這一星期的資安新聞中,在資安威脅態勢上,我們認為有3項消息需要特別重視,涵蓋勒索軟體、網釣攻擊、GitHub遭濫用。

(一)駭客開出的勒索金額出現獅子大開口的情形,在Zscaler的一份最新報告指出,勒索軟體集團Dark Angels今年成功勒索一家企業7,500萬美元(約24億元),區塊鏈分析業者Chainalysis也證實此情形,並擔心引起其他駭客集團仿效。

(二)有資安業者揭露一起大規模網路釣魚攻擊行動,攻擊者竟然可以發送具有通過SPF和DKIM簽章驗證的大量郵件,調查後發現,駭客疑似利用Proofpoint的郵件防護服務漏洞EchoSpoofing。Proofpoint也提出說明,表示這起事件呈現的弱點並非他們的系統獨有。

(三)關於程式碼儲存庫GitHub遭駭客濫用的情形,最近又有新的發現,有資安業者示警,發現駭客組織Stargazers Ghost專門經營大量帳號並提供儲存庫讓駭客與犯罪集團使用,進而形成龐大的網路犯罪生態圈。

在APT威脅與資安事件方面,主要有2個重點,分別是關於APT45、APT10的攻擊活動揭露,還有國內外的2起重大資安事件。我們整理如下:
●近日北韓駭客組織APT45的攻擊行動被大量揭露,包括Google旗下Madiant、微軟,還有美國司法部起訴APT45中一名北韓駭客成員Rim Jong Hyok,當中更是透露受害者不只美空軍基地、NASA,還有臺灣與美、韓的國防承包商。
●在上個月,日本JPCERT/CC揭露當地製造業、研究機構發動攻擊遭受攻擊,被植入後門程式NoopDoor,如今有資安業者公布該惡意程式細節並指出是中國駭客組織APT10所慣用的惡意程式。
●華經資訊發布資安重訊,說明已啟動相關防禦機制與復原作業。
●日本夏普的網路商店Cocoro Store遭入侵,逾10萬人個資恐外流。

在漏洞消息方面,本星期共有7個漏洞利用狀況,其中Broadcom在6月底修補VMware ESXi的漏洞CVE-2024-37085最要注意。因為通報的微軟最近揭露相關細節,並指出這個漏洞在修補前就已遭多個攻擊者鎖定利用。換言之,該漏洞在當時就已是零時差漏洞被積極利用,但修補釋出當時公告並未提及此一狀況。

其他已知漏洞遭利用的情形,有2個是7月初才修補,包括: ServiceNow的漏洞(CVE-2024-4879、CVE-2024-5217),以及Twilio的Authy漏洞(CVE-2024-3989),還有1個是去年底Acronis修補的漏洞(CVE-2023-45249)。特別的是,2012年微軟修補的IE漏洞(CVE-2012-4792),最近也被美國CISA列入已知漏洞利用清單。

還有一個Secure Boot繞過漏洞「PKfail」的揭露,有資安業者發現共發現22個獨特但不可信的平臺金鑰,影響將近900款產品,包括技嘉、Supermicro、Dell等9大業者,並指出這是韌體供應鏈在加密金鑰管理實務上的嚴重問題。

關於0719的CrowdStrike引發大當機事件,持續有後續消息,例如,有駭客趁機利用這起事故鎖定CrowdStrike用戶發動攻擊,佯稱提供當機報告程式,但其目的是散步惡意軟體;iThome持續追蹤當時的發生狀況原因,以及對於整個資安產業的影響,我們找到幾位臺灣資安專家,分享對此事故的觀察,他們指出CrowdStrike的病毒特徵碼設計不良之餘,也提及類似CrowdStrike更新出包的意外,是所有端點防護公司都可能發生的,因此,要避免類似意外發生,一定需要重複經過各種驗證程序。

至於資安防禦態勢上,有3個重要消息不容錯過,涵蓋AI評估測試、同態加密技術相關工具的釋出,以及cookie theft的防範。例如,美國CISA釋出可用於評估AI安全及可靠性的軟體測試平臺的Dioptra 1.0版,以及Apple將自家發展用於保護隱私的同態加密技術,以開源Swift開源套件釋出。此外,Google為了應對現在許多竊資軟體具有cookie theft手段,宣布將針對Windows版Chrome瀏覽器,提供應用程式導向的加密(App-Bound Encryption)。

 

【7月29日】北韓駭客APT45遭美國司法部通緝,揭露受害者涵蓋美國、臺灣、韓國的國防承包商

近日北韓駭客組織APT45的攻擊行動被大量揭露,但值得注意的是,美國司法部也公告緝拿該組織一位北韓駭客成員,當中意外揭露了有臺灣國防承包商也是APT45的受害者。

由於許多媒體報導可能忽略了這一消息,但這樣的狀況是需要我們國防單位去進一步了解。

【7月30日】上個月公告、修補的VMware ESXi身分驗證繞過漏洞,去年已有多組人馬將其用於攻擊行動

VMware虛擬化平臺的漏洞,最近幾年已是駭客頻頻鎖定的攻擊目標,這樣的情況,在最近微軟發布的漏洞警訊也能反映這種情況。

研究人員針對博通上個月發布的身分驗證繞過漏洞CVE-2024-3708進行調查,指出這項漏洞已在去年就遭到利用,而且,Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest等多個駭客組織都加入利用漏洞的行列。

【7月31日】研究人員揭露針對性的PyPI惡意套件攻擊行動,意外扯出AI搜尋引擎被誤導的新型態社交工程危機

透過NPM、PyPI等軟體套件儲存庫發動攻擊的情況日益頻繁,但通常都是針對特定套件的使用者下手,透過模仿網域名稱的手法,引誘開發人員上當,但如今出現了結合社交工程的攻擊手法。

例如,資安業者Checkmarx近期揭露的惡意PyPI套件攻擊行動,駭客的目的是竊取特定用戶的Google Cloud帳密資料,但為了誘騙使用者,疑似還設置專門的LinkedIn帳號,並誤導知名的AI搜尋引擎產生錯誤的結果。

【8月1日】Azure服務出現不穩定的異常情況,微軟表示起因與DDoS攻擊有關

本週再度傳出微軟多項雲端服務運作異常的現象,許多使用者面臨不穩定,甚至是無法存取,由於一週前才發生了類似的情況,因此,這起事故發生的原因,引起許多用戶的高度關注。

7月31日微軟對此提出說明,起因是Azure的基礎設施遭到DDoS攻擊時,他們實作的防護措施竟然放大了流量而釀禍,導致重要元件運作效能大幅降低,嚴重影響各項雲端服務的運作。

【8月2日】駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件,目標是Raydium區塊鏈用戶

過往駭客發動惡意NPM、PyPI套件攻擊,通常會針對知名套件的使用者而來,藉由網域名稱模仿的手法讓開發人員上當。但如今,駭客改變了做法,他們利用網路問答平臺,假裝認真解答問題,藉此散布惡意套件。

最近資安業者Checkmarx揭露的資安事故,就是這種例子。駭客在Stack Exchange針對特定問題進行回答,「順便」提供惡意套件的下載連結,使得用戶降低警覺而有可能因此上當。

熱門新聞

Advertisement