體的部門。根據外洩資料的內容顯示,該公司替客戶(中國政府)滲透印度、泰國、越南、韓國、臺灣、馬來西亞、北約組織的政府機關,曾開發攻擊工具RAT木馬程式Hector,以及外觀與行動電源相似的「Wi-Fi 抵近攻擊系統」,同時也經營DDoS攻擊業務,還有APT攻擊與間諜行動業務。日後是否有更進一步的研究分析,值得持續追蹤。

關於最新威脅態勢的揭露上,我們注意到4個值得留意的技術手法與狀況:

●資安業者揭露網釣簡訊攻擊背後的新手法Smishing,他們發現濫用AWS SNS簡訊服務的惡意Python腳本,並指出這是雲端攻擊工具中前所未見的技術。

●駭客不斷挖掘出Ivanti Connect Secure的零時差漏洞並成功利用,因此有研究人員針對這樣的狀況進行分析,發現其系統採用許多老舊、已終止支援的元件。

●關於網路犯罪組織在臉書投放詐騙廣告,資安業者揭露使用竊資軟體VietCredCare的攻擊者,正鎖定大量越南企業臉書帳號,並在接管帳號後用以實施臉書詐騙。

●網路拓樸架構呈現工具SSH-Snake被駭客濫用於攻擊行動,資安業者指出,這是竊取SSH金鑰的新手法,該工具還具有主動修改和無檔案的特性,若採用靜態偵測的作法,會不容易找到。

還有多個惡意威脅的最新動向,源自不同資安業者的揭露,包括勒索軟體RansomHouse組織使用新的自動化工具MrAgent,來鎖定虛擬化平臺VMware ESXi平臺,以及惡意程式TicTacToe Dropper,殭屍網路病毒Glupteba,還有商業間諜公司掌握「多媒體簡訊指紋(MMS Fingerprint)」技術的細節。

最後值得一提的是,國內再傳上市櫃公司遭遇資安事件,已是今年第7起上市櫃公司因資安事件發布重大訊息。以散熱風扇聞名的上市大廠建準,19日公告當天凌晨遭遇加密攻擊。該公司表示,已確認公司資料沒有外流,資訊系統當日可修復。

 

【2月19日】Ivanti Connect Secure採用極為老舊的Linux核心及元件而存在數千個漏洞

最近Ivanti頻繁對於Connect Secure漏洞發布資安公告,並指出部分漏洞已確認被用於攻擊行動,使得這套SSL VPN系統的安全問題再度浮上檯面,然而有研究人員發現,這套系統採用大量早就已經終止支援的元件,而曝露於許多已知漏洞的資安風險。

這也突顯Ivanti在2020年買下Pulse Secure公司之後,歷經多次資安漏洞相關事故與爭端之後,此系統竟然被發現至今仍延用老舊架構,並未逐步汰換、更新元件,而使得攻擊者有機會藉由已知漏洞上下其手。

【2月20日】勒索軟體駭客組織LockBit的基礎設施傳出遭到執法單位圍剿

自2019年出現的勒索軟體LockBit在全球橫行,是最近2至3年最具威脅的勒索軟體。根據美國政府的統計,自2020年該勒索軟體駭客組織已發起超過1,700次攻擊,以美國而言,他們向受害組織總共索討了9,100萬美元的不法所得。這些駭客甚至還設立漏洞懸賞專案,尋求各界尋找該勒索軟體的漏洞,囂張的程度可見一斑。

如此猖獗的態勢,也引起多個國家的執法單位採取行動。最近有許多在追蹤該勒索軟體動態的研究人員發現,執法單位已拿下該組織暗網的網站,這些駭客也對他們的附屬組織證實遭遇「資安事件」。

【2月21日】中國資安業者驚傳資料外洩,意外曝露中國政府對全球各國從事網路間諜行動的情況

中國政府資助的駭客佯裝成資安公司,在全球從事網路間諜活動,過往通常是藉由研究人員找到的蛛絲馬跡,才能揭露駭客暗中從事多年的行為,但最近有一批文件的曝光,間接反映了這樣的情形,而引起資安圈的高度討論。

 

根據一位臺灣資安研究員的揭露,中國資安業者「安洵信息」發生內部資料外洩,而導致中國當局網路間諜活動曝光,當中提及該公司從事網路間諜行動的經驗,並說明他們使用的作案工具,雖然資料的來源與真實性仍有待進一步確認,但根據其內容來看,他們提供了各式各樣的網路攻擊服務,很有可能聽從中國政府的指示對指定目標下手。

【2月22日】鎖定越南而來的竊資軟體VietCredCare意圖挾持企業臉書帳號,該國逾三分之二省份出現受害組織

鎖定企業臉書帳號的大規模網路攻擊行動,去年7月、8月,資安業者WithSecure、Zscaler揭露名為DuckTail的竊資軟體攻擊行動,這起事故是越南駭客特別針對數位行銷及廣告領域的人才下手,藉由職場社群網站LinkedIn尋找目標。

但類似的手法,最近又有新的發現。資安業者Group-IB發現另一起專門針對越南企業組織而來的攻擊行動,對方使用另一款竊資軟體VietCredCare,從事攻擊行動迄成約有一年半,受害組織遍及當地三分之二省份。

【2月23日】遠端桌面連線軟體ScreenConnect重大漏洞被用於散布勒索軟體LockBit

本週多國執法單位宣布接管勒索軟體LockBit的基礎設施,但這些駭客疑似隨即東山再起,利用甫公布的重大漏洞發動攻擊。

資安業者Sophos、Huntress發現,有人利用ScreenConnect的漏洞CVE-2024-1708、CVE-2024-1709發動攻擊,從而在目標組織執行勒索軟體LockBit,其中包含與911相關的系統和醫療機構,研究人員推測,這些攻擊很有可能是尚未遭到取締的LockBit附屬團體所為。

熱門新聞

Advertisement