在這一星期有多個已知漏洞出現首度遭利用的消息,其中1個是短短一週前才修補,就發現被利用於攻擊行動,因此特別受關注,那就是Fortinet端點管理伺服器FortiClient EMS的漏洞CVE-2023-48788。

其他近期確認遭鎖定利用的已知漏洞,還包括:微軟SharePoint Server的漏洞(CVE-2023-24955),Ivanti EPM CSA的漏洞(CVE-2021-44529),以及門禁解決方案Nice Linear eMerge E3-Series OS的漏洞(CVE-2019-7256)。後兩項本期資安日報尚未提及,一併補上。

另補充周末一則最新消息是關於XZ Utils資料壓縮程式遭植入後門,紅帽已指派漏洞CVE-2024-3094,由於此事件涉及SSHD(Secure Shell Daemon)供應鏈攻擊,正受廣泛關注。

關於零時差漏洞攻擊的最新態勢,持續受大眾關注,隨著2023年過去,最近Google公布這方面的年度報告,我們認為,有3個現象值得大家關注:(一)針對第三方元件攻擊顯著增加;(二)針對企業裝置、資安產品攻擊,比往年增長近5成,(三)中國政府支持駭客組織發動的攻擊大增,去年利用了12個零時差漏洞發動攻擊。

此外,關於上述提到中國駭客組織的危害,最近另一起資安新聞也提到這方面的狀況。最近美國方面有新的消息,該國司法部起訴7名參與APT31的中國公民,其財政部也宣布制裁武漢曉睿智科技(Wuhan XRZ),已確認這是一家幌子公司,背後是負責APT 31行動的中國湖北省國家安全局設立。在此同時,還有多國網路安全機構與執法單位,出面指控近年遭到中國政府支持駭客組織的攻擊,包括英國、芬蘭、紐西蘭與澳洲等。

在最近的資安威脅態勢上,殭屍網路TheMoon的攻擊活動,是本星期的一大焦點事件。這是因為,雖然它的攻擊目標都是挾持生命週期終止(EOL)的家用及小型辦公室(SOHO)路由器、物聯網設備,但最近短短72小時內,竟有超過6千臺華碩路由器被攻佔。

在其他威脅態勢方面,有勒索軟體與網釣工具的揭露,值得企業與資安研究人員重視,還有一些攻擊技術與資安風險的揭露,雖然存在於不同領域,但可能的危害情境貼近於生活日常,引發許多人的好奇與重視,我們整理如下:

●勒索軟體Agenda的攻擊在去年底顯著增加,如今更是發現,攻擊活動中會利用嵌入勒索軟體檔案的PowerShell指令碼,對VMware ESXi、vCenter進行橫向感染,竄改ESXi主機root密碼。

●網路犯罪領域有新的攻擊工具出現,被不同資安業者揭露,例如,半年多前現身的Tycoon 2FA的AiTM網釣攻擊套件,最近有被廣泛使用的情形;還有網路釣魚套件工具包Darcula,是針對手機用戶而來。

●飯店業者注意!全球數百萬間的飯店房門能被一張複製的偽造鑰匙卡破解,有資安研究人員發現,經常被應用在飯店與住宅大樓Saflok系統的RFID電子鎖產品有漏洞(Unsaflok),由於門鎖更新或更換耗時,五個月來進度僅完成36%。

●Google搜尋引擎近期加入SGE功能,將生成式AI融入搜尋結果,但有人發現給出的結果中,會推薦垃圾網站及惡意網站,推測可能是SEO中毒攻擊造成。

●資安部落格KrebsonSecurity指出最近出現針對蘋果用戶的「MFA轟炸」攻擊,這種釣魚攻擊,涉及一個看似蘋果密碼重置功能的漏洞。雖然近期資安日報尚未報導這方面消息,但已引發不小的討論與關注。

另外,防禦態勢上,這星期有兩項新進展,成為資安圈與開發圈的焦點。例如,上星期Pwn2Own漏洞挖掘大賽舉行,參賽的資安研究人員在8個競賽類別總計找出29個零時差漏洞,除了研究人員共獲得113萬美元的獎勵,提供產品的廠商後續也將針對這些漏洞予以修補,目前Firefox、Google以針對各自不同的2個漏洞進行修補。

另一是美國CISA發布第4則Secure by Design Alert,強調SQL注入漏洞不該一再發生,他們並以去年駭客利用MOVEit Transfer漏洞大舉入侵為例,呼籲開發人員、軟體製造商在出廠前務必審查程式碼是否含有SQL注入漏洞。

 

【3月25日】俄羅斯駭客APT29鎖定德國政黨散布惡意程式WineLoader

近期俄羅斯駭客APT29的動作頻頻,多國政府與資安專家接連對其攻擊行動提出警告,呼籲各界強化防禦措施,以防對方從事網路間諜活動、竊取組織內部機密的情況。

 

但近期有一起攻擊衝著德國政黨而來,揭露此事的資安業者Mandiant認為對方別有目的,很有可能是為了影響該國政治情勢。

【3月26日】Google搜尋提供的AI建議竟列出詐騙網站和惡意網站

去年5月Google在I/O大會宣布啟動搜尋引擎的生成式搜尋體驗(Search Generative Experience,SGE)專案,今年初開放部分用戶使用,可在完成搜尋後一併得到生成式AI的建議,然而,有專家發現,SGE竟會提供垃圾網站及惡意網站作為參考資料。

對此,有研究人員進行調查,並指出可能是遭遇SEO中毒所致。

【3月27日】AiTM網釣攻擊工具包Tycoon 2FA針對微軟365、Google用戶而來

為了突破雙因素驗證(2FA)的防護機制,駭客採用中間人攻擊(AiTM)網釣攻擊套件的情況相當氾濫,最近出現新型態的工具包Tycoon 2FA,在短短半年內,已有駭客採行而濫用超過1千個網域,引起研究人員關注。

 

值得留意的是,這個套件採用多階段攻擊流程,其產生的釣魚郵件不僅具有URL,也有出現QR Code的情況,這代表行動裝置用戶也可能是對方攻擊的目標。

【3月28日】殭屍網路TheMoon挾持4萬臺SOHO路由器、物聯網裝置供網路罪犯藏匿蹤跡

駭客鎖定路由器、物聯網裝置等小型辦公室(SOHO)及家用網路設備發動攻擊,控制後將其組成殭屍網路,已有多起攻擊行動出現,但大多還是針對有受到支援的設備而來,如今有駭客專門針對已不再受到廠商支援的設備下手,暗中從事攻擊行動長達10年,直到最近才被發現。

 

值得留意的是,這些駭客挾持設備後,專門提供網路罪犯代理伺服器服務,甚至有其他殭屍網路的經營者也是他們的客戶。

【3月29日】研究人員揭露專門針對行動裝置的新型態網釣工具包Darcula

近期攻擊者大肆利用網路釣魚攻擊工具套件(Phishing Kit)的情況浮上檯面,繼本週有研究人員揭露專門挾持微軟365、Google帳號的套件Tycoon 2FA,鎖定行動裝置用戶的作案工具也相當值得留意。

 

有資安業者揭露名為Darcula的網釣攻擊套件,並指出與其他同樣針對行動裝置而來的工具最大的不同,就是採用全程加密的通訊方式,向攻擊目標傳送誘騙內容。

熱門新聞

Advertisement