回顧9月第二星期的資安新聞,有3起與臺灣息息相關的事件需要我們密切關注,包括臺灣多達45個單位與企業遭遇DDoS攻擊,以及臺灣無人機製造商被中國駭客鎖定攻擊,且疑似是涉及ERP相關的供應鏈攻擊。

(一)中租、兆豐、彰銀以及臺灣證券交易所接連公告遭DDoS攻擊,親俄駭客NoName057宣稱是他們所為,還有多個臺灣政府機關也是這波攻擊目標。
(二)中國駭客組織TIDrone今年不斷攻擊臺灣衛星及軍事工業,資安業者警告這些駭客似乎特別偏好攻擊無人機製造商。
(三)臺灣無人機製造商遭攻擊行動Operation WordDrone鎖定被揭露,研究人員指出駭客使用舊版Word主程式,並關注為何是臺灣無人機產業遇害。

關於第一則消息,親俄駭客NoName057近期先針對捷克、法國、烏克蘭的政府機關發動DDoS攻擊,自9月9日開始再針對我國網站攻擊,不僅持續鎖定臺灣政府機關,後續幾波又延伸到財稅單位、官股金融機構及部分企業。關於後續消息,數位發展部在周日9月14日召開記者會說明,目前統計45件DDoS攻擊,各機關皆可於短時間內恢復,另指出我國遭受攻擊目標還包括地方稅務機構、區域民航站、主計總處、財金相關機關及部分電信業者等。

這起事件不僅考驗國內應對DDoS的防護能力,特別的是,由於該組織宣稱攻擊原因是,不滿我國總統賴清德引用中俄領土爭議來反駁中國收復臺灣的主張,但該組織的說詞反而促使國際社會可以討論俄羅斯領地不歸中國、臺灣也是如此的狀況,並吸引到更多關注。

第二與第三則消息有密切關聯,一是趨勢科技研究人員揭露,一是Acronis研究人員揭露,其共通點在於均指出臺灣無人機製造商遭駭客鎖定的狀況,並說明攻擊手法涉及利用Word與ERP軟體,可能涉及供應鏈攻擊情形。特別的是,Acronis還點出受害企業使用的鼎新電腦ERP軟體的程式可能遭竄改,鼎新電腦在Acronis揭露3日後做出回應,指出研究人員所提的「Digiwin」資料夾,實為協助企業服務的連線工具--鼎新雲管家「DigiwinSCP」,目前已預防性關閉此連線並改用其他工具服務客戶。

還有一起國內公司遭駭事件,發生在專注於複合螺絲及螺栓製造的臺灣上櫃公司世鎧精密,他們發布重訊說明公司部分資訊系統遭駭客發動加密攻擊。

在漏洞消息方面,這一星期適逢多家IT廠商的每月例行安全更新修補發布,包括微軟、SAP、Adobe等,在盡速更新修補之餘,有7個漏洞利用情形需要特別重視。
●微軟修補4個已被用於攻擊行動的零時差漏洞,分別是涉及Windows MOTW的CVE-2024-38217,Windows Installer的CVE-2024-38014,Windows Update的CVE-2024-43491,以及Publisher保護機制的CVE-2024-38226。
●SonicWall在8月下旬修補的SonicOS重大漏洞CVE-2024-40766,9月初有多家資安業者示警指出已發現針對該漏洞的攻擊行動。
●有兩個早年的漏洞被美國CISA列入已知利用清單(KEV),分別是2017年Linux Kernel PIE的CVE-2017-1000253,以及開源圖像處理軟體ImageMagick的CVE-2016-3714。

在資安事件與威脅態勢方面,國際間有多個重要消息,當中以Fortinet遭駭事故受矚目,該公司在24小時內發出公告證實此事,承認是存放於第三方雲端共享硬碟內的有限檔案遭未經授權存取,並表示該公司的產品及服務未受影響,後續Fortinet臺灣也說明此次事件對臺灣的客戶並未造成任何影響。

●有人在Breach Forum論壇發文聲稱入侵Fortinet的Azure SharePoint帳戶並竊取440 GB資料,Fortinet證實第三方雲端共享硬碟出現未經授權存取。
●法國IT顧問公司Capgemini疑似發生資安事故,有人在駭客論壇公布20GB的資料,涉及該公司檔案、程式碼與客戶資料。
●卡巴斯基提供移除惡意程式rootkit的工具TDSSKiller,竟遭勒索軟體RansomHub駭客利用此工具來關閉EDR。
●微軟免費開發工具遭中國駭客Stately Taurus濫用,企圖滲透東南亞政府機關竊取機密。
●中國政府主導的網路間諜行動Operation Crimson Palace被揭露,有3波鎖定東南亞的攻擊行動至少4個駭客組織參與,且其入侵手法會利用公開工具隱匿行蹤。

在資安防禦動向上,以國際支付巨擘在資安領域的投入最受關注。由於早年我們經常看到VISA舉辦資安高峰會,公布支付安全的進展,揭露針對交易安全的紅隊攻擊演練,以及併購資安業者等,最近Mastercard也展示他們對資安的重視與投資,不僅在上個月舉行的Black Hat USA 2024大會參展,如今他們更是宣布以26.5億美元併購威脅情報供應商Recorded Future。

 

【9月9日】鎖定臺灣衛星及軍事工業的中國駭客組織TIDrone引起研究人員關注

臺海局勢日益緊張,中國駭客對臺發動攻擊也更加頻繁,過往這些駭客的目標,往往鎖定政府機關、高科技產業、教育機構,但如今出現專門攻擊臺灣新興國防科技產業的駭客組織。

上週趨勢科技揭露的中國駭客TIDrone,就是典型的例子,駭客不斷針對臺灣衛星、軍事工業下手,特別的是,他們偏好攻擊無人機製造商,但為何如此?研究人員並未說明。

【9月10日】勒索軟體駭客將SonicWall防火牆重大漏洞用於實際攻擊

資安業者SonicWall指出,他們在8月修補的重大漏洞CVE-2024-40766,疑似被用於攻擊行動,如今陸續有資安業者公布調查結果,印證真有此事。

其中,最早透露的是資安業者Arctic Wolf,他們指出是使用勒索軟體Akira的駭客所為,昨日另一家資安業者Rapid7也公布他們的發現,值得一提的是,這樣的情況也得到美國網路安全暨基礎設施安全局(CISA)證實,因為他們將這項漏洞加入已遭利用的漏洞名冊(KEV)。

【9月11日】微軟發布9月例行更新,揭露與修補4個已被用於攻擊行動的零時差漏洞

微軟近期發布了9月份的例行更新(Patch Tuesday),漏洞數量較上個月明顯變少,但IT人員仍然不能掉以輕心,因為本次公布的4個零時差漏洞,皆已遭到駭客利用。

值得留意的是,CVSS風險評分最高的CVE-2024-43491,這項漏洞影響特定版本的Windows 10,會將部分元件還原成尚未修補的舊版,引起研究人員高度關注。

【9月12日】CosmicBeetle駭客針對中小企業發動勒索軟體攻擊

有些駭客為了增加成功犯案的機率,他們採取與眾不同的做法,像是資安業者ESET近期透露對於駭客組織CosmicBeetle活動的觀察,就是典型的例子。

這些駭客雖然擁有自行開發的勒索軟體,但他們也成為勒索軟體駭客RansomHub附屬組織而能借助其工具;另一方面,這些駭客也聲稱是LockBit,向受害組織進行恐嚇。

【9月13日】中租、兆豐、彰銀接連遭遇DDoS攻擊發布重訊,俄羅斯駭客聲稱是他們所為

最近與臺灣最為相關的資安事故,莫過於資安業者趨勢科技、Acronis先後揭露鎖定無人機製造商的攻擊行動,但昨天有3家上市公司發布重大訊息,表明他們網站遭到DDoS攻擊的情況,尤其是過往鮮少有企業因DDoS攻擊發布重訊,這樣的資安事故相當值得關注。

值得留意的是,宣稱犯案的駭客組織,是最近2年專門針對協助烏克蘭的歐美國家下手的俄羅斯駭客NoName057,以近半個月而言,該組織在針對捷克、法國、烏克蘭政府機關發動攻擊之外,也鎖定臺灣發動攻擊。

 

本星期漏洞利用狀況一覽表

零時差漏洞利用:4個

CVE-2024-38217 /Windows MOTW保護機制失效漏洞
CVE-2024-38014 / Windows Installer不當權限管理漏洞
CVE-2024-43491 / Windows Update記憶體空間釋放後利用漏洞
CVE-2024-38226 / Publisher保護機制失效漏洞

本星期已知漏洞遭利用:3個

CVE-2024-40766/SonicWall SonicOS的漏洞(8月23日公開,9月6日警告已遭利用)
CVE-2017-1000253/Linux Kernel PIE的漏洞(2017年10月公開,2024年9月9日警告已遭利用)
CVE-2016-3714/開源圖像處理軟體ImageMagick的漏洞(2016年5月公開,2024年9月9日警告已遭利用)

本星期資安事件重大訊息一覽表

世鎧/上櫃鋼鐵工業/9月9日發布/說明本公司發生網路資安事件
中租-KY/上市其他/9月12日發布/本公司公告官網遭受DDOS攻擊事件說明
兆豐金/上市金融保險業/9月12日發布/本公司及證券、票券、投信子公司網站遭受DDOS攻擊事件說明
彰銀/上市金融保險業/9月12日發布/本行官網遭受網路DDoS攻擊事件說明

 

熱門新聞

Advertisement