我們昨天報導有研究人員在國際資安大型會議Black Hat USA 2024公布藉由視窗作業系統更新機制「降級」的攻擊手法,這次也有研究人員公布對於特定威脅態勢的觀察,指出這種攻擊手法現在不僅變得非常頻繁,而且,還變得更加刁鑽。
這項威脅態勢,就是駭客濫用雲端服務來掩蓋非法行動的情況。在針對臺灣、香港、越南組織的攻擊行動裡,後門程式Grager存取充當C2的OneDrive帳號手法相當特別。
【攻擊與威脅】
研究人員揭露合法雲端服務被用於散布後門程式的態勢日趨複雜,臺灣也有組織遇害
資安業者賽門鐵克指出,由於攻擊者希望避免引人注目並降低維護基礎設施的成本,他們發現有越來越多駭客加入濫用雲端服務的行列,並開發更多用於這類攻擊的作案工具。研究人員在黑帽大會的議程上,公布相關調查結果。
在這些攻擊行動裡,我們認為名為Grager的後門程式最值得留意,原因是這起資安事故的攻擊目標涵蓋臺灣。研究人員在今年4月,看到中國駭客組織UNC5330針對臺灣、香港、越南的企業組織,部署這支後門程式。
駭客究竟如何尋找攻擊目標,研究人員並未說明,但他們提及惡意檔案來自冒牌的7-Zip網站,一旦使用者依照指示進行下載、安裝MSI檔,電腦就會在部署此壓縮軟體的過程,一併將惡意程式載入工具Tonerjam植入,並用來解密、執行後門程式Grager。而這支後門程式啟動時,會解密用戶端ID(client_id)並根據儲存體(Blob)更新存取OneDrive的憑證(Token),從而與駭客控制的OneDrive帳號連線。
6月WhatsUp Gold修補漏洞,8月初駭客攻擊行動開始現蹤
今年6月Progress針對網路監控系統WhatsUp Gold發布更新,當中修補重大層級的漏洞CVE-2024-4883、CVE-2024-4884、CVE-2024-4885(CVSS風險評分皆達到9.8),攻擊者能在未經授權的情況下,利用這些漏洞遠端執行任意程式碼(RCE),如今有研究人員提出警告,部分漏洞已出現實際攻擊行動。
Shadowserver基金會提出警告,他們自8月1日看到來自6個IP位址的攻擊行動,駭客利用CVE-2024-4885,企圖存取WhatsUp Gold系統的/NmAPI/RecurringReport。
研究人員特別提到,由於這項漏洞的概念性驗證程式碼(PoC)已被公開,駭客無需自行從頭拆解,就能快速將漏洞用於攻擊行動,IT人員應盡快套用相關更新。目前而言,Shadowserver基金會與該組織的全球漏洞濫用儀表板,都尚未公布目前曝險的系統數量。
其他攻擊與威脅
◆瀏覽器存在長達18年的漏洞被用於攻擊行動,Chrome、Firefox、Safari都中招
◆駭客濫用Google Drawing和WhatsApp功能從事網釣攻擊
◆研究人員公布駭客如何將人工智慧機器人Copilot變成武器
【漏洞與修補】
系統背景自動產生的影子資源恐出現弱點!研究人員揭AWS服務存在Bucket Monopoly、Shadow Resources漏洞
資安業者Aqua Security的研究人員於今年2月,找到6個AWS重大層級的漏洞,並指出這些漏洞可讓攻擊者破壞所有帳號,有可能導致帳號遭到接管,或是遠端執行任意程式碼、資料外洩、曝露義感資料、引發服務中斷的情形。對此,AWS獲報後進行相關驗證,並自3月至6月逐步完成修補。研究人員也在黑帽大會上公布相關的調查結果。
這些漏洞主要偏重於「影子資源」的層面,這類資源的來源,是使用者在進行AWS服務的相關設定過程裡,由系統在背景自動產生的資源,因此這類資源的運作狀態,一般使用者往往不會特別留意。
其中一個漏洞被稱做Bucket Monopoly,起因是S3儲存桶使用了容易被猜到的AWS帳號ID,由於這個ID原本不被視為敏感資料,而讓攻擊者有機可乘。另一個研究人員公布的弱點被稱為Shadow Resources,攻擊者可在使用者不知情的狀態下,藉此產生AWS S3的服務元件。
RISC-V處理器存在GhostWrite漏洞,攻擊者有機會取得設備完整控制權
德國CISPA亥姆霍茲資訊安全中心發現,阿里巴巴旗下的半導體業者平頭哥(T-Head)生產的RISC-V處理器玄鐵C910,存在名為GhostWrite的漏洞,攻擊者在具備特定權限的情況下,能從記憶體讀取或寫入資料,而有機會得到完整、不受限制的存取權限。研究人員也在Black Hat USA 2024國際資安會議上,揭露相關細節。
值得留意的是,雖然這項弱點主要是出現在玄鐵C910,但有鑑於是目前速度最快的處理器,影響的範圍並不小,包括個人電腦、筆電、容器,以及在雲端伺服器執行的虛擬機器(VM)。
研究人員已確認曝險的設備如下: Scaleway Elastic Metal RV裸機(Bare Metal)雲端實體,以及Sipeed Lichee Pi 4A、Milk-V Meles、BeagleV-Ahead單板電腦(SBC);再者,部分Lichee運算叢集、筆電、電玩主機也存在這項弱點。
已結束生命週期的思科IP電話存在重大漏洞,未經驗證的攻擊者能以root權限執行作業系統層級命令
思科本周發布安全公告,已結束生命週期(EOL)的IP電話設備出現多項漏洞,包含3項可執行任意指令的重大漏洞,影響Small Business SPA300和SPA500系列機種,該公司不打算提供修補程式,呼籲用戶儘速汰換設備。
這次修補的漏洞有5項,影響IP電話系統的網頁管理介面軟體,其中3項特別值得注意,編號分別為CVE-2024-20450、CVE-2024-20452和CVE-2024-20454,屬於風險值9.8的任意指令執行漏洞,可讓未經驗證的遠端攻擊者以root權限,於電話設備的作業系統執行任意命令。
值得留意的是,因為這些設備生命週期已經結束,思科強調不會提供修補。
其他漏洞與修補
◆研究人員揭露微軟Entra ID隱藏的身分驗證機制,恐讓攻擊者取得全域管理員權限
【資安產業動態】
路透社取得知情人士的消息在8月8日指出,市值約9,500億日元(65億美元)的趨勢科技在吸引外界購買的興趣後,正在考慮出售,消息一出,我們向趨勢科技進一步確認此事,該公司表示對於謠傳訊息不予評論,身為公開發行上市的資訊安全公司,持續專注以領先業界的資安平臺進行營運並服務客戶。
蘋果在自家服務引入同態加密(Homomorphic Encryption)技術保護用戶隱私,近日也把該加密技術Swift實作開源出來,讓開發者可以更簡單地在程式中應用同態加密。
該公司開源Swift同態加密套件使用了Swift Crypto中高效能低階加密原語,支援伺服器端Swift,並且可使用Benchmark函式庫進行簡單的基準測試。
近期資安日報
熱門新聞
2024-11-25
2024-11-25
2024-11-25
2024-11-25
2024-11-24
2024-11-22
2024-11-25