回顧這一星期的資安新聞前,先來聊聊最近臺灣上市櫃公司接連發布資安事件重大訊息的現況,最近我們發布的封面故事,就是特別以此為題的報導與探討,當中整理出2023年臺灣上市櫃公司有23起資安事件相關重大訊息,並得知這些資安事故的背後,多半是勒索攻擊造成,另一方面,早已不斷受媒體關注的個資外洩消息,近一年也登上重訊版面,在我們進一步追蹤下,更是發現先前諾貝兒、雄獅遭網路駭客攻擊事件的後續消息,就有因個資外洩受個資法的情形,且開罰金額已經提高至200萬,不同於過去的20萬。

這些現象的出現,在在突顯企業經營層在看待營運風險時,需更重視勒索攻擊的危害,以及個資外洩的影響。特別的是,在我們與證交所聯繫過程中,還發現資安事件「重大性」的認定,已有明確標準可依循,上市公司的部分在1月已經完成相關修訂,上櫃公司的部分也確定即將發布。

在關注企業揭露資安事件之餘,我們還有不同資安領域的消息需要重視。

在本星期的漏洞利用消息方面,有3個重點,企業需優先因應的是蘋果與JetBrains的漏洞。
(一)蘋果修補多款產品的2個記憶體損壞漏洞CVE-2024-23225、CVE-2024-23296,都是已遭鎖定攻擊的零時差漏洞。
(二)JetBrains修補旗下CI/CD軟體平臺TeamCity的兩個漏洞,特別的是,由於該公司沒有知會通報漏洞的Rapid7、私下修補且不公開漏洞,使得Rapid7同日公開漏洞細節。後續,外界發現漏洞CVE-2024-27198已遭鎖定利用。
(三)兩個老舊漏洞近期發現遭鎖定利用,包括:2021年8月的Sunhillo SureLine OS命令列注入漏洞(CVE-2021-36380),以及去年6月的Android Pixel資訊揭露漏洞(CVE-2023-21237)。本期資安日報尚未提及,在此補上。
其他可留意的漏洞修補消息,包括VMware修補旗下多款產品的4個重大漏洞,以及臉書修補密碼重置漏洞。

在資安事件焦點方面,一開始提及勒索軟體與個資外洩的威脅態勢,本週也有多起這方面的新聞報導,我們整理如下:
●勒索軟體駭客組織Dunghill在2月29日聲稱入侵上櫃公司安瑞科技,我們取得安瑞的回應,他們表示子公司Array US於3月1日,偵測到資訊系統遭受病毒攻擊。目前調查未有客戶敏感資料外洩,也不影響營運。
●美國CISA等多個機構針對近期勒索軟體Phobos的攻擊態勢提出警告,2月有新的變種出現,主要鎖定關鍵基礎設施、地方政府、急難、教育與醫療單位。
●去年底Line用戶個資外洩事件有後續消息,原因是LYC與關係企業Naver Cloud因部分系統共用,而雙方於韓國採用的外包廠商,其員工電腦遭到惡意程式感染,因此最近日本總務省要求兩家公司應切割IT基礎架構。
●美國運通向客戶通知發生資料外洩事件,原因是第三方信用卡交易處理服務提供商的系統遭駭客入侵 ,導致有未經授權存取的情況。

還有一項針對我國而來的攻擊活動,需要大家關注。繼月前有資安業者Trellix發布報告,指出臺灣總統大選投票前一天所遭受的網路攻擊大幅增加,近日又有趨勢科技揭露這方面的態勢,指出中國駭客組織Earth Lusca在去年12月至今年1月的新一波攻擊活動中,會使用地緣政治議題為誘餌來發動網釣攻擊,並且其內容疑似盜用未發表的專家文章。由於研究報告中提到相關文章遭盜用、相關政治專家或所屬組織可能遭入侵,我們認為,上述人士需趕緊檢視自身裝置、帳號的防護,避免受害卻仍不自覺。

在資安防禦態勢上,我們注意有3個重點,主要針對開發安全與LLM的安全。

首先,開發者要注意!最近GitHub將去年推出的推送保護(Push Protection)功能,改為預設啟用。特別的是,我們發現GitHub在宣布此消息之餘,同時提到他們最近在公開儲存庫掃描時的發現:今年已偵測到上百萬筆機密資料洩漏(API金鑰、令牌與各種機密),如此大量只發生在短短兩個月內。此一情形,很有可能就是現在將Push Protection改為預設啟用的原因。

此外,前幾年美國白宮邀科技大廠解決開源安全問題時,改用記憶體安全程式語言,就是十大重點工作之一,最近美國白宮更是發布相關報告,親自呼籲科技界主動減少網路攻擊面,不要使用缺乏記憶體安全相關功能的C和C++。這樣的態勢值得臺灣政府及所有IT資訊產業關注,畢竟要打造可信賴的供應鏈生態體系,軟體開發安全亦是關鍵,尤其是各種可濫用的軟體漏洞中,記憶體安全漏洞佔了絕大多數,因此是所有程式開發相關都要設法克服的挑戰。

最後是大型語言模型(LLM)當紅,如今面對提示詞注入、模型拒絕服務,以及敏感資訊洩漏這三種模型攻擊,如何設法應對成挑戰,最近開始有資安業者發表可應對這些威脅的網頁應用防火牆(WAF),Cloudflare指出,其作用可阻擋有問題的請求輸入模型,並具備敏感資料偵測能力,可用於阻止在回應中洩漏機密資料,另一方面,也可阻止使用者將資料傳送到公用LLM。

 

【3月4日】駭客組織Savvy Seahorse從事投資詐騙攻擊並濫用DNS CNAME紀錄鎖定目標

投資詐騙的攻擊行動可說是相當氾濫,而過往研究人員察覺的資安事故當中,多半是涉及駭客如何引誘使用者上當,但最近有新型態的攻擊手法出現。

已經暗中進行超過2年的駭客組織Savvy Seahorse攻擊行動,就是這種例子,對方濫用網域名稱服務(DNS)的CNAME紀錄打造惡意流量分配系統(Traffic Distribution System,TDS),而能精確鎖定目標下手。

【3月5日】中國駭客組織Earth Lusca在臺灣總統大選前夕對關心臺海局勢的人士發動網路釣魚攻擊

上個月有資安業者Trellix揭露針對臺灣總統大選而來的網路攻擊行動,並指出攻擊行動在投票日前24個小時達到高峰,駭客的目的是收集特定候選人情資。而針對這場選舉而來的網路攻擊不僅止於此,最近有研究人員公布與此有關的資安威脅活動。

趨勢科技近期公布中國駭客組織Earth Lusca的網路釣魚攻擊,巧合的是,這起事故發生在選舉前2天,駭客疑似透過地緣政治議題來引誘使用者上鉤。

【3月6日】國家級駭客跟進利用ScreenConnect漏洞並用來散布惡意程式

2月下旬公布的ScreenConnect漏洞CVE-2024-1709、CVE-2023-1708,不久後就傳出遭到利用,而且利用這些漏洞的主要是勒索軟體駭客組織,最初被發現的是甫被執法單位圍剿基礎設施的LockBit,但隨後也傳出Black Basta、Bl00y兩個組織將漏洞用於攻擊行動。

但現在也有國家級駭客加入行列,將這項漏洞用於散布惡意軟體。Kroll旗下的威脅情報團隊發現,北韓駭客組織Kimsuky將其用於散布新的後門程式。

【3月7日】Meta旗下社群網站服務出現中斷,有3個駭客組織聲稱是他們所為

日前科技巨頭Meta旗下的社群網站臉書、Instagram、Threads同時傳出無預警大當機的情況,引起全球各界關注,但Meta始終並未說明如何發生,而這樣的情況,可能讓駭客有機可乘,假借這類事故拉擡自己的聲勢。

資安業者Cyberint發現,有3個從事DDoS攻擊的駭客組織表示是他們造成這起大當機事故,但研究人員目前尚未找到相關證據。

【3月8日】Linux惡意軟體攻擊鎖定DevOps常用的4種平臺

我們之前報導過針對雲端運算環境從事挖礦行為的攻擊行動,駭客通常運用這類環境常見的應用系統而來,利用配置不當或是尚未修補的已知漏洞入侵這些伺服器。

值得留意的是,駭客對於Docker、Hadoop、Redis,或是Confluence伺服器發動攻擊的情況,不時傳出有關事故,但在最近一起資安事故當中,駭客同時鎖定上述4種環境下手。

熱門新聞

Advertisement