文/周峻佑 | 2024-09-16發表

上週四(12日)中租控股、兆豐金控、彰化銀行發布重大訊息,證實公司部分網站遭遇DDoS攻擊而面臨服務中斷的情況,臺灣證券交易所同日也傳出受害;親俄駭客組織NoName057、RipperSec聲稱是他們所為,但究竟有多少企業組織受害?數位發展部週末召開記者會提出說明。

他們指出這波攻擊行動在10日出現,總共至少有45起攻擊,大部分受害的企業組織皆能快速應變,短時間就能恢復網站運作。

 

【攻擊與威脅】

針對0912親俄駭客對臺網站發動DDoS攻擊,4天之內已有45起事故

9月10日親俄駭客組織NoName057聲稱,將對臺灣政府機關、關鍵基礎設施的網站發動一系列的DDoS攻擊,並將這場行動命名為OpsTaiwan,起因是總統賴清德在接受媒體採訪的回答,當時他針對中國政府一再主張的維護領土完整性,認為他們應該要奪回清朝簽訂璦琿條約而割讓俄羅斯的土地,此言引發駭客不滿;另一個駭客組織RipperSec則表示,要與NoName057共同對臺發動攻擊,到了12日,有多個軍方機構與企業傳出網站遭到DDoS攻擊的消息,例如,中租控股、兆豐金控、彰化銀行發布重大訊息,表示他們的網站遭遇DDoS攻擊,但究竟有多少企業組織成為兩個親俄駭客下手的目標?數位發展部14日召開記者會,說明此次資安事故的規模。

數位部表示,他們在這波攻擊行動出現後已掌握相關情資,並提到早在10日,就有部分網站受到DDoS攻擊侵擾,導致對外服務出現不穩定的情況,根據他們的統計,總共出現45起攻擊事故,對象包括地方稅務機構、區域民航站、主計總處、金融機構、電信業者。

數位部指出,這些遭到攻擊的企業組織大多在第一時間啟動相關機制因應,目前尚未出現系統遭到破壞的跡象,大部分機構能在短時間恢復網站運作。

惡意程式Amadey竊取帳密資料有新招,利用瀏覽器的Kiosk模式來進行

資安研究團隊Open Analysis Labs(OALabs)揭露惡意程式Amadey最近活動,他們採取竊取帳密資料的新招術,這群歹徒先是啟動瀏覽器的Kiosk模式,然後存取特定服務的首頁(通常是Google),並脅迫使用者輸入相關資料,再將憑證盜走。

他們察覺駭客新手法的原因,在於Amadey從遠端伺服器下載竊資軟體StealC之餘,也會一併部署AutoIT指令碼Credential Flusher,該工具會檢查使用者電腦上的瀏覽器,再以Kiosk模式啟動。由於這種模式原本是用於公共場所展示特定資訊,瀏覽器會隱藏網址列並以全螢幕執行,停用關閉應用程式的快速鍵,攻擊者這麼做,使得用戶很可能因為不知道如何處理,依照指示輸入帳密資料而讓對方得逞。

130萬臺安卓電視機上盒遭植入後門

防毒業者Doctor Web今年8月在安卓電視機上盒上發現後門程式,因其變更裝置系統檔案區被防毒程式偵測曝光,它鎖定執行AOSP的電視機上盒韌體檔案系統植入後門程式,以便之後攻擊者可下令下載和安裝第三方軟體。研究人員以其植入的元件而命名為Android.Vo1d。

分析顯示,Android.Vo1d的模組(vold、wd),功能包括下載與執行C&C伺服器指令要求的執行檔、安裝加密daemon,還能監測特定目錄以安裝APK檔。研究人員估計,197國用戶的近130萬臺Android電視機上盒遭到感染。受害者主要分佈在中東、非洲、南美及亞洲,如巴西、摩洛哥、巴基斯坦、沙烏地阿拉伯、此外也包含俄羅斯、馬來西亞及印尼等。

其他攻擊與威脅

駭客組織Void Banshee利用MSHTML欺騙漏洞從事攻擊行動

針對Fortinet資料外洩事故,研究人員揭露更多發現

勒索團體聲稱攻入中國工商銀行倫敦分行,偷走520萬個檔案,遭竊資料量高達6.2 TB

惡意軟體Hadooken鎖定Oracle WebLogic伺服器而來

 

【漏洞與修補】

GitLab修補重大層級的管道執行漏洞

上週GitLab發布社群版(CE)及企業版(EE)17.3.2、17.2.5、17.1.7版更新,總共修補17個漏洞,其中最值得留意的是被列為重大層級的CVE-2024-6678,此漏洞影響8.14以後的版本,允許攻擊者在特定的環境下,以任意使用者觸發自動化工作Pipeline機制,CVSS風險評為9.9分(滿分10分)。

值得留意的是,針對能濫用Pipeline機制的漏洞,GitLab已在6月、7月修補相關漏洞。今年6月,他們修補了CVE-2024-5655,隔月緩解CVE-2024-6385,這兩個漏洞皆為重大層級,CVSS風險評分為9.6。

Docker修補電腦版應用程式RCE漏洞

近期Docker發布電腦版應用程式Docker Desktop更新4.34.2版,修補2項高風險層級的漏洞CVE-2024-8695、CVE-2024-8696,攻擊者可濫用惡意延伸套件,而有機會遠端執行任意程式碼(RCE),4.0版CVSS風險評分為9.0、8.9,3.1版CVSS風險則都達到了9.8分的程度。

對於這些漏洞發生的原因,資安新聞網站Cybersecurity News指出弱點發生在於該應用程式處理延伸套件的資訊,例如:套件說明、版本更新記錄、發布的URL,攻擊者一旦在延伸套件的相關欄位輸入有問題的內容,就有機會愚弄Docker Desktop,而能在受害電腦執行任意程式碼。

其他漏洞與修補

蘋果修補Vision Pro虛擬鍵盤漏洞GAZEploit

 

近期資安日報

【9月13日】中租、兆豐、彰銀接連遭遇DDoS攻擊發布重訊,俄羅斯駭客聲稱是他們所為

【9月12日】CosmicBeetle駭客針對中小企業發動勒索軟體攻擊

【9月11日】微軟發布9月例行更新,揭露與修補4個已被用於攻擊行動的零時差漏洞

iThome Security

熱門新聞

Advertisement