這一星期Black Hat USA 2024於美國拉斯維加斯登場,今年是第27屆,照往年慣例,有很多資安新聞都在此時發布,特別的是,今年新納入的AI Summit研討會於當地時間6日舉行,趨勢科技也在一場演說中展示偵測深偽(Deepfake)商用解決方案,同時闡釋AI世代的企業資安風險管理差異,幫助大家因應未來的局勢。

黑帽大會主活動於7日與8日展開,當中有許多全球頂尖資安研究人員揭露最新的研究成果,我們在這一星期資安日報的新聞,也陸續報導相關消息。

●賽門鐵克揭露6起攻擊者濫用合法雲端服務的攻擊行動,不僅指出這些手法日趨複雜,特別的是,研究人員提及中國駭客組織UNC5330散布Grager後門程式,攻擊目標是臺灣、香港、越南的企業組織。
●德國CISPA亥姆霍茲資訊安全中心揭露GhostWrite漏洞,問題發生在阿里巴巴旗下平頭哥半導體(T-Head)所生產的RISC-V處理器玄鐵C910,並指出其影響範圍可能很廣泛且難以修補。
●Zenity研究人員公布了如何將Copilot變成駭客武器的最新研究,並釋出新的LOLCopilot紅隊工具模組,當中主要探討駭客如何在滲透後利用Microsoft Copilot來搜尋、解析並竊取敏感資料,而且不會產生日誌。
●資安業者Bitdefender揭露Solarman太陽能發電監控系統、寧波德業(Deye)逆變器的漏洞,兩家業者在接獲通報後皆著手修補。(研究人員是在美國黑帽大會附近另一場於8日到11日舉行的DEF CON 32資安會議展示這項成果。)

臺灣資安研究人員也在本次黑帽大會揭露重要發現,並且於臺灣時間周末登場,因此我們在本期資安週報先行整理。例如,戴夫寇爾首席資安研究員蔡政達(Orange Tsai),今年他揭開名為Confusion Attacks的全新攻擊面向,當中探索了Apache HTTP Server中存在的架構問題,並在攻擊研究中找到9個漏洞,而Orange先前也已將這些漏洞通報給Apache軟體基金會,在7月已有修補釋出(還有1個漏洞的CVE編號待公布);睿控網安的研究人員鄭仲倫、馬聖豪、林怡安‍則公開資安防護上對於惡意程式分析的新方法,主要針對攻擊者將惡意程式碼混淆以規避偵測與分析的問題,提出一種新穎且基於神經網路的符號執行大型語言模型--CuIDA,以模擬人類專家分析策略來進行,並可在不對加殼器進行解壓或解密的情況下,直接檢測被保護的可執行文件。

在漏洞消息方面,本星期共有3個漏洞利用狀況值得我們重視,其中一項已知漏洞的防範,需要國內特別重視,因為資安業者指出有中國駭客利用該漏洞入侵臺灣研究機構。

(一)思科旗下Talos揭露APT41針對臺灣政府所屬研究機構的攻擊行動,當中具體列出該組織的手法,以及使用已知漏洞CVE-2018-0824,將惡意程式ShadowPad、Cobalt Strike等攻擊工具植入這個研究機構。
(二)開源ERP系統Apache OFBiz在今年5月修補的漏洞CVE-2024-32113,大家要當心!因為最近出現攻擊者鎖定利用這個管道的狀況。SANS網路風暴中心指出,最近利用此漏洞的攻擊行動,其目的是將殭屍網路病毒Mirai植入OFBiz。
(三)在Android的8月例行更新中,包含1個已遭利用的零時差漏洞CVE-2024-36971修補。該漏洞今年6月公布時存在Linux作業系統核心,但該漏洞也影響到Android系統,後續Google TAG小組發現有此漏洞的針對性攻擊跡象。

還有2個與臺灣有關的漏洞消息,首先是美國CISA針對臺灣視訊監控設備廠商陞泰科技(Avtech)發布警告,指出其產品存在漏洞CVE-2024-7029並被用於攻擊行動, 但陞泰尚未公布緩解措施,因此CISA特別提供可降低此漏洞遭利用的作法;另一是上月底PKfail漏洞揭露後,技嘉於8月1日回應此問題的解法,他們表示,將在8月、9月釋出不同平臺的新版BIOS,予以修補。

在資安事件方面,有2起消息與國內上市櫃公司有關,還有MDM業者遭駭引發上萬平板筆電無法使用,以及DigiCert撤銷8萬憑證的情形。我們整理如下:
●上市電腦及週邊設備業「偉聯科技」在8月5日發布資安重訊,說明部份資訊系統遭受駭客網路攻擊事件。
●上櫃資訊服務業「智聯服務」在8月5日發布資安重訊,說明部份僅供內部人員使用的資訊系統遭受駭客攻擊。
●在法國奧運賽事期間,當地博物館法國巴黎大皇宮說明遭遇網路攻擊事件,但也指出僅影響博物館內的書店與精品店。
●行動裝置管理(MDM)方案業者Mobile Guardian遭駭,導致列管的大量iOS及ChromeOS裝置遭未經授權存取,而這起事故也造成許多災情,例如新加坡就有1.3萬學生上課用的平板筆電無法使用。
●SSL數位憑證機構DigiCert宣布撤銷8萬多個憑證,影響6千多用戶,原因是他們自身未做好網域控制驗證。

在資安防禦動向上,有兩個重要消息,一是中華資安國際預計於8月20日登錄興櫃,為臺灣證券市場新增一個資安生力軍;另一是美國CISA首任AI長在8月初出爐,這是因為美國OMB在今年3月的規範,強調在AI時代需有人來主導及監督如何使用AI技術,並考慮安全及可靠性,以此幫助眾人真正獲得AI帶來的好處。

 

【8月5日】研究人員公布去年中國駭客APT41攻擊臺灣研究機構的事故

隨著政治情勢日益緊張,中國駭客針對臺灣企業組織發動攻擊的情況不斷傳出,而在上週四又有這類事故的調查出爐,有資安廠商去年發現一個附屬於臺灣政府機關的研究機構遭駭。

值得留意的是,在這起攻擊行動裡,駭客運用過往較為少見的手法,其中一種是利用舊版微軟Office軟體搭配的輸入法編輯器(IME),該元件推出已長達13年,且不再受到支援。

【8月6日】達美航空、CrowdStrike將針對EDR系統大當機事故對簿公堂

7月19日臺灣時間下午發生的CrowdStrike更新出錯事故,導致全球各地都出現災情,其中最早傳出受害的是航空業者及醫療機構,如今有航空公司指控,他們因故招致業務停擺及名譽受損,求償5億美元。

但CrowdStrike不以為然,認為該公司較晚復原與IT運作疏失有關,控告目的其實是在推卸責任。

【8月7日】法國博物館驚傳遭遇勒索軟體攻擊

奧運賽事正如火如荼進行,臺灣也有不少選手獲得佳績,但在此同時,提供擊劍和跆拳道比賽場地的法國巴黎大皇宮(Grand Palais Rmn),傳出遭遇網路攻擊,當地媒體取得知情人士的說法,這起事故是勒索軟體攻擊,駭客疑似打算向博物館索討贖金。

不過,由於所有的博物館及奧運賽事皆正常運作,這樣的說法隨即就遭到否認,其中一個被點名的博物館羅浮宮出面反駁,他們並未遭遇勒索軟體攻擊。

【8月8日】黑帽大會首度增設AI議程,趨勢科技展示深偽偵測技術

在全球目光集中在奧運的同時,上週末(8月3日)重量級資安會議黑帽大會Black Hat USA 2024正式在美國拉斯維加斯展開,前4天是資安訓練活動,最後兩天則有超過100場精選議程。

其中最吸引眾人注意的安排,是大會前一天舉辦AI Summit研討會,趨勢科技也在上午議程展示偵測深偽(Deepfake)的商用解決方案。

【8月9日】資安業者公布6起濫用雲端服務的後門程式攻擊行動,並指出有臺灣組織受害

我們昨天報導有研究人員在國際資安大型會議Black Hat USA 2024公布藉由視窗作業系統更新機制「降級」的攻擊手法,這次也有研究人員公布對於特定威脅態勢的觀察,指出這種攻擊手法現在不僅變得非常頻繁,而且,還變得更加刁鑽。

這項威脅態勢,就是駭客濫用雲端服務來掩蓋非法行動的情況。在針對臺灣、香港、越南組織的攻擊行動裡,後門程式Grager存取充當C2的OneDrive帳號手法相當特別。

熱門新聞

Advertisement