以今年3月的資安新聞而言,隨著2023年的結束,如今正有多個重要的資安年度報告揭露,統整出2023全年的真實威脅態勢,包括零時差漏洞利用、BEC詐騙、投資詐騙、勒索軟體攻擊等面向。
雖然我們先前已經報導部分重點,然而,當中其實還有一些關鍵態勢,我們認為相當值得企業關切。
2023零時差漏洞利用報告出爐,5大重點受關注
首先,Google在3月27日公布一份2023零時差漏洞利用的年度報告,指出這方面的威脅又變嚴峻,因為2023年共有97個零時差漏洞利用的情形,比2022年的62個增加了5成。不過仍低於2021年創記錄的106個。
為何零時差漏洞攻擊、零時差漏洞利用的威脅需要重視?大家先要能夠區別的是,以零時差漏洞(Zero-day)而言,其實包含了被成功利用與尚未被利用的狀態,而這份報告一直以來都是聚焦在--零時差漏洞利用,也就是駭客先找出未知漏洞並在外部成功利用(Zero-day Exploited in-the-wild),已經造成災情,廠商只能在事後發現、修補並釋出更新。
關於這份2023年度報告所呈現的重要態勢?基本上,我們可以簡單統整為5大重點,包括:
●針對第三方元件如函式庫的零時差漏洞攻擊,有越來越多的趨勢。事實上,我們在去年10月就察覺到涉及底層、上游漏洞增加的情形。
●針對企業產品(含資安產品與裝置)的零時差漏洞攻擊,比往年增長近5成。
●商業間諜供應商(CSV)持續挖掘大量消費者平臺(如行動裝置、OS、瀏覽器等)的零時差漏洞。
●中國政府駭客組織發動的零時差漏洞攻擊大增,並且遠高於俄羅斯、北韓、伊朗等駭客組織
●經濟動機駭客組織發動的零時差漏洞攻擊,比往年減少。
駭客鎖定企業產品的零時差漏洞利用,比往年激增5成!每年都有更多IT供應商遭鎖定
我們還可以如何解讀這些內容?最近4月,剛好Google在臺舉辦資安研討會,來自Google Cloud的專家對於這份報告,提供更深入說明。
雖然,我們看到,2023年度的零時差漏洞利用數量,還不及2021年,但Google Cloud Security暨Mandiant亞太區及日本首席技術總監Steve Ledzian認為,有一項重要變化值得關切。他指的是上述5大重點中,所提的第2點。
Steve Ledzian指出,在企業方面,現在已有更多的供應商與產品成為攻擊目標,例如,2023年這類型數量增加為36個,而2021年與2022年則是25個與22個。而且針對企業特定技術的攻擊,同樣有所增加。
特別的是,Steve Ledzian還強調一個現況:近年被鎖定的IT供應商是越來越多。
他解釋,多年來,IT技術一直由少數主要供應商主導,但隨著企業使用了更多不同廠商的產品與服務,成為攻擊目標的廠商數量,也成逐年持續增加的情況。
Steve Ledzian並給出明確統計數據,例如,2019年只有4個供應商的產品,成為零時差漏洞利用的攻擊鎖定目標,2020年為7個,2021年13個,2022年17個,到了2023年則是增加至21個。
這樣的結果,也呼應了Steve Ledzia在這場研討會上所介紹的一個觀點--Securing Edge Devices,他指出,我們現在需要建立抵禦邊緣裝置攻擊的韌性。
為何會有這項說法?他列出了5大類型,並且指出在這些不同層面,近期都發生了零時差漏洞被利用的情形。包括:郵件邊緣裝置(Email Edge Device)、檔案分享邊緣裝置(File Sharing Edge Device)、遠端存取邊緣裝置(Remote Access Edge Device)、行動存取邊緣裝置(Mobile Access Edge Device)、虛擬裝置(Virtualization Device)。
換言之,我們其實也可以透過這樣的類型畫分,來了解Google是如何看待邊緣裝置被鎖定的威脅態勢。
這當中又以遠端存取邊緣裝置,是最嚴重的類型。因為單是最近一年多的時間內,就可看到多個品牌產品的零時差漏洞被利用。例如,Ivanti Connect Secure(CVE-2023-46805、CVE-2024-21887、CVE-2024-22024),Citrix NetScaler(CVE-2023-4966),GoAnywhere(CVE-2024-0204),ScreenConnect(CVE-2024-1709、CVE-2023-1708)等。
此外,對於這份報告的發布,Steve Ledzian還提到了一個新的變化,他表示:「這次發布的研究報告,是首次由Google威脅分析小組(TAG)與Mandiant全面整合分析結果而成。」
換言之,這並不像過往我們所知的,Google與Madiant這兩家公司會各自發布相關統計數據。顯然,自2022年Google宣布併購Madiant後,雙方在此方面已有深入的整合。
不過,由於過去兩家公司提出的數據不同,有各自整理的資料,因此我們特別詢問,這樣的統計數量是否還會有遺漏情形?Steve Ledzian表示,這些數量大部分是他們自己追蹤,以及從可以信賴的OSINT公開來源情報所得,的確可能還有其他零時差漏洞利用,但因為沒有放在公開來源情報,他們也無從知道與了解。
FBI發布2023網路犯罪調查報告,BEC詐騙、投資詐騙、勒索軟體的危害變更嚴峻
另一份重要年度報告,是美國聯邦調查局(FBI)網路犯罪投訴中心(IC3)在3月7日發布的《2023 Internet Crime Report》,雖然這裡的數據統計以美國地區為主,但因為IC3在此方面所蒐集的資料,相對其他國家執法單位而言,其樣本數量夠大且類型豐富,因此IC3所統計的資料也常視為一重要指標。
在這份最新年度報告中,FBI指出2023年受理的案件達88萬件,比前一年增長10%,損失金額也比前一年增加22%,持續呈現逐年增長的態勢。
至於去年網路犯罪態勢有哪些重要變化?我們認為有3大焦點,分別是:BEC詐騙、投資詐騙、勒索軟體。
BEC詐騙
首先,商業電子郵件(BEC)詐騙的威脅已經被FBI警告多年,2023年帶來的損失金額已接近30億美元,共有21,489件被受理。平均起來,每日都有58家企業報案,相當驚人。
特別的是,我們找出過去3年的IC3的統計數據可以發現,這類網路犯罪投訴數量均維持在1.9萬到2.2萬件之間。這也意味著,每年都有2萬家當地企業遭遇BEC詐騙,並沒有趨緩的情形。
對於臺灣企業而言,雖然我國警政署往年也會公布這方面的統計數據,但現在少有這類新聞事件曝光,因此,我們認為有需要再度提醒普遍企業,這類威脅態勢在國際間其實並未減少,不應輕忽。警政署今年2月也宣導有南部科技公司遇害的案例(連結),所幸能及早發現,及時報案圈存,請求原匯出銀行圈存該爭議款項。
投資詐騙
其次,投資詐騙日益嚴峻,成為近兩年最猖獗的網路犯罪型態。自從2022年開始,帶來的相關損失躍居網路犯罪首位,到了2023年,損失金額再度攀高,已經達到2020年的3倍,且大多數與加密貨幣詐欺有關。
在臺灣,近來有這類事件發生,例如今年我國檢警調偵辦「ACE王牌交易所」勾結虛擬貨幣詐騙集團吸金一案。
勒索軟體
第三,勒索軟體攻擊的網路犯罪再趨嚴重,IC3去年收到2,825多件關於勒索軟體攻擊的投訴案件,顯示在2022年下降後、2023年又呈現上升趨勢。
值得注意的是,根據IC3指出,2023年有1,193個重大基礎設施遭到勒索軟體攻擊,比2022年的870個明顯更高,突顯攻擊重大基礎設施持續成鎖定目標,其中醫療保健部門佔這些投訴的2成,在當地16種關鍵基礎設施中最高。
雖然臺灣沒有較全面的這類統計資訊,但以我們在3月報導的上市櫃資安封面故事而言,可看出民間企業遇駭事件確實增加,且2023年的勒索軟體攻擊事件,的確比2022年更多。
無論如何,上述這些2023全年威脅態勢的公布,已經告訴我們,這些威脅引發的危害仍在加劇,並未有減緩跡象,因此,儘管臺灣企業組織現在越來越重視資安,但也要記住,我們在2024年所面對的威脅與挑戰,也是變得更為嚴峻。
月底發生XZ後門事件,軟體供應鏈攻擊威脅也不容輕忽
除了上述4大威脅面向,還有軟體供應鏈攻擊的態勢要注意,這是因為3月底發現了一起重大事件,XZ程式庫竟遭潛伏的維護者植入後門。
關於這起事件,最令開發圈、資安圈在意的是,攻擊者竟然以長期臥底方式,將自己長期假扮為正常的開源貢獻者,一開始提交的內容都要幫助專案維護,行動很正常,等到取得原始專案開源維護者的信任,自己擁有更多權限之後,才露出真實目的,進而要以神不知鬼不覺的技術,將後門植入上游軟體供應鏈。
由於開源貢獻者來自全球各地,要如何防範一開始沒有任何異常舉動的臥底內鬼?要如何揪出這個在GitHub使用代號Jia Tan(JiaT75)且暗中植入後門的攻擊者真實身分?如今都成為開源界積極探討的議題。
雖然過去也有主打開源安全管理的資安業者,有發布軟體供應鏈攻擊的年度報告。只是,我們認為,這一威脅面的影響深遠,但又可能不像其他網路威脅那樣受關注,因此產業間是否會有更好的辦法來面對?或許值得各界都能更進一步去探討。
【資安週報】2024年3月4日到3月8日
回顧這一星期的資安新聞前,先來聊聊最近臺灣上市櫃公司接連發布資安事件重大訊息的現況,最近我們發布的封面故事,就是特別以此為題的報導與探討,當中整理出2023年臺灣上市櫃公司有23起資安事件相關重大訊息,並得知這些資安事故的背後,多半是勒索攻擊造成,另一方面,早已不斷受媒體關注的個資外洩消息,近一年也登上重訊版面,在我們進一步追蹤下,更是發現先前諾貝兒、雄獅遭網路駭客攻擊事件的後續消息,就有因個資外洩受個資法的情形,且開罰金額已經提高至200萬,不同於過去的20萬。
這些現象的出現,在在突顯企業經營層在看待營運風險時,需更重視勒索攻擊的危害,以及個資外洩的影響。特別的是,在我們與證交所聯繫過程中,還發現資安事件「重大性」的認定,已有明確標準可依循,上市公司的部分在1月已經完成相關修訂,上櫃公司的部分也確定即將發布。
在關注企業揭露資安事件之餘,我們還有不同資安領域的消息需要重視。
在本星期的漏洞利用消息方面,有3個重點,企業需優先因應的是蘋果與JetBrains的漏洞。
(一)蘋果修補多款產品的2個記憶體損壞漏洞CVE-2024-23225、CVE-2024-23296,都是已遭鎖定攻擊的零時差漏洞。
(二)JetBrains修補旗下CI/CD軟體平臺TeamCity的兩個漏洞,特別的是,由於該公司沒有知會通報漏洞的Rapid7、私下修補且不公開漏洞,使得Rapid7同日公開漏洞細節。後續,外界發現漏洞CVE-2024-27198已遭鎖定利用。
(三)兩個老舊漏洞近期發現遭鎖定利用,包括:2021年8月的Sunhillo SureLine OS命令列注入漏洞(CVE-2021-36380),以及去年6月的Android Pixel資訊揭露漏洞(CVE-2023-21237)。本期資安日報尚未提及,在此補上。
其他可留意的漏洞修補消息,包括VMware修補旗下多款產品的4個重大漏洞,以及臉書修補密碼重置漏洞。
在資安事件焦點方面,一開始提及勒索軟體與個資外洩的威脅態勢,本週也有多起這方面的新聞報導,我們整理如下:
●勒索軟體駭客組織Dunghill在2月29日聲稱入侵上櫃公司安瑞科技,我們取得安瑞的回應,他們表示子公司Array US於3月1日,偵測到資訊系統遭受病毒攻擊。目前調查未有客戶敏感資料外洩,也不影響營運。
●美國CISA等多個機構針對近期勒索軟體Phobos的攻擊態勢提出警告,2月有新的變種出現,主要鎖定關鍵基礎設施、地方政府、急難、教育與醫療單位。
●去年底Line用戶個資外洩事件有後續消息,原因是LYC與關係企業Naver Cloud因部分系統共用,而雙方於韓國採用的外包廠商,其員工電腦遭到惡意程式感染,因此最近日本總務省要求兩家公司應切割IT基礎架構。
●美國運通向客戶通知發生資料外洩事件,原因是第三方信用卡交易處理服務提供商的系統遭駭客入侵 ,導致有未經授權存取的情況。
還有一項針對我國而來的攻擊活動,需要大家關注。繼月前有資安業者Trellix發布報告,指出臺灣總統大選投票前一天所遭受的網路攻擊大幅增加,近日又有趨勢科技揭露這方面的態勢,指出中國駭客組織Earth Lusca在去年12月至今年1月的新一波攻擊活動中,會使用地緣政治議題為誘餌來發動網釣攻擊,並且其內容疑似盜用未發表的專家文章。由於研究報告中提到相關文章遭盜用、相關政治專家或所屬組織可能遭入侵,我們認為,上述人士需趕緊檢視自身裝置、帳號的防護,避免受害卻仍不自覺。
在資安防禦態勢上,我們注意有3個重點,主要針對開發安全與LLM的安全。
首先,開發者要注意!最近GitHub將去年推出的推送保護(Push Protection)功能,改為預設啟用。特別的是,我們發現GitHub在宣布此消息之餘,同時提到他們最近在公開儲存庫掃描時的發現:今年已偵測到上百萬筆機密資料洩漏(API金鑰、令牌與各種機密),如此大量只發生在短短兩個月內。此一情形,很有可能就是現在將Push Protection改為預設啟用的原因。
此外,前幾年美國白宮邀科技大廠解決開源安全問題時,改用記憶體安全程式語言,就是十大重點工作之一,最近美國白宮更是發布相關報告,親自呼籲科技界主動減少網路攻擊面,不要使用缺乏記憶體安全相關功能的C和C++。這樣的態勢值得臺灣政府及所有IT資訊產業關注,畢竟要打造可信賴的供應鏈生態體系,軟體開發安全亦是關鍵,尤其是各種可濫用的軟體漏洞中,記憶體安全漏洞佔了絕大多數,因此是所有程式開發相關都要設法克服的挑戰。
最後是大型語言模型(LLM)當紅,如今面對提示詞注入、模型拒絕服務,以及敏感資訊洩漏這三種模型攻擊,如何設法應對成挑戰,最近開始有資安業者發表可應對這些威脅的網頁應用防火牆(WAF),Cloudflare指出,其作用可阻擋有問題的請求輸入模型,並具備敏感資料偵測能力,可用於阻止在回應中洩漏機密資料,另一方面,也可阻止使用者將資料傳送到公用LLM。
【資安週報】2024年3月11日到3月15日
這一星期適逢多家廠商發布每月安全更新,包括微軟、Adobe、SAP等多家IT業者,以及西門子、施耐德電機等ICS工控業者,大家關切這些例行修補之餘,還有一些安全性弱點消息也要留意,例如:威聯通NAS,思科SSL VPN用戶端軟體,以及應用程式開發平臺OpenEdge的漏洞修補。
特別的是,我們近期還注意到WordPress有多個外掛程式漏洞的陸續揭漏,當中以存在Bricks Builder外掛編輯器的重大RCE漏洞CVE-2024-25600,需要特別重視,因為多家業者發現已將其用於攻擊行動。此外,另一外掛程式Popup Builder去年修補的漏洞CVE-2023-6000,近期也發現被遭駭客積極鎖定利用的狀況。
在資安事件方面,有一起關於臺灣企業的事件引發極大關注,是宏碁菲律賓分公司傳出資料外洩,宏碁已證實當地分公司有部分員工資料被存取,是菲律賓的外部供應商發生資料外洩事故造成。值得注意的是,日前我們報導上市櫃遭網路攻擊的現況時,資安專家指出,現在勒索攻擊的型態,並不全是用加密方式綁架資料而進行勒索,「偷資料的勒索」也逐漸成為常態,而上述事件中,目前傳出消息是只有資料被偷,對方並未使用勒索軟體或是加密檔案,至於後續是否有向宏碁勒索的行為,暫不得而知。
此外,還有美法兩國的重大資料外洩消息,例如,美國移民主管機關的敏感資料流入駭客論壇,原因是IT承包商遭駭,以及法國失業救濟機構France Travail遭入侵,4,300萬人個資恐流出。
國際有個重大資安事故的消息,全球也正在關注後續發展。法國總理辦公室最近公開表示,當地多個政府機構遭受了「前所未有的強度」的網路攻擊,據當地媒體指出,法國各部會網站是遭DDoS攻擊,而法國政府也採取措施,成立危機反制小組來應對,由於今年7月法國將舉辦2024奧運,還有6月舉行的歐洲議會選舉,該國國防顧問先前也示警,近期相關活動可能成為網路攻擊的重要目標。
在威脅態勢上,美國聯邦調查局(FBI)發布2023年度網路犯罪報告,強調勒索軟體駭客攻擊關鍵基礎設施日益頻繁,我們在此列出重點,幫助大家快速了解。
●勒索軟體的影響再次上升,在FBI接獲的2,825件勒索軟體攻擊事故中,有1,193件是針對關鍵基礎設施(CI)有關的組織而來,相當於每5起事故就有2起是針對CI,這樣的比例比前一年度更高。
●從犯罪型態來看,商業電子郵件詐騙(BEC)危害程度居高不下,FBI表示,2023年此類犯罪損失高達29億美元。我們對比了前兩年的BEC損失,分別是23億美元、27億美元,可看出企業必須持續嚴防這類威脅。
●投資詐騙問題越來越大,2022年損失達33億美元,超越BEC而成為傷害最大的犯罪型態,2023年這類損失金額更是達到45億美元。
在其他重要威脅態勢上,這星期還有不少勒索軟體最新動向的揭露,我們整理如下:
●勒索軟體駭客組織BianLian最近的攻擊行動,是利用前一陣子TeamCity的漏洞來發起入侵。
●由勒索軟體駭客組織GhostSec、Stormous發起的雙重勒索攻擊,正利用名為GhostLocker 2.0的勒索軟體,鎖定中東、非洲、亞洲企業發動攻擊。
●去年4月出現的勒索軟體駭客組織RA World,攻擊目標原本是美國、韓國,後續擴展至德國、印度,以及臺灣,拉丁美洲現在也被鎖定。
回到國內,關於上市櫃公司資安事件揭露的規範,最近有重要消息發布。我們先前報導臺灣證券交易所發布新版重訊問答集,裡面具體列出「上市公司」的資安事件重大性標準,而對於「上櫃公司」資安事件重大性標準的規範,則是在3月8日由證券櫃檯買賣中心發布。簡單來說,當中明訂核心系統遭駭,官網遭駭、DDoS、個資外洩、造成服務受影響中斷等,都屬重大性事件,而且,都需要發布重大訊息告知投資人。
【資安週報】2024年3月18日到3月22日
這一星期的漏洞消息,在留意Atlassian修補CI/CD工具Bamboo重大漏洞,以及Ivanti修補同步應用系統Standalone Sentry的重大漏洞之餘,還一個大家可能容易忽略的消息是,1月HTTP非同步傳輸框架Aiohttp修補漏洞CVE-2024-23334,近期出現利用該漏洞的攻擊行動,研究人員認為,可能是勒索軟體駭客組織ShadowSyndicate所為。
在重大資安新聞方面,我們認為,最需要優先關注國際貨幣基金組織與富士通的遭駭事件。
國際貨幣基金組織(IMF)在15日公布遭遇網路攻擊事件,全球也正在關注後續發展。基本上,IMF是在二戰後為了穩定國際金融而成立,最近他們公布在一個月前發現遭遇網路攻擊,有11個電子郵件帳號被入侵。這不免令人聯想到1月微軟、HPE遭俄羅斯駭客Midnight Blizzard攻擊的事件,因為共通點這些機構都使用微軟雲端電子郵件服務。
另一個IT界很關注的消息是富士通遭駭,該公司在15日發布資安公告,說明IT系統遭入侵,發現多臺電腦出現惡意軟體,目前該公司正調查被入侵的情況與確認資料是否外洩,暫不清楚是否有其他企業或其客戶資料受波及,有待後續調查結果公布。
至於臺灣資安近況方面,趨勢科技近期發布2023年資安威脅態勢報告的新聞稿,當中特別強調臺灣須留意駭客組織Earth Estries動態,並指出對方專門針對政府機關與科技業而來,大家要密切關注後續狀況。
其他重要資安新聞焦點,包括涉及Firebase曝險、竊資軟體與中國駭客組織動態的新聞,我們整理如下:
●企業需注意Firebase配置不當的曝險問題,研究人員進行這方面的大規模盤點,發現有900個網站曝險,暴露近2千萬筆明文帳密資料。
●駭客不只利用HTML Smuggling手法來迴避偵測,最近還出現新的作法,例如竊資軟體AZORult還用上反射式程式碼載入的手法來規避偵測並啟動。
●中國駭客組織Earth Krahang近兩年的攻擊活動被揭露,有45國、上百個組織被鎖定,已確認70個組織遭入侵,多是政府機關,另發現116個組織遭鎖定。
關於新攻擊手法研究與漏洞的揭露,我們認為有3項消息,值得企業與資安研究人員重視,涵蓋DoS攻擊、LLM漏洞,以及利用處理器微架構特性的旁路攻擊手法:
(一)發現新型阻斷服務攻擊手法Loop DoS,德國CISPA亥姆霍茲資安中心指出,利用UDP通訊協定上封包驗證不足的弱點CVE-2024-2169,可導致彼此訊息無限循環回應,不只老舊通訊協定有同樣狀況,目前普遍常用的DNS、NTP、TFTP也受影響。
(二)有研究人員揭露3個新的Google Gemini聊天機器人潛在的威脅,分別是可繞過安全防護機制的漏洞,利用Gemini Pro虛構生成功能的提示越獄漏洞,以及模擬重新設定的漏洞。
(三)多名大學研究人員共同揭露GoFetch微架構旁路攻擊,資安日報近期尚未報導這方面消息,但已引發不小的關注,此手法是透過記憶體資料預先讀取機制DMP,從常數時間程式實作中竊取加密金鑰,且蘋果M系列處理器易受此攻擊影響。
在防禦態勢上,這星期有2項新進展,成為資安圈與開發圈的焦點。例如,提升組織內軟體供應鏈可見性的軟體安全評估工具GUAC,如今成為OpenSSF孵化專案,以及程式碼儲存庫GitHub發布程式碼自動掃描修復功能(Code Scanning Autofix),可協助開發者快速解決程式碼中的漏洞,目前已經支援JavaScript、TypeScript、Java與Python。
此外,國際間還有兩個安全指引的頒布,可以作為企業組織的借鏡與參考。一是英國發布雲端資料收集與監控系統(SCADA)安全指引,因為已有許多企業組織將SCADA遷移到雲端,而這樣的資訊過去也算比較少見;另一是因應中國駭客組織Volt Typhoon的威脅,最近英美等多國網路安全機構,提出防禦指引。
【資安週報】2024年3月25日到3月29日
在這一星期有多個已知漏洞出現首度遭利用的消息,其中1個是短短一週前才修補,就發現被利用於攻擊行動,因此特別受關注,那就是Fortinet端點管理伺服器FortiClient EMS的漏洞CVE-2023-48788。
其他近期確認遭鎖定利用的已知漏洞,還包括:微軟SharePoint Server的漏洞(CVE-2023-24955),Ivanti EPM CSA的漏洞(CVE-2021-44529),以及門禁解決方案Nice Linear eMerge E3-Series OS的漏洞(CVE-2019-7256)。後兩項本期資安日報尚未提及,一併補上。
另補充周末一則最新消息是關於XZ Utils資料壓縮程式遭植入後門,紅帽已指派漏洞CVE-2024-3094,由於此事件涉及SSHD(Secure Shell Daemon)供應鏈攻擊,正受廣泛關注。
關於零時差漏洞攻擊的最新態勢,持續受大眾關注,隨著2023年過去,最近Google公布這方面的年度報告,我們認為,有3個現象值得大家關注:(一)針對第三方元件攻擊顯著增加;(二)針對企業裝置、資安產品攻擊,比往年增長近5成,(三)中國政府支持駭客組織發動的攻擊大增,去年利用了12個零時差漏洞發動攻擊。
此外,關於上述提到中國駭客組織的危害,最近另一起資安新聞也提到這方面的狀況。最近美國方面有新的消息,該國司法部起訴7名參與APT31的中國公民,其財政部也宣布制裁武漢曉睿智科技(Wuhan XRZ),已確認這是一家幌子公司,背後是負責APT 31行動的中國湖北省國家安全局設立。在此同時,還有多國網路安全機構與執法單位,出面指控近年遭到中國政府支持駭客組織的攻擊,包括英國、芬蘭、紐西蘭與澳洲等。
在最近的資安威脅態勢上,殭屍網路TheMoon的攻擊活動,是本星期的一大焦點事件。這是因為,雖然它的攻擊目標都是挾持生命週期終止(EOL)的家用及小型辦公室(SOHO)路由器、物聯網設備,但最近短短72小時內,竟有超過6千臺華碩路由器被攻佔。
在其他威脅態勢方面,有勒索軟體與網釣工具的揭露,值得企業與資安研究人員重視,還有一些攻擊技術與資安風險的揭露,雖然存在於不同領域,但可能的危害情境貼近於生活日常,引發許多人的好奇與重視,我們整理如下:
●勒索軟體Agenda的攻擊在去年底顯著增加,如今更是發現,攻擊活動中會利用嵌入勒索軟體檔案的PowerShell指令碼,對VMware ESXi、vCenter進行橫向感染,竄改ESXi主機root密碼。
●網路犯罪領域有新的攻擊工具出現,被不同資安業者揭露,例如,半年多前現身的Tycoon 2FA的AiTM網釣攻擊套件,最近有被廣泛使用的情形;還有網路釣魚套件工具包Darcula,是針對手機用戶而來。
●飯店業者注意!全球數百萬間的飯店房門能被一張複製的偽造鑰匙卡破解,有資安研究人員發現,經常被應用在飯店與住宅大樓Saflok系統的RFID電子鎖產品有漏洞(Unsaflok),由於門鎖更新或更換耗時,五個月來進度僅完成36%。
●Google搜尋引擎近期加入SGE功能,將生成式AI融入搜尋結果,但有人發現給出的結果中,會推薦垃圾網站及惡意網站,推測可能是SEO中毒攻擊造成。
●資安部落格KrebsonSecurity指出最近出現針對蘋果用戶的「MFA轟炸」攻擊,這種釣魚攻擊,涉及一個看似蘋果密碼重置功能的漏洞。雖然近期資安日報尚未報導這方面消息,但已引發不小的討論與關注。
另外,防禦態勢上,這星期有兩項新進展,成為資安圈與開發圈的焦點。例如,上星期Pwn2Own漏洞挖掘大賽舉行,參賽的資安研究人員在8個競賽類別總計找出29個零時差漏洞,除了研究人員共獲得113萬美元的獎勵,提供產品的廠商後續也將針對這些漏洞予以修補,目前Firefox、Google以針對各自不同的2個漏洞進行修補。
另一是美國CISA發布第4則Secure by Design Alert,強調SQL注入漏洞不該一再發生,他們並以去年駭客利用MOVEit Transfer漏洞大舉入侵為例,呼籲開發人員、軟體製造商在出廠前務必審查程式碼是否含有SQL注入漏洞。
2024年2月資安月報
2024年1月資安月報
2023年12月資安月報
2023年11月資安月報
2023年10月資安月報
2023年9月資安月報
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-02