在這一星期資安新聞中,在防禦動向上,臺灣有兩篇探討網路防詐作法的消息,一是富邦金公布他們成立偽冒案件應變小組,一是資安院首度發表AI打詐技術的應用。

畢竟,社群平臺的網路廣告機制與帳號時常成被詐騙或駭客組織濫用,儘管社群平臺表示有自動化過濾方式攔阻,但仍有相當多詐騙廣告成功刊登或透過假帳號散布,導致民眾只能憑藉自己的見識與經驗來判斷,只是這些詐騙以前就有,但現在詐騙更猖狂,臺灣企業與政府也不得不積極處理,要透過業者的通報機制進行事後下架。最近有兩則新聞,就是關於企業與政府的最新因應方式。

●假冒企業的網路詐騙不斷,是多數企業都面臨的問題,除了提醒用戶小心冒名詐騙,企業還能如何積極因應?富邦金在2024臺灣資安大會上提出他們的因應方式,目標是讓集團可以更系統化的機制,去下架偽冒網站和詐騙群組。他們特別制定處理準則,畫分3大步驟,包括定義案件樣態、成立應變小組、建立處理機制。而這半年來,他們已發現近300件偽冒案件,並也點出目前企業面對的防詐困境。

●最近資安院公布今年1月開始採用AI技術偵測詐騙廣告的成果與經驗,當中顯示AI偵測出詐騙的準確率可達93%,並發現有97%詐騙廣告只刊登兩天就結束,以及現在詐騙經常用「不是詐騙」或「追回詐騙」來再次誤導民眾。數位部強調,要能有效防詐須建立詐騙防治生態系,不論是在聯防、情資交換格式、應變流程、通報平臺上都要有所搭配,並表示已在規畫政府提供的「打詐通報查詢網」。

在資安威脅態勢上,有2則新聞我們認為值得關注,一是網釣簡訊攻擊持續轉向全球不同國家的態勢,一是部分零時差漏洞利用攻擊已悄悄進行多年、最近才被發現的現況,並且都與中國駭客組織有關。

(一)國際大規模網釣簡訊攻擊行動的揭露,同樣值得我們注意。這是資安業者Resecurity的警告,他們指出,去年中國駭客組織發動Smishing Triad攻擊行動,已經針對美國、歐洲、阿拉伯聯合大公國下手,最近發現攻擊轉向巴基斯坦,以假冒巴基斯坦郵政局的名義,藉由iMessage或是簡訊,向電信業者的用戶發送惡意訊息,目的是竊取民眾的個資與財務資料。

(二)資安業者Mandiant揭露這一兩年有多個已知漏洞被利用,其實是中國駭客組織UNC3886早在2021年就利用的零時差漏洞,但先前並沒有被發現,這些漏洞包括,VMware vCenter的漏洞(CVE-2023-34048,CVE-2022-22948)、FortiOS的漏洞(CVE-2022-41328)、Mware Tools的漏洞(CVE-2023-20867)。這代表對方恐早已滲透並潛伏,因此,Mandiant提供了入侵指標(IOC)供企業識別惡意活動。

其他重要威脅態勢包括:有研究人員揭露針對機器學習模型而來的攻擊手法Sleepy Pickle,以及有駭客組織鎖定簡體中文用戶並假借提供VPN等翻牆工具,目的是在使用者電腦植入後門程式Winos 4.0。

在資安事件焦點方面,國內外發生多起網路攻擊事件,涵蓋網釣攻擊、勒索軟體、資料外洩等,我們整理如下:

●駭客鎖定曾介紹群暉產品的臉書粉絲專頁,並假冒群暉公司名義針對這些粉專管理者,發出侵害智財權的釣魚信,誘使粉專管理者開啟附件內的惡意軟體。
●國內老牌製藥公司永信藥品工業遭駭客攻擊,雖然該公司仍只是公開發行公司,但也發布重訊揭露這起資安事件。
●日本影音共享平臺Niconico、角川書店資料中心遭勒索軟體攻擊,導致服務中斷近一週。
●晶片大廠AMD傳出機密資料疑似外洩,有駭客在論壇兜售該公司的產品研發資料、客戶資料及員工資訊,並提供部分檔案的螢幕擷圖作為佐證。
●提供汽車經銷管理SaaS服務的CDK Global傳遭勒索軟體攻擊,該公司先暫時關閉全部系統,已引起經銷商抱怨買車客戶轉向其他汽車經銷商。

在漏洞消息方面,近期沒有新的漏洞利用被揭露,主要是針對已知被利用的情況示警,像是有資安業者公布一起資安事故調查案例,發現攻擊者是運用企業棄用的負載平衡設備入侵,由於該設備未補漏洞且暴露在外網,突顯企業設備與漏洞管理上的疏失。

至於最新漏洞修補動向上,要注意的包括:華碩公布路由器重大身分驗證繞過漏洞,7款機型受到影響,以及VMware修補vCenter Server的遠端執行漏洞。

還有研究人員特別警告,上星期微軟修補Windows內建Wi-Fi驅動程式的高風險漏洞(CVE-2024-30078),特別危險,可能與無線封包處理不當有關,只要攻擊者連上目標設備所在的Wi-Fi網路,就可針對同網路下的設備發動攻擊,且所有Windows版本都受影響。

 

【6月17日】日本影音共享平臺Niconico、角川書店傳出服務中斷近一週,起因是資料中心遭勒索軟體攻擊

本月上旬日本知名的影片共享平臺Niconico證實出現服務異常的情況,引起外界關注,然而隨著這起事故的發展,母公司角川集團表示,不光是Niconico,旗下也有其他網站停止運作。

但值得留意的是,事隔一週,他們終於承認這是一起勒索軟體攻擊,不過,究竟是那個勒索軟體駭客組織所為,該集團表示,由於這起事故尚在調查,不便公布相關細節。

【6月18日】未補漏洞且暴露在外網的舊款F5 BIG-IP設備成駭客入侵企業內部環境的破口,中國駭客潛入竊密長達3年

企業部署但最終並未正式採用、而遺留在網路環境的IT系統,很有可能會遭到攻擊者濫用。

最近資安業者Sygnia揭露的一起事故,就是這樣的例子,駭客維持於受害企業活動的管道,就是該公司曾打算建置的災難復原系統當中,所使用的F5 BIG-IP設備。而這些設備不僅直接曝露在網際網路上,還執行存在弱點的作業系統,而讓對方有利用的機會。

【6月19日】初始入侵管道掮客IntelBroker聲稱握有晶片大廠AMD內部機密資料,該公司表示將著手調查

晶片大廠遭駭的情況,最近幾年已有數起,例如:2020年Intel傳出遭駭,20 GB的晶片、韌體、開發工具及程式碼等機密資訊外流;2022年Nvidia遭到駭客組織Lapsus$入侵,偷走1 TB內部資料。如今,有駭客組織聲稱取得AMD內部檔案引起關注。

值得留意的是,聲稱握有這批資料的駭客組織,是惡名昭彰的初始入侵管道掮客IntelBroker,在一個月前,這些駭客宣稱手上握有多個組織與公司的的內部資料,例如,歐洲刑警組織(Europol)、五角大厦、 英國家具裝修零售業者Home Depot。

【6月20日】中國駭客UNC3886利用多項防火牆及虛擬化平臺的零時差漏洞隱匿行蹤,並部署後門程式持續存取網路環境

利用尚未公布的零時差漏洞發動攻擊的情況,近期有數則消息揭露,例如:中國駭客利用CVE-2022-42475入侵FortiGate防火牆,並部署難以清除的惡意程式;勒索軟體駭客組織Cardinal於微軟修補CVE-2024-26169的3個月前,就將其用於攻擊行動,但如今中國駭客組織UNC3886,他們一口氣運用4個防火牆、虛擬化平臺的漏洞,以便長時間於受害組織活動。

【6月21日】駭客組織Void Arachne藉由提供中國用戶翻牆工具、Deepfake人工智慧工具散布惡意程式

利用惡意廣告宣稱提供實用的應用程式,藉此來散布惡意軟體的情況,不時有事故傳出,但最近一起惡意軟體攻擊行動相當特別,因為這些駭客也同時利用Telegram頻道來進行。

比較特別的是,由於透過即時通訊軟體的頻道來從事攻擊行動,這些駭客不只散布常見的應用程式,還散布能用於犯罪的Deepfake脫衣軟體,以及變臉、變聲工具。

熱門新聞

Advertisement