文/周峻佑 | 2024-08-05發表

隨著政治情勢日益緊張,中國駭客針對臺灣企業組織發動攻擊的情況不斷傳出,而在上週四又有這類事故的調查出爐,有資安廠商去年發現一個附屬於臺灣政府機關的研究機構遭駭。

值得留意的是,在這起攻擊行動裡,駭客運用過往較為少見的手法,其中一種是利用舊版微軟Office軟體搭配的輸入法編輯器(IME),該元件推出已長達13年,且不再受到支援。

 

【攻擊與威脅】

臺灣研究機構遭中國駭客組織APT41攻擊

惡名昭彰的中國駭客組織APT41近年來動作頻頻,這幾週以來,與他們有關的資安事故揭露接踵而來。自資安業者Mandiant公布該組織滲透全球航運、物流、媒體及娛樂產業的攻擊行動,有研究人員公布專門針對臺灣而來的資安事故。

思科旗下威脅情報團隊Talos揭露APT41針對臺灣政府所屬研究機構的攻擊行動,遭駭單位是隸屬臺灣政府旗下的研究機構,專精於運算與科技領域,研判駭客的目的很有可能是竊取專利資料或是敏感的技術。

研究人員去年8月偵測到受害組織的IP位址在下載PowerShell指令碼,並執行惡意命令的情況,事實上,根據他們的追蹤,這些駭客從去年7月開始,存取其中3臺主機,濫用微軟辦公室軟體Office的舊版輸入法編輯器(IME)檔案,以及已知漏洞CVE-2018-0824,將惡意程式ShadowPad、Cobalt Strike,以及其他後續作案的攻擊工具植入這個研究機構當中,至少有11天之久,但究竟有多少資料遭竊,思科並未透露。

新興攻擊手法濫用免費Cloudflare隧道服務,靈活交付惡意軟體

資安公司Proofpoint發現惡意人士透過TryCloudflare試用服務,大量濫用Cloudflare隧道(Tunnel)傳遞惡意軟體,隱藏其交付遠端存取木馬(RAT)的行動。這項新的攻擊手法,代表著攻擊者能夠靈活改變其基礎設施和戰術,並透過持續演進的伎倆提高攻擊成功率,降低被發現的機會。

自2023年以來,濫用TryCloudflare隧道的行為變得越來越普遍,攻擊者持續改良戰術與手法,擴大活動範圍,傳遞資訊量從數百到數萬不等,影響達全球數千組織。研究人員觀察到,該攻擊活動通常圍繞在商業主題上,以發票、文件請求、包裹遞送或是稅務等作為誘餌,並使用英文、法文、西班牙文和德文,達到廣泛的攻擊效果。

透過TryCloudflare傳遞的常見惡意軟體,包括Xworm、AsyncRAT、VenomRAT,而Remcos和GuLoader出現機會較少。研究人員表示,從他們發現此手法以來,背後操控的攻擊者已逐漸改變其戰術、技術和程式,試圖繞過偵測進行更高效的攻擊。

DigiCert註銷逾8萬個SSL憑證

8月4日SSL數位憑證機構(CA)DigiCert突然宣布消息,表明要註銷未做好適當驗證的SSL憑證,數量超過8.3萬個,並要求用戶在周末前更換新憑證。為何要撤銷憑證?DigiCert坦承他們沒做好網域控制驗證(Domain Control Validation,DCV)。

被註銷的憑證主要影響TLS憑證,以及少部分S/MIME憑證。若用戶S/MIME憑證遭到註銷,其電子郵件還是能使用,但無法使用電子郵件加密,因此,在用戶未能更換S/MIME憑證前,收件者只能仰賴郵件用戶端的信任警告來確保信件的安全性。

根據DigiCert的Bugzilla報告,這次異動將影響6,807名訂閱用戶、83,267個憑證。

其他攻擊與威脅

研究人員揭露DNS攻擊行動Sitting Ducks,逾3.5萬個網域遭到挾持

專門針對Minecraft伺服器的DDoS攻擊工具包鎖定配置不當的Jupyter Notebook而來

駭客在臉書上聲稱提供AI圖片編輯工具,意圖散布竊資軟體

審計部警告戶役政系統存在資安風險,內政部規畫回應將於今年底完成更新

CISA警告陞泰視訊監控設備漏洞已被用於攻擊行動

 

【漏洞與修補】

蘋果釋出各平臺安全更新,並針對macOS Monterey修補3月公布的RTKit零時差漏洞

7月29日蘋果針對macOS、iOS、iPadOS、watchOS、tvOS與visionOS釋出安全性更新,除了作業系統本身的漏洞之外,也處理多個開源專案元件漏洞。而在3月的時候,該公司對macOS Sonoma、iOS 17、iPadOS 17、tvOS、watchOS、visionOS修補的零時差漏洞CVE-2024-23296,到了5月,他們也對macOS Ventura、iOS 16、iPadOS 16提供相關更新,現在則針對macOS Monterey用戶發布12.7.6版予以修補,並且提到該漏洞已被用於攻擊。

CVE-2024-23296主要影響蘋果即時作業系統元件RTKit,擁有核心讀寫能力的攻擊者,便可繞過核心記憶體保護取得系統控制權,導致敏感資料洩漏,甚至是影響系統的穩定性。

 

【資安產業動態】

資安股又新增一生力軍,中華資安國際預計8月20日上興櫃

臺股交易雖然有起落漲跌,卻是交易相當熱絡,而近期又有一支新的股票公開上市,那就是中華電信集團資安專業服務公司──中華資安國際(股票代號7765)。將可以大幅刺激臺股市場,依據作業流程推論將於8月6日公開發行,預計於8月20日上興櫃。

臺灣目前的資安類股包括:精誠(6214)、資通(2471)、安碁資訊(6690)、緯軟(4953)、是方(6561)、神準(3558)等企業,隨著中華資安國際於8月6日公開發行,預計8月20日上興櫃,也讓臺灣資安類股多一個選擇。

CISA任命首任AI長Lisa Einstein

美國國土安全部旗下的網路安全暨基礎設施安全局(CISA)上周四(8月1日)揭露了該局的首位AI長Lisa Einstein,將負責管理CISA對AI的使用,同時確保其關鍵基礎設施的合作夥伴以安全及可靠的方式來開發及採用AI。

CISA設立AI長的緣由,在於美國行政管理和預算局(OMB)今年3月發布適用於美國所有政府機關的AI政策,其中一項政策便是要求所有聯邦機構都必須設立負責主導與執行AI政策的AI長(Chief AI Officer,CAIO)。

 

近期資安日報

【8月2日】駭客透過網路問答平臺Stack Exchange散布惡意PyPI套件,目標是Raydium區塊鏈用戶

【8月1日】Azure服務出現不穩定的異常情況,微軟表示起因與DDoS攻擊有關

【7月31日】研究人員揭露針對性的PyPI惡意套件攻擊行動,意外扯出AI搜尋引擎被誤導的新型態社交工程危機

iThome Security

熱門新聞

Advertisement