最近有研究人員針對惡名昭彰的中國駭客駭客組織APT41攻擊行動進行調查,並指出對方使用名為KeyPlug的後門程式攻擊義大利的企業組織,其手法相當複雜、刁鑽。
雖然這並非這些駭客首度運用KeyPlug,但研究人員比對這次的作案工具特徵,認為他們疑似曾更換軟體的名稱提供中國資安業者安洵使用,這間接印證兩者之間有合作關係的現象。
【攻擊與威脅】
中國駭客組織APT41鎖定義大利企業組織,散布後門程式KeyPlug
資安業者Tinexta Cyber旗下的Yoroi惡意軟體研究團隊揭露中國駭客組織APT41近期的攻擊行動,這些駭客鎖定義大利的企業組織而來,部署名為KeyPlug的後門程式,駭客以C++開發而成,並打造Windows及Linux版本,並能透過HTTP、TCP、UDP等多種網路通訊協定接收來自C2的命令。而對於駭客使用這個後門程式的時間,他們推測最早在2021年6月可能就開始使用。
附帶一提,他們也將這項APT41使用的作案工具與今年2月中國資安業者安洵(i-Soon,或寫作Anxun)流出的資料進行比對,並指出這批資料當中提到一種名為Hector的RAT木馬程式,很有可能就是他們本次調查的KeyPlug。
針對Ivanti零時差漏洞攻擊事故,資安組織MITRE揭露駭客濫用VMware虛擬化平臺的細節
上個月資安組織MITRE證實今年1月遭遇Ivanti零時差漏洞攻擊,當中提及駭客操弄受害網路環境的VMware虛擬化平臺來埋藏行蹤,現在他們將攻擊手法的細節公諸於世,讓IT人員能夠察覺、防範這類新興威脅。
MITRE指出,駭客在企圖濫用虛擬化環境之前,已得到ESXi基礎架構的管理權限,並藉由系統服務帳號,產生用於攻擊行動的虛擬機器(VM),這麼做的目的,就是讓管理者無法從vCenter管理主控臺察覺這些VM的存在。
針對此種新興攻擊手法,MITRE提供相關的檢測方式,並公布兩款能掃描這類威脅的指令碼工具,它們分別是:由MITRE打造的Invoke-HiddenVMQuery,以及資安業者CrowdStrike開發的VirtualGHOST。
臺藝大校友網站個資驚傳外洩,校方緊急關閉網站、請求Google協助清除暫存內容
本週臺灣藝術大學發出資安公告,指出他們的校友聯絡中心網站存在資安問題,任何人透過Google搜尋就有機會看到申請校友證的個資,他們緊急將網站關閉,請求Google協助清除暫存內容,並對於含有機敏個資的中級系統,全面進行弱點掃描。
臺藝大在18日接獲校友反映,任何人只要透過Google搜尋,就有機會看到校友的個資,這些資料與申請校友證有關,包含姓名、身分證字號、地址、室內電話號碼、行動電話號碼、電子郵件信箱。
電算中心獲報後進行緊急應變措施,並將對於含有機敏個資的中級系統進行弱點掃描、修復,並對於個資欄位進行遮罩及加密處理。
其他攻擊與威脅
◆JAVS法庭錄影軟體遭遇供應鏈攻擊,攻擊者在安裝程式植入後門
◆資料破壞軟體BiBi Wiper出現新變種,鎖定以色列、阿爾巴尼亞發動攻擊
◆桃園市埔頂地區變更計畫案公展資料洩露民眾個資,都發局坦承疏失
【漏洞與修補】
5月21日資安業者Ivanti發布本月份資安公告,修補Avalanche、Neurons for ITSM、Connect Secure(ICS)、Secure Access、Endpoint Manager(EPM)等旗下產品16個漏洞。
值得留意的是,這次有超過半數漏洞與EPM有關,而且,這些漏洞多為高風險或重大層級。本次Ivanti共為EPM修補10個漏洞,這些漏洞皆為SQL注入漏洞,存在於EPM核心伺服器,影響2022 SU5以前的版本,一旦遭到利用,攻擊者就能在未經身分驗證的情況下,透過EPM所在的網路環境執行任意程式碼,CVSS風險評分有6個為9.6分,其餘為8.4分。
GitLab揭露高風險漏洞,未經身分驗證的攻擊者恐發動XSS攻擊接管帳號
5月22日GitLab發布社群版(CE)及企業版(EE)的17.0.1、16.11.3、16.10.6更新,當中修補7個漏洞,其中有1個被列為高風險層級,而特別值得留意。
這項高風險漏洞是CVE-2024-4835,為一鍵點擊的帳號挾持漏洞,攻擊者可製作惡意網頁,在未經身分驗證的情況下,利用Visual Studio Code程式碼編輯器(網頁IDE)觸發漏洞進行跨網站指令碼(XSS)攻擊,從而洩漏使用者機敏資訊,進而有機會接管帳號,CVSS風險評為8.0分。
【資安產業動態】
Gogolook以1.5億元併購荷蘭防詐服務商ScamAdviser,盼加速企業服務推向全球市場
以阻擋惡意電話與簡訊Whoscall聞名,去年於創新板掛牌上市的Gogolook(走著瞧-創),於24日在臺灣證券交易所召開重大訊息記者會,說明將併購總部位於荷蘭的數位防詐服務商ScamAdviser,期待進一步帶動企業端服務,加速擴及全球市場。
Gogolook財務長黃鈺文在重大訊息記者會上表示,該公司本日召開董事會通過海外股權收購案,預計以不超過450萬歐元現金(約新臺幣1.56億元),取得此防詐服務商100%股權,預計於今年第三季前完成交割。
對於Gogolook而言,這次併購有何效益?黃鈺文在記者會提到三大重點,簡單來說,首先,強化防詐技術與擴展不同防護場景,其次是深入走進企業防詐服務,第三是跨入歐美市場。而我們可以看出,尤其是後兩者的效益,是Gogolook非常看重的部分。
政府推動零信任架構,今年完成A級機關導入身分鑑別,2機關將先導入信任推斷機制
在今年CYBERSEC 2024臺灣資安大會上,國家資通安全研究院副院長吳啟文分享臺灣推動零信任架構策略及現況,他指出目前為優先推動A級機關導入零信任架構,2023年將身分鑑別導入機關,特別是以導入T-Road的機關為優先,去年數位部開始輔導22個A級機關導入身分鑑別、選定2個機關試行導入設備鑑別。
數位部從2023年開始推動A級機關導入零信任架構,預定在2024年完成全部A級機關導入身分鑑別機制。目前資安院已公告信任推斷的驗證檢核表,供廠商產品送驗參考,2024年計畫由2個機關導入信任推斷機制,作為未來推動政策參考,資安院也會持續鼓勵廠商投入零信任相關產品開發,並納入共同供應契約,為政府導入零信任架構作好準備。
其他攻擊與威脅
◆身分驗證資安業者CyberArk以15億美元買下機器識別管理公司Venafi
◆微軟宣布將於今年下半棄用VBScript,並規畫3階段將其退役
近期資安日報
【5月23日】微軟推出AI電腦新功能Recall引發隱私爭議,英國主管機官宣布啟動調查
熱門新聞
2024-11-29
2024-11-15
2024-11-20
2024-11-15