Google發布了新的電腦版Chrome 125,增加不少新功能,其中,與資安防護有關的部分,包含了新的隱私控制選項,目的是避免攻擊者挾持,而對於Windows版用戶,他們將網路服務放在沙箱執行。
但在此同時,本次Google也修補9個弱點,當中包含了JavaScript引擎V8的高風險漏洞CVE-2024-4947,而這是該公司在最近一週修補的第3個零時差漏洞。
【攻擊與威脅】
Windows遠端協助工具「快速助手」遭到濫用,駭客從事勒索軟體Black Basta攻擊行動
5月10日資安業者Rapid7揭露一項社交工程攻擊行動,駭客鎖定採用威脅偵測與應變代管服務(Managed Detection and Response,MDR)的企業組織而來,利用垃圾郵件轟炸目標用戶的電子郵件信箱,然後撥打電話表示能提供協助,引誘用戶下載遠端管理軟體,其中一種是Windows作業系統內建的「快速助手(Quick Assist)」,攻擊者的身分很可能與勒索軟體駭客組織Black Basta有關。而相關的攻擊行動,最近有了新的發現。
微軟也針對這項社交工程攻擊著手調查,並指出攻擊者的身分是出於經濟動機的駭客組織Storm-1811,而這個組織經常會在攻擊行動部署勒索軟體Black Basta。他們從4月中旬看到對方從事攻擊行動,先是透過語音網路釣魚(Vishing)來引誘目標用戶上當,然後啟動快速助手控制目標電腦,從而散布ScreenConnect、NetSupport Manager等遠端管理工具,以及惡意程式QBot、滲透測試工具Cobalt Strike,最終達到部署勒索軟體的目的。
其他攻擊與威脅
◆歐洲外交機關遭俄羅斯駭客Turla鎖定,植入後門程式LunarWeb、LunarMail
◆桑坦德銀行傳出資料外洩,影響智利、西班牙、烏拉圭客戶,起因是第三方供應商遭駭
【漏洞與修補】
Google發布Chrome 125新版,一週內修補3個零時差漏洞受到關注
5月15日Google發布Chrome 125新版本(125.0.6422.60、61),當中總共修補9個漏洞,值得留意的是高風險漏洞CVE-2024-4947,Google指出已被用於實際攻擊行動,而這是自5月9日以來,該公司修補的第3個零時差漏洞。
這項漏洞存在於JavaScript引擎V8,為類型混淆弱點,由資安業者卡巴斯基13日通報。Google並未進一步說明細節,而對於提供研究人員的獎勵,他們表示有待進一步決定。
Adobe發布5月例行更新,修補PDF編輯工具、檢視器,以及FrameMaker、Animate等多項應用程式漏洞
本週二Adobe發布5月份例行修補,針對旗下的Acrobat及Acrobat Reader、Illustrator、Substance 3D Painter、Substance 3D Designer、Animate、FrameMaker、Dreamweaver、Aero等多項產品發布更新,總共修補35個漏洞,這些漏洞多數同時影響Windows版及macOS版用戶,該公司表示,截至發布公告為止,他們尚未發現漏洞遭到利用的跡象。
其他漏洞與修補
◆VMware修補虛擬化平臺在Pwn2Own 2024揭露的高風險漏洞
◆西門子、三菱電機、江森自控、Rockwell發布5月份工控系統資安公告
【資安產業動態】
下週一(5月20日)臺灣第16任、新任總統賴清德即將走馬上任,此次他率領新內閣中與資安發展相關的主管,一同蒞臨CYBERSEC 2024臺灣資安大會,包括:現任青平臺基金會董事長、候任行政院副院長兼資安長鄭麗君,中研院資創中心研究員、候任國安會諮詢委員李育杰,以及中研院資創中心特聘研究員、候任數位發展部部長黃彥男等人,共同關心臺灣資安產業的發展。
賴清德致詞表示,未來新政府也會延續蔡英文總統「資安即國安」的政策繼續推動資安,並公開承諾,將會繼續支持臺灣資安產業的發展,推動產業更上一層樓。
他也提及,臺灣是全球假訊息被攻擊最嚴重的國家,如果將這個視為可以磨練、鍛鍊臺灣資安產業的場域時,就會是臺灣資安產業發展的契機。
【資安防禦措施】
行政院通過打詐專法,Google、Meta等網路廣告平臺未盡防詐義務最高開罰2,500萬元,嚴重者可限制流量或阻擋連結
行政院5月9日通過外界期待的「詐欺犯罪危害防制條例」,也就是俗稱的打詐專法,未來將連同其他法規,包括洗錢防制法、科技偵查及保障法、通訊保障及監察法,合稱打詐新四法,一起送到立法院審議。
在新的打詐專法中,明訂金融、電信、數位產業的打詐義務,其中在數位產業方面,要求Google、Meta等網路廣告平臺業者在臺設立法律代表,依法配合防詐,若情節嚴重者最高可罰2,500萬元,未改正者由專家審議,祭出停止解析或限制接取等重罰。
美國聯邦通訊委員會揭露機器人電話駭客組織Royal Tiger,意圖打擊當地報稅季語音網釣氾濫的現象
5月13日美國聯邦通訊委員會(FCC)揭露名為Royal Tiger的駭客組織,該組織專門透過機器人撥打電話(Robocall)犯案,他們經常假冒政府機關、銀行、企業組織,利用偽冒的電話號碼撥打電話,聲稱提供信用卡低利分期優惠,來引誘受害者上當,過程中濫用生成式AI複製的聲音來進行。
為何公布此駭客組織的相關細節?主要與美國執法單位4月進行的「春季掃蕩(Spring Cleaning)」執法行動有關,該行動的主要目的,是針對該國報稅季期間,有駭客團體利用電話撥打機器人(Robocaller)宣稱能提供納稅人減稅的網釣攻擊,希望能夠打擊他們的惡行。
根據FCC的分析,他們將Royal Tiger的資安威脅類型,認定為消費者通訊資訊服務威脅(Consumer Communications Information Services Threat,C-CIST),並公布該組織的相關細節,以便地方政府與國內外執法單位,識別、調查其攻擊行動及攻擊基礎設施。
近期資安日報
【5月15日】微軟發布5月份例行更新,公告3個零時差漏洞受到各界關注
熱門新聞
2024-11-29
2024-11-15
2024-11-20
2024-11-15