生成式AI的應用當紅,相關應用系統的資安漏洞也隨之引起研究人員關注,本週有研究人員公布存在於ChatGPT的漏洞SpAIware,並指出攻擊者可對使用macOS版應用程式的使用者下手,從而側錄其對話內容。

值得留意的是,利用這項弱點的概念性驗證攻擊當中,其實串連了多個環節,其中之一就是ChatGPT的新功能「記憶(Memory)」機制,攻擊者藉此讓所有ChatGPT回覆的資訊都帶有惡意內容。

 

【攻擊與威脅】

勒索軟體RansomHub利用EDRKillShifter載入作案工具,癱瘓防毒及EDR產品的防護

為了加密受害電腦檔案,勒索軟體駭客RansomHub會運用名為EDRKillShifter的工具,將防毒軟體或端點防護工具EDR停用,該勒索軟體運作已超過半年,迄今超過210個企業組織受害,而受到資安圈高度關注。但駭客如何運用EDRKillShifter達到目的?有研究人員公布更多細節。

資安業者趨勢科技指出,駭客已將EDRKillShifter整合到他們的攻擊鏈,而這個惡意程式之所以能攻入受害者電腦,主要是利用存在弱點的驅動程式,但除此之外,駭客也企圖讓這支程式持續於受害電腦運作,目的是讓整個攻擊流程都能不受干擾。

值得留意的是,攻擊者不只將EDRKillShifter用於阻礙防毒軟體及EDR的運作,還將其當作惡意程式載入工具,來執行各階段的作案工具。

安卓金融木馬Octo2鎖定歐洲國家,接管受害裝置

資安業者ThreatFabric針對安卓金融木馬Octo2的攻擊行動提出警告,根據他們的研究,該惡意程式以名為Octo(也叫做ExobotCompact)的木馬程式為基礎進行開發,而且,為了提高裝置接管(Device Takeover,DTO)攻擊的可用性,攻擊者改良遠端控制功能的穩定性,也納入複雜的混淆技術,從而迴避相關偵測機制。值得留意的是,在部分歐洲國家已出現實際攻擊行動。

根據研究人員收集的威脅情報指出,首度出現的Octo2,在義大利、波蘭、摩爾多瓦、匈牙利都有活動跡象,駭客假借提供Chrome、NordVPN,以及名為Enterprise Europe Network的應用程式為誘餌,引誘使用者上當。

一旦使用者執行駭客提供的檔案,手機就會被植入惡意程式Zombinder,接著攻擊者會聲稱為了符合Google的使用者資料隱私政策,要求使用者同意安裝必要的外掛程式,而這個外掛就是Octo2。之所以這麼做,目的就是要繞過Google從Android 13導入的新防護機制。

其他攻擊與威脅

駭客利用Rust打造的紅隊演練工具Splinter從事攻擊行動

北美交通物流業者遭到鎖定,駭客散布惡意軟體Lumma Stealer、NetSupport

汽車經銷商AutoCanada傳出遭Hunter International洩露員工資料

俄羅斯駭客偏好針對安卓、iOS行動裝置下手,從事網路間諜活動、竊取機密及軍事情報

Mozilla基金會傳出透過Firefox隱私功能,未經同意追蹤使用者上網行為

 

【漏洞與修補】

macOS版ChatGPT軟體存在漏洞,攻擊者恐藉此將間諜軟體植入AI工具

今年2月OpenAI宣布將為ChatGPT提供名為記憶(Memory)的功能,並於9月初正式開放所有用戶使用,但有研究人員發現,電腦版應用程式弱點,有機會讓攻擊者將間諜軟體植入AI系統。

資安研究員Johann Rehberger揭露名為SpAIware的弱點,攻擊者可藉由第三方網站進行提示注入(Prompt Injection)攻擊手法,將含有能竊取使用者資訊的間諜軟體注入ChatGPT的記憶區,因此,在macOS版應用程式當中,使用者與AI機器人對話的內容,將會持續傳送到攻擊者的伺服器。OpenAI獲報後,已發布新版應用程式予以修補。

究竟要如何發動SpAIware攻擊?具體而言,攻擊者要引誘使用者分析不受信任的檔案,或是將他們導向不受信任的網站,而這個網站含有控制ChatGPT及插入惡意資料而能滲透ChatGPT記憶功能的命令。一旦得逞,應用程式就會將使用者後續的聊天內容傳送給攻擊者。

資料庫管理工具pgAdmin存在重大漏洞,攻擊者可繞過OAuth身分驗證流程挾持用戶資料

9月23日PostgreSQL資料庫管理工具pgAdmin 4發布8.12版,當中修補重大層級漏洞CVE-2024-9014,這項漏洞存在8.11版之前的所有版本,若不處理,很有可能對使用者資料造成危害。

細部而言,此項資安弱點的問題出在OAuth2身分驗證機制,攻擊者有機會藉此取得用戶端ID及帳密機敏資料(Secret),進而在未經授權的情況下存取使用者的資料,CVSS風險評分為9.9(滿分10分)。

Acronis修補備份軟體Plug-in程式的重大資安漏洞

資料保護軟體與服務廠商Acronis,於9月16日發布旗下Acronis Backup備份軟體Plug-in程式的更新通報,提醒用戶盡速更新軟體,以修補其中含有的重大資安漏洞CVE-2024-8767。

CVE-2024-8767是Acronis評為嚴重性9.9分(滿分10分)的重大漏洞,問題出在Plug-in程式的權限設定不當,可能會讓受影響的伺服器發生敏感資訊外洩的狀況,並讓攻擊者執行未授權的操作。

受這個漏洞影響的Acronis Backup備份Plug-in程式,包括搭配cPanel & WHM、Plesk與DirectAdmin等3款Linux平臺主機與網站管理工具的Plug-in程式,這些Plug-in程式的用途是將前述管理工具的資料,備份到Acronis Backup環境中。Acronis建議將搭配cPanel & WHM與Plesk的Plug-in程式,分別更新到1.8.0版,而搭配DirectAdmin的Plug-in則更新到1.2.0版。

 

近期資安日報

【9月25日】UNC1860為攻擊中東企業組織的駭客開路

【9月24日】北韓駭客散布惡意PyPI套件,意圖發動供應鏈攻擊

【9月23日】中國聲稱遭我國成立的駭客組織攻擊

熱門新聞

Advertisement