駭客從事網路攻擊活動,朝向分工的方式進行可說是越來越普遍,其中一種是專門取得目標企業組織初始入侵管道的歹徒(Initial Access Broker,IAB),他們向其他網路罪犯兜售這種管道,如今國家級駭客也出現的類似的分工,有專門的組織從事類似IAB的行為。
資安業者Mandiant發現,伊朗駭客UNC1860在成功入侵目標組織後,會藉由惡意軟體控制工具,為接手從事攻擊行動的駭客,提供以遠端桌面連線存取目標網路環境的能力。
【攻擊與威脅】
UNC1860挖掘滲透中東企業組織的初始管道,替攻擊這些目標的駭客開路
資安業者Mandiant揭露伊朗駭客組織UNC1860,並指出這些駭客疑似隸屬伊朗情報與國家安全部(MOIS),根據他們看到駭客專屬的作案工具,推測這群歹徒可能專為其他網路犯罪組織提供受害組織初始入侵管道(Initial Access Broker,IAB)。
這些駭客起初鎖定曝露於網際網路的伺服器植入名為StayShante的Web Shell,企圖取得受害組織的網路環境初始存取權限,一旦得逞,他們就會部署其他惡意程式,例如:TofuDrv、TofuLoad,來取得進一步的控制權,這些被植入的作案工具比一般的後門程式更為隱密,因為駭客會試圖消除惡意程式對C2基礎設施的依賴,使防守方難以偵測行蹤。
而在UNC1860成功掌握受害組織網路環境的存取管道後,他們便會透過具備圖形操作介面的惡意軟體控制工具TemplePlay、ViroGreen,為接手從事進一步攻擊行動的駭客,提供以遠端桌面連線(RDP)存取受害組織網路環境的能力。
電子郵件是眾多資安廠商公認最主要的網路攻擊起點,從2023年下半到現在,就有多起相關的資安事故與漏洞濫用事件躍上媒體版面,知名的郵件伺服器與郵件安全閘道陸續傳出災情,像是:Microsoft 365雲端服務的Outlook Web Access in Exchange Online(OWA),以及Outlook.com(HPE、歐美政府),開放原始碼電子郵件系統Zimbra,Barracuda郵件安全閘道設備,以及Cisco郵件安全閘道。
對於專營郵件伺服器與郵件安全系統的網擎資訊而言,也深刻體認到資安局勢日趨嚴峻,執行長廖長健在9月11日舉行的Hello World開發者大會首日下午的演講指出,作為防禦方,採取相關措施有三個基本的前提:首先,攻擊者已有產品完整實驗環境;第二,攻擊者可以輕易找到目標伺服器;第三,攻擊者已有目標環境的使用者帳號。
其他攻擊與威脅
◆烏克蘭軍方遭到鎖定,駭客藉由惡意程式SnipBot發動攻擊
◆竊資軟體傳出已繞過Chrome保護Cookie及機敏資料的機制
【漏洞與修補】
9月19日FreeBSD開發團隊發布資安公告,他們發布14.1-STABLE、14.1-RELEASE-p5、14.0-RELEASE-p11、13.4-STABLE、13.4-RELEASE-p1,以及13.3-RELEASE-p7更新,目的是修補重大層級的漏洞CVE-2024-41721,這項漏洞存在於名為bhyve(8)的Hypervisor元件,屬於記憶體越界讀取(OBR)弱點,CVSS風險評為9.8分。
此漏洞發生的原因,在於bhyve透過虛擬USB控制器(XHCI)模擬裝置的過程中,缺乏充分的程式碼驗證,可能導致記憶體越界讀取,從而允許任意寫入檔案或是遠端執行程式碼的情況。
這項漏洞無緩解措施,因此FreeBSD維護團隊呼籲儘速更新。但他們也提及,若是未使用XHCI模擬機制的用戶,不會受到這項漏洞影響。
Cellopoint修補郵件安全閘道重大漏洞,用戶應儘速更新防止管理員權限被奪走
臺灣電腦網路危機處理暨協調中心(TWCERT/CC)9月20日針對基點資訊(Cellopoint)郵件安全閘道系統Secure Email Gateway(SEG)提出警告,指出該系統4.2.1至4.5.0版存在漏洞CVE-2024-9043,此為重大層級的記憶體緩衝區溢位漏洞,CVSS風險達到9.8分。對此,該公司已於8月發布資安公告,並指出他們在Build 20240712之後的版本修正相關弱點。
針對這項漏洞發生的原因,基點資訊指出,起因是該系統處理稽核請求的身分驗證處理程序feedbackd存在弱點,一旦攻擊者向前端網頁發送特製的稽核請求,網頁向feedbackd轉送的過程就會觸發漏洞,導致該處理程序當機。由於前端網頁未能正確處理當機情形,使得前述的稽核請求能夠通過身分驗證,最終攻擊者成功取得系統管理員身分。
近期資安日報
熱門新聞
2024-09-23
2024-09-22
2024-09-23
2024-09-23
2024-09-23
2024-09-24
2024-09-24