文/周峻佑 | 2024-10-23發表

中國駭客的攻擊行動頻傳,我們昨天報導APT41針對賭博及遊戲業者進行為期接近9個月的網路間諜行動,另一個過往未曾被發現的駭客組織IcePeony也相當值得留意,因為,這些駭客專門針對影響中國的海洋戰略趨勢,對特定亞洲國家發動攻擊。

值得留意的是,這些駭客也似乎比照中國IT業者的「996」上班制度長時間活動,這意味著,他們可能持續對企業組織的網路環境發動攻擊,而且每天活動的期間涵蓋一般IT人員已經下班的時間。

 

【攻擊與威脅】

中國駭客組織IcePeony利用SQL注入手法,針對亞洲國家網頁伺服器下手

中國駭客發動攻擊的情況不時傳出,近期研究人員揭露多組過往未曾發現的駭客組織,如今有個組織因駭客的作業疏失,而讓研究人員有機會一探究竟。

資安研究團隊Nao_sec揭露中國駭客組織IcePeony的攻擊行動,並推測這些駭客至少從2023年開始活動,針對印度、模里西斯、越南等國家的政府機構、學術單位、政治組織發動網路攻擊,根據他們取得的事件記錄資料,駭客試圖攻擊印度各個政府網站的情況相當頻繁,有超過200次的記錄。

這些駭客會鎖定網頁伺服器發動SQL注入攻擊,一旦找到弱點,就會藉此注入Web Shell或惡意程式,其中一種是專門針對IIS伺服器的後門IceCache,最終目的是竊取帳密資料。研究人員認為,這些駭客的攻擊意圖,很有可能與中國的國家利益有關,尤其優先考慮海洋戰略層面的利益。

思科坦承客戶支援網站資料外流,強調公司內部並未遭駭

兩周前駭客在網路上兜售聲稱來自思科的資料,思科坦承確有部分公司資料流出,來自提供客戶支援的資源網站,而非公司內部系統。

10月18日思科針對駭客IntelBroker宣稱駭入該公司系統取得資料的說法,公布初步調查結果。思科聲稱,有信心公司系統未被駭。在駭客論壇兜售的資料是從思科對外公開的資源DevHub網站流出,該網站提供軟體程式碼、腳本程式等資源,供客戶必要時下載。

到目前為止,思科尚未觀察到這批資料包含任何機密資訊如個資或財務資料,但說會持續調查。為謹慎起見,思科已經預防性關閉外部存取管道。同時思科也預告,一旦調查發現客戶資訊外流,將會直接聯繫受影響的客戶。

日本馬達大廠尼得科傳出遭到勒索軟體攻擊,疑VPN帳密外流釀禍

今年8月上旬日本馬達大廠尼得科(Nidec)證實,越南子公司NPCV的網路環境遭到非法入侵,駭客竊取資料並向他們索討贖金,換取駭客不外流檔案。事隔兩個月,該公司公布更多細節。

10月17日尼得科表示,他們在8月5日收到駭客的通知,對方聲稱成功滲透NPCV網路環境,並從伺服器竊得檔案,要他們付錢。該公司經過與外部專家進行調查,確實有部分資料被公布在暗網。但他們強調此事發生後,沒有出現新的攻擊事故,或是檔案遭到加密的情形。

究竟事件發生的原因為何?該公司研判駭客是取得員工VPN帳密資料而能得逞。他們已對所有端點電腦進行掃描、重設密碼,以及重新審查伺服器的存取權限因應。

未妥善揭露2020年SolarWinds供應鏈攻擊,Unisys與Check Point等4家業者遭SEC罰款

SolarWinds旗下的IT監控平臺Orion在2020年12月遭到駭客滲透,駭客入侵了Orion的更新機制,於特定的Orion版本中植入Sunburst木馬程式,估計在3.3萬家Orion客戶中,有1.8萬家安裝了含有Sunburst的Orion,間接受害的企業或機構,除了眾多的美國聯邦組織,還包括FireEye、微軟、思科、英特爾與Nvidia等業者,這起事故最近出現新的發展。

美國證券交易委員會(SEC)周二(10月22日)針對Unisys、Avaya、Check Point、Mimecast等4家業者祭出裁罰,原因是這些公司遭遇上述事故波及時,試圖對外淡化造成的影響(Downplaying the extent of a material cybersecurity breach),損及股東與投資人的權益。

根據調查,這4家公司先後在2020年、2021年發現駭客循線入侵他們的內部系統,但卻在公開訊息淡化相關事故。

機車零配件廠豐祥遭受攻擊,傳出部分檔案遭到加密

10月22日晚間機車零配件廠豐祥發布重大訊息,指出他們當天早上資訊系統遭遇加密攻擊,該公司已找出源頭並阻斷加密行為,目前正著手恢復系統。該公司初步評估,這起事故對公司營運無重大影響。

對於這起資安事故的因應,豐祥資訊團隊立即尋求外部資安咨詢業者合作,共同進行後續處理及復原作業,並全面強化相關防禦機制。該公司未來將持續强化網路與資訊基礎架構的管控,以確保資訊安全。

被動元件製造商華新科技遭到網路攻擊

今天下午被動元件製造商華新科技在股市公開觀測站指出,他們有部分資訊系統遭遇網路攻擊,在察覺事故的當下立即啟動相關防禦機制因應。

針對這起事故可能帶來的影響,該公司表示目前評估尚未出現個資或內部文件外流的情況,對於公司營運尚無重大影響。 

其他攻擊與威脅

越南駭客鎖定經營Meta廣告的從業人員,散布惡意程式Ducktail、Quasar RAT

惡意軟體Perfctl鎖定曝露的Docker API而來

惡意軟體Hijack Loader攻擊出現變化,駭客結合ClickFix社交工程手法引誘使用者上勾

三星行動裝置SoC存在零時差漏洞,Google警告已遭到積極利用

其他漏洞與修補

Oracle WebLogic伺服器存在重大漏洞,若不處理攻擊者有機會得到完整控制權

 

近期資安日報

【10月22日】資安業者ESET以色列合作夥伴驚傳遭駭,駭客冒名從事網釣攻擊

【10月21日】Internet Archive再傳遭駭

【10月18日】紅隊演練工具EDRSilence遭濫用,16種EDR系統可能因此被「噤聲」

iThome Security

熱門新聞

Advertisement