上週JetBrains發布CI/CD開發工具TeamCity 2023.11.4版,當時修補2個高風險層級的身分驗證漏洞,並衍生該軟體業者與通報漏洞的研究人員對於漏洞公開出現意見不一致的狀況。如今,這些漏洞已被用於實際攻擊行動──資安業者GuidePoint在惡名昭彰的勒索軟體駭客「變臉」近期攻擊行動裡,發現駭客運用上述漏洞入侵目標組織,部署後門程式以進行後續攻擊行動。由於這項開發工具相當普及,且針對這套系統的攻擊行動這一年來越來越常出現,IT人員應儘速套用相關緩解措施。

 

【攻擊與威脅】

「變臉」勒索軟體利用CI/CD開發工具TeamCity漏洞從事攻擊行動

3月4日JetBrains修補旗下CI/CD開發工具TeamCity的身分驗證繞過漏洞CVE-2024-27198、CVE-2024-27199(CVSS風險評分為9.8、7.3),隔日Shadowserver基金會發現有嘗試利用漏洞的跡象,如今傳出有駭客組織將其用於攻擊行動。

資安業者GuidePoint揭露勒索軟體駭客組織「變臉(BianLian)」近期的攻擊行動,指出駭客利用上述TeamCity漏洞得到受害組織網路環境的初始存取權限,然後在伺服器建立新的使用者帳號,並下達惡意命令,以便進行橫向移動及後續攻擊。

值得留意的是,攻擊者於TeamCity伺服器嘗試部署數個Go語言打造的後門程式DLL檔案,但都被防毒軟體的特徵碼識別為有害並攔截,於是,對方又使用以PowerShell打造的後門程式,再度出手。

法國政府遭遇前所未有的網路攻擊,駭客組織Anonymous Sudan聲稱是他們所為

3月11日法國總理艾塔爾(Gabriel Attal)辦公室證實,10日晚間有多個政府部門遭遇「前所未有強度」的網路攻擊,並指出11日下午攻擊造成的影響已經減弱,大部分受害網站已恢復服務。

而對於攻擊者的身分,Anonymous Sudan等多個駭客組織在Telegram頻道宣稱,他們參與了這起攻擊行動,對法國政府的基礎設施進行分散式阻斷服務(DDoS)攻擊,並造成相當廣泛的損害。

值得留意的是,雖然Anonymous Sudan曾表明,對俄羅斯不利的國家及組織將會是他們下手的目標,但有資安專家認為,目前無法確定這起資安事故與俄羅斯有關。

雲端檔案共享服務Dropbox遭到濫用,駭客將其用於網釣攻擊

威脅情報業者Darktrace指出,他們偵測到濫用雲端檔案共享服務Dropbox的網路釣魚攻擊,研究人員先是在1月25日發現由no-reply@dropbox[.]com寄送的可疑電子郵件,目標是該公司SaaS平臺的16名內部使用者,這些電子郵件內含網路連結,一旦收信人點選,就會導向存放在Dropbox的PDF檔案,而該PDF文件含有另一個連結,將會把收信人帶往名為mmv-securitytop的網域,並要求在冒牌的微軟365登入網頁輸入帳密資料。

研究人員指出,雖然他們的電子郵件安全系統過濾了這封信件,但攻擊者後續又在29日再次寄信,要求使用者開啟前一封信的PDF檔案。他們循線進行調查,發現攻擊者透過ExpressVPN、HideMyAss VPN等服務埋藏行蹤,並透過有效的Token繞過雙因素驗證(MFA)。

駭客組織Magnet Goblin鎖定甫公布的已知漏洞,散布惡意程式

資安業者Check Point提出警告,他們發現以經濟利益為動機的駭客組織Magnet Goblin,專門利用甫被公布的已知漏洞,試圖在企業尚未修補的空窗期,入侵可透過網際網路存取的伺服器,從而在Windows與Linux電腦上植入自行開發的惡意程式,這些惡意程式包含了NerbianRAT、MiniNerbian,以及Warpwire JavaScript stealer。

研究人員指出,這些駭客鎖定的漏洞很廣泛,包含SSL VPN系統Ivanti Connect Secure漏洞CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893,以及電子商務網站Magento漏洞CVE-2022-24086、資料圖像化分析系統Qlik Sense漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365。此外,他們發現駭客也疑似針對訊息導向中介軟體ActiveMQ、遠端桌面連線軟體ScreenConnect,出現攻擊的跡象。

WordPress外掛程式Popup Builder已知漏洞遭到利用,對3,300個網站植入惡意程式

今年1月資安業者Sucuri發現鎖定WordPress網站的攻擊行動Balada Injector,當時駭客針對外掛程式Popup Builder的已知漏洞CVE-2023-6000(CVSS風險評分為6.1)而來,至少有6,700個網站受到影響。

3月7日研究人員提出警告,針對上述漏洞的攻擊行動,最近3週出現再度升溫的現象,他們在1,170個網站偵測到Balada Injector,他們透過PublicWWW網站進行掃描,結果發現超過3,300個網站受害。

 

【資安產業動態】

為協助臺灣產業加入國際衛星通訊領域供應鏈,工研院聯手美國在臺協會舉辦資安研討會

3月8日美國在台協會(AIT)、太空中心(TASA)、工研院(ITRI)、台灣太空產業發展協會(TSIDA)、台灣低軌衛星產業聯誼會(TLEOSIA)聯手,舉辦「台美衛星資訊安全國際研討會」,聚焦國際衛星通訊供應鏈資安趨勢,吸引進百位產官學研代表與會。

工研院指出,本次研討會的主要目的在於,幫助國內業者了解最新衛星通訊資安知識與需求,促進資訊安全系統整合,增加國際合作機會,進而讓臺灣廠商有更多機會加入國際乾淨供應鏈,提升我國對太空安全挑戰的應對能力。

資料來源

1. https://www.itri.org.tw/ListStyle.aspx?DisplayStyle=01_content&SiteID=1&MmmID=1036276263153520257&MGID=113031110401892043
2. https://tsida.tw/news_detail_207.html

博通打算將賽門鐵克、Carbon Black整併,成立新的企業資安業務部門

去年博通(Broadcom)完成對VMware的併購,並打算出售旗下的資安公司Carbon Black,今年2月底傳出決策大轉彎,因為他們暫停賣掉該公司的計畫,但最近又有新的進展。

3月7日博通宣布,他們決定將Carbon Black與旗下另一家資安業者賽門鐵克合併,組成博通新的企業資安部門,將對這兩個品牌進行重大投資,並表明他們將投資研發,改善、延長客戶產品的使用壽命。在這次公布的訊息當中,博通也特別提及人才的部分,預告他們將在工程研發層面進行大量投資,並指出這兩家資安公司都在印度有工程研發據點,強調他們打算挹注更多資源,沒有打算縮減員工人數。

 

【資安防禦措施】

擔憂危害國家安全,美國眾議院要求抖音脫離母公司字節跳動

2020年8月美國前總統川普以國安為由發布行政命令,表明除非美國公司接手抖音(TikTok),否則將封鎖該短影音平臺進入美國市場,最後不了了之,現任總統拜登也在2021年撤銷禁令,但最近這項議題重新受到眾議院關注。

3月5日中國共產黨戰略競爭特別委員會(Select Committee on the Chinese Communist Party)在美國眾議院提出《保護美國人免受外國對手應用程式侵害法案(Protecting Americans from Foreign Adversary Controlled Applications Act)》,其中提及抖音等由字節跳動(ByteDance)經營的應用程式,由於這類應用程式可能會受到中國政府控制,而構成國家安全風險,除非這些應用程式透過撤資的方式與中國企業脫鉤,否則他們將禁止這類應用程式在美國提供服務。值得留意的是,上述法案由民主黨與共和黨兩黨議員共同提出,不再只是特定黨派的意見。

 

【其他新聞】

研究人員針對微軟組態管理系統SCCM不當配置造成的威脅提出警告,並提供檢測工具

蘋果應用程式市集App Store出現冒牌的Leather加密貨幣錢包

駭客聲稱握有Okta去年資安事故外流客戶資料,遭到該公司否認

加密電子郵件服務Tuta Mail採用量子加密協議保護電子郵件

研究人員打造能針對生成式AI發動攻擊的蠕蟲程式ComPromptMized

 

近期資安日報

【3月11日】為隱匿攻擊流量,駭客濫用虛擬化平臺QEMU設置網路通訊隧道

【3月8日】Linux惡意軟體攻擊鎖定DevOps常用的4種平臺

【3月7日】Meta旗下社群網站服務出現中斷,有3個駭客組織聲稱是他們所為

熱門新聞

Advertisement