近期俄羅斯駭客APT29的動作頻頻,多國政府與資安專家接連對其攻擊行動提出警告,呼籲各界強化防禦措施,以防對方從事網路間諜活動、竊取組織內部機密的情況。
但近期有一起攻擊衝著德國政黨而來,揭露此事的資安業者Mandiant認為對方別有目的,很有可能是為了影響該國政治情勢。
【攻擊與威脅】
德國政黨團體遭到俄羅斯駭客APT29鎖定,散布惡意軟體WineLoader
俄羅斯駭客過往針對歐美政府機關攻擊的情況不時發生,如今也轉移目標,瞄準特定政黨而來。
資安業者Mandiant揭露俄羅斯駭客組織APT29(亦稱Midnight Blizzard、Nobelium、Cozy Bear)的攻擊行動,對方從今年2月下午,假借基督民主聯盟(CDU)的名義寄送釣魚郵件,鎖定德國聯邦議會Bundestag的第二大政黨而來。
研究人員看到駭客聲稱邀請參加晚宴為誘餌,內容包含URL,收信人一旦依照指示操作,電腦就有可能下載ZIP壓縮檔,植入惡意程式載入工具Rootsaw,隨後攻擊者可藉此在電腦部署名為WineLoader的後門程式。研究人員表示,這是他們首度看到APT29針對政治團體的攻擊行動。
資安業者卡巴斯基公布調查2023年安卓惡意程式的情況,他們發現2021、2022年趨緩,但2023年出現惡意程式大幅增加的情況,他們阻止了近3,380萬次對行動裝置的惡意軟體、廣告軟體、具潛在風險的軟體攻擊,較2022年多出50%。
研究人員公布3款去年特別值得留意的惡意程式,分別是鎖定土耳其、偽裝成IPTV應用程式的間諜軟體Tambir,以及針對中國OEM製造、銷往俄羅斯的手機而來的Dwphon。第3個惡意程式Gigabud,則是假冒泰國及秘魯公司的名義,以提供貸款來散布,攻擊者可透過其螢幕錄影及模仿使用者點選的能力,繞過雙因素驗證(2FA)。
【漏洞與修補】
蘋果M系列處理器存在微架構旁路弱點GoFetch,恐被用於竊取加密演算法金鑰
伊利諾大學、德州大學、柏克萊加州大學、華盛頓大學、卡內基美隆大學、喬治亞理工學院的研究人員聯手,公布能針對蘋果M系列處理器的旁路攻擊手法GoFetch,他們透過「記憶體相依的資料預先讀取機制(Data Memory-dependent Prefetcher,DMP)」,從而在以常數時間為基礎的加密演算法擷取金鑰,這項弱點影響的範圍,涵蓋M1至最新的M3,並研判Pro、Max、Ultra版本的處理器也可能曝險。
研究人員指出,雖然Intel的Raptor Lake微架構也具備DMP,但由於其啟動要求較為嚴格,而具備抵禦相關攻擊的能力。
值得留意的是,他們在去年12月5日向蘋果通報此事,迄今尚未得到回應,對此,研究人員表示,他們接下來會公布概念性驗證(PoC)程式碼。
研究人員揭露電子門鎖漏洞Unsaflok,影響1.3萬家旅館、300萬把門鎖
一群研究人員公布在2022年下旬找到的電子門鎖漏洞Unsaflok,攻擊者可利用一組偽造的房卡,來解開Dormakaba製造的Saflok門鎖,估計影響131個國家、1.3萬套系統、超過300萬扇門。他們在2022年9月通報此事後,該門鎖製造商著手處理,並於2023年11月開始對部分旅館進行處理,截至今年3月,約有36%完成軟體更新或是更換設備處理。
研究人員指出,攻擊者只需從旅館取得其中1張RFID房卡,並搭配MIFARE Classic卡片及寫入資料的工具,就可能發動Unsaflok攻擊。雖然研究人員尚未發現漏洞被實際利用的跡象,但由於這種電子門鎖已銷售長達36年,他們不排除已出現遭到利用的情況。
微軟三月例行更新導致Windows Server當機,22日發布緊急更新
3月12日微軟發布例行更新(Patch Tuesday),傳出IT人員為Windows Server 2022、2016部署修補程式KB5035857、KB5035855之後,造成伺服器當機及服務停擺的情形,經調查是本機安全認證子系統服務(LSASS)占用大量記憶體所致,當時微軟承認獲報並著手處理,現在提供修補程式。
22日微軟針對Windows Server 2022、2016、2012 R2發布多個系統更新公告,分別是KB5037422、KB5037423、KB5037426,並指出這次的更新程式,主要是因應安裝12日發布的修補軟體後,影響LSASS的情況,若不處理,將有可能導致網域控制器(DC)的記憶體洩露。
資料來源
1. https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
2. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037422-os-build-20348-2342-out-of-band-e8f5bf56-c7cb-4051-bd5c-cc35963b18f3
3. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037423-os-build-14393-6799-out-of-band-1775cda2-4bb6-43a9-9fd4-ddc3528d3408
4. https://support.microsoft.com/en-us/topic/kb5037426-update-to-address-a-known-issue-that-affects-lsass-in-windows-server-2012-r2-eda1002a-4b4d-4c99-8383-b0e2bab5c1d0
【資安產業動態】
DEVCORE資安研討會登場,揭露最新攻擊技術手法與企業資安破口
以紅隊演練聞名的臺灣資安業者DEVCORE戴夫寇爾,於3月16日舉行年度研討會DEVCORE Conference 2024,探討駭客創新攻擊技術和手法,以及他們所看到的實際企業資安風險,吸引近400名來自資安業界、學界人士參與。
本次戴夫寇爾探討的議題,涵蓋AD CS憑證服務(Active Directory Certificate Services)配置不當帶來的危害、網頁應用程式防火牆(WAF)的深度解析、旁路攻擊新型態手法、紅隊工具開發的心法等。
特別的是,這次也透露他們去年參與Pwn2Own 2023的心路歷程,而且,該公司首度特別邀請其他研究人員,由奧義智慧的專家來從藍隊身分、紅隊視角,提供不同的攻擊思路的探討。
專門探討網路及電信安全的資安會議Prague Cyber Security Conference 2024於3月19、20日舉行,數位發展部次長闕河鳴與資通安全署副署長鄭欣明率團參加,並拜會捷克國家網路及資訊安全局(NÚKIB),就臺捷資安合作議題進行交流。
闕河鳴表示,海底電纜對於國內外通訊、安全、經濟至關重要,近年來遭受越來越多破壞、干擾與網攻威脅,數位部將持續盤點不同情境對通訊網路造成的風險,規畫多種異質通訊備援網路因應。他舉出去年3月馬祖連接臺灣的海纜中斷為例,當時數位部隨即切換為衛星通訊,以確保通訊韌性。
【其他新聞】
竊資軟體StrelaStealer透網路釣魚攻擊歐洲、美國超過一百個組織
Mozilla發布Firefox 124.0.1、115.9.1,修補Pwn2Own揭露的零時差漏洞
近期資安日報
【3月22日】研究人員公布無限循環的阻斷服務攻擊手法Loop DoS
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-22
2024-04-26
2024-04-22
2024-04-22