鎖定VPN服務進行大規模的帳號填充攻擊,先前有思科證實他們的用戶受害,本週一資安業者Check Point也對用戶提出警告,他們在數日前察覺相關攻擊行動並著手調查,並公布新的發現。
該公司表示,這起事故中駭客疑似利用零時差漏洞CVE-2024-24919;另一家資安業者Mnemonic發現,相關攻擊行動4月底就有跡象,當時對方已企圖嘗試利用這項漏洞。
【攻擊與威脅】
針對Check Point VPN攻擊行動資安事故,兩家資安業者揭露更多細節,指出對方利用零時差漏洞取得AD帳密進行橫向移動
本週一資安業者Check Point針對啟用VPN功能的防火牆用戶提出警告,指出他們上週察覺部分客戶的系統出現疑似未經授權嘗試登入的情況,而且,這些存取利用電腦本機的舊帳號進行VPN連線,而這些帳號只有透過密碼進行保護。事隔數日這起事故出現新的進展。
該公司發布相關公告後,便針對此事著手持續調查,結果隔日便再度揭露高風險層級的資訊洩露漏洞CVE-2024-24919,並指出該漏洞存在於啟用IPSec VPN、遠端存取VPN、行動存取軟體刀鋒功能的安全閘道,CVSS風險評為7.5分。
値得留意的是,雖然Check Point在5月下旬發現這起資安事故,但資安業者Mnemonic指出,他們自4月30日發現客戶環境出現漏洞利用嘗試的跡象,不過,他們並不清楚這項漏洞的影響範圍,而根據對於相關攻擊行動的觀察,Mnemonic指出這項漏洞相當嚴重,因為利用過程完全不需使用者互動,也無須取得權限,而且很容易遠端觸發。
身分驗證解決方案業者Okta針對帳號填充攻擊提出警告,自4月起有客戶成為歹徒目標
5月29日身分驗證解決方案業者Okta提出警告,他們確定雲端顧客身分驗證服務Customer Identity Cloud(CIC)的跨來源身分驗證功能,成為駭客鎖定的目標,並發動攻擊。但究竟有多少用戶受到影響,該公司並未進一步說明。
他們自4月15日開始,察覺到可疑活動,該公司發現用於支援跨網域身分驗證功能的端點出現異常,有人嘗試使用大量使用者名稱及密碼進行帳號填充(Credential Stuffing)攻擊,對此,他們已通知受到影響的客戶。
針對這起攻擊事故,Okta呼籲IT人員應檢查事件記錄是否出現預期之外的特定類型事件,例如,跨來源身分認證失敗(Failed cross-origin authentication,FCOA)、跨來源身分認證成功(Successful cross-origin authentication,SCOA),以及有人嘗試用弱密碼登入(pwd_leak)。
美國售票平臺Ticketmaster遭駭客入侵,5.6億客戶資料流入暗網
駭客集團Shiny Hunters近日於BreachForums論壇兜售1.3 TB的資料,標價50萬美元,宣稱這批資料來自售票平臺Ticketmaster,涉及5.6億名使用者。
資安新聞網站Hackread指出,這批資料包含大量的機密資訊,包括姓名、住址、電子郵件位址、電話號碼、票券銷售及活動細節、訂購資訊,以及部分的支付卡資料,包括姓名、卡片後四碼與到期日。
根據澳洲媒體ABC News報導,澳洲內政部已確定這批資料外流的原因,就是Ticketmaster遭駭。不過,迄今該公司並未針對此事公開說明。
臺灣電腦硬體製造商Cooler Master傳出資料外洩,50萬會員個資流出
以製造電腦機殼、散熱裝置而聞名的臺灣電腦周邊設備製造商酷碼科技(Cooler Master),近期有駭客聲稱竊得內部資料,並公布部分資料,意圖尋找買家。自稱為Ghostr的人士向資安新聞網站Cybernews、Bleeping Computer透露,他們在5月18日成功入侵Cooler Master的網站,竊得103 GB資料。這批資料包含了公司、供應商、銷售、保固、盤點、人力資源的資料,並包含50萬名註冊Fanzone帳號的客戶資料。
這些新聞網站比對駭客提供的部分資料之後,認為很有可能取自Fanzone網站,而且應該是真實資料,但當中並未發現對方宣稱的信用卡資料。
勒索軟體ShrinkLocker濫用BitLocker加密電腦,導致電腦無法進入作業系統
資安業者卡巴斯基揭露勒索軟體ShrinkLocker的攻擊行動,該惡意程式濫用Windows作業系統內建的磁碟加密保護措施BitLocker,透過這項功能對檔案進行加密,目前已知有墨西哥、印尼、約旦的企業組織受害。
駭客濫用BitLocker發動攻擊,從而將檔案加密的情況,過往已發生數起,但這起事故特別之處,在於攻擊者運用過往未曾出現的手法,不僅加密了整個磁區,還將解密金鑰拿走,從而提高攻擊造成的破壞威力。
其他攻擊與威脅
◆Stack Overflow遭到濫用,攻擊者假借回答問題散布惡意程式
◆駭客濫用Cloudflare Workers從事透明網路釣魚、HTML挾持攻擊
【資安防禦措施】
全球執法單位聯手拆除專門綁架個人電腦的大型殭屍網路911 S5,近2千萬裝置遭到控制
5月29日美國司法部宣布,他們與新加坡、泰國、德國執法機構合作,拆除專門綁架個人電腦的大型殭屍網路911 S5,此殭屍網路的經營者,藉由盜版軟體或盜版遊戲做為誘餌,並在其中嵌入惡意VPN程式來感染個人電腦,估計範圍橫跨全球190個國家,有超過1,900萬臺裝置遭駭,駭客再出售這些裝置存取權,供網路罪犯用來進行各式各樣的犯罪行動。
美國聯邦調查局(FBI)指出,911 S5從2014年5月上線,在2022年7月停止運作,但在2023年10月更名為Cloudrouter重新上線。他們與多國執法單位採取行動,針對專門經營、管理該殭屍網路的中國人YunHe Wang,扣押了價值逾3千萬美元資產、23個網域名稱、逾70臺伺服器,成功擊潰了Cloudrouter,並關閉惡意後門。
對此,美國財政部對於YunHe Wang、負責洗錢的Jingping Liu,以及協助置產的Yanni Zheng進行制裁。
其他資安產業動態
◆GitHub加速器資助11個開源AI專案,涵蓋普及化、資安、當責應用
近期資安日報
【5月29日】精品拍賣業者佳士得遭到勒索軟體駭客組織RansomHub攻擊,50萬筆客戶個資可能外流
熱門新聞
2024-06-17
2024-06-18
2024-06-17
2024-06-18
2024-06-18
2024-06-18
2024-06-19
