回顧10月第四星期的資安新聞主要焦點,莫過於日本電視臺NHK近期公開一部記錄片,揭露中國資安業者安洵信息外洩文件,曝光了中國對全球認知戰的內幕。今年2月我們已經報導此事,當時安洵信息外洩資料暴露中國政府對全球各地的網路間諜攻擊手段,也顯現出中國民間的資安組織在政府從事全球性的APT攻擊中,亦發揮關鍵的作用。
如今NHK耗時半年前往7國繼續深入調查此事,並以記錄片形式揭發此威脅手段,強調中國現在的網路攻擊不只針對系統,網路攻擊也同時針對民眾,透過大量網路輿論操弄的影響力行動來發動「認知戰」。事實上,近年許多資安業者都在持續強調這方面的威脅,需要更多國人重視這類問題。
在資安威脅與警訊上,有兩則重要新聞,一是當心中國駭客組織IcePeony鎖定網頁伺服器注入Web Shell,以及針對IIS伺服器建立後門IceCache的狀況,資安業者發現該組織從去年就鎖定亞洲多國;另一是注意新興勒索軟體Cicada3301,有資安業者指出這是今年6月才開始出現,但最近3個月內已有30家企業組織遭受攻擊,主要鎖定企業的VMware虛擬化平臺、NAS設備。
在資安事件方面,臺灣這一星期就有5家上市公司發布資安重訊,包括美利達、豐祥-KY、華新科、台船,以及正新代加拿大子公司發布,涵蓋產業包括自行車廠、輪胎廠、機車零配件廠、被動元件廠,以及國內最大造船廠。其中華新科的事故成主要焦點,因為後續已有媒體報導指出,勒索軟體駭客RansomHub在暗網宣稱握有該公司150 GB的機密資料;另一焦點在於,有兩家公司指出遭攻擊狀況與郵件系統帳號有關,喚起國內對這方面的警惕,因為這類情形過往很少登上重訊版面。
●自行車廠美利達在21日發布重訊,說明偵測到部份郵件系統使用者帳號遭攻擊,已啟動防禦與修改使用者帳密。
●輪胎廠正新於21日代表旗下Cheng Shin Rubber Canada發布重訊,說明該子公司部份資訊系統遭受駭客網路攻擊。
●電機機械業豐祥-KY在22日發布重訊,說明公司資訊系統在凌晨遭受加密攻擊,已查出加密源頭並阻斷,正在恢復系統。
●被動元件廠華新科在23日發布重訊,說明部份資訊系統遭受駭客網路攻擊。
●國內最大造船廠台船在24日發布重訊,說明偵測到部分郵件系統使用者遭攻擊,已啟動防禦與修改使用者帳密。
國際間則有2起事故受關切,包括思科坦承客戶支援網站資料外流,強調公司內部並未遭駭,以及資安業者ESET在以色列的合作夥伴傳出遭受攻擊,ESET強調公司內部並未遭到入侵,正與當地合作夥伴調查此事。此外,今年8月日本馬達大廠尼得科遭駭,如今有進一步的調查結果公布,研判駭客之所以得逞是因為取得了員工VPN帳密資料。
在漏洞利用方面,這一星期有3個零時差漏洞利用需要重視,攻擊者鎖定Fortinet、Cisco與ScienceLogic產品,顯現出企業產品成為攻擊目標的態勢依然顯著。有一起已調查出幕後攻擊者,資安業者Mandiant指出,關於鎖定Fortinet漏洞的攻擊,已發現是名為UNC5820的駭客組織所為,並且是在6月底就出現嘗試利用跡象。
●Fortinet修補涉及FortiManager的零時差漏洞CVE-2024-47575,Mandiant在公告後隔天揭露,有駭客組織在4個月前就將其用於實際攻擊行動。
●Cisco針對旗下多款產品修補51個漏洞,其中包含針對零時差漏洞CVE-2024-20481的修補,該公司PSIRT團隊在發布修補時即指出有遭利用跡象。
●ScienceLogic修補SL1平臺的零時差漏洞CVE-2024-9537,美國CISA已將此漏洞列入已知漏洞利用清單。
●微軟在7月修補SharePoint的漏洞CVE-2024-38094,以及Roundcube在6月修補Webmail的漏洞CVE-2024-37383,近日發現有駭客針對未修補用戶攻擊。
此外,蘋果在9月修補恐影響MDM行動裝置管理平臺的漏洞CVE-2024-44133,有業者示警疑似漏洞利用跡象。
【10月21日】Internet Archive再傳遭駭
兩週前駭客入侵網際網路檔案館(Internet Archive),並竄改其網頁,向密碼外洩資料庫Have I Been Pwned(HIBP)提供竊得的逾3千萬筆帳號資料,如今這起事故出現新的發展。
在這波攻擊行動裡,駭客濫用該網站的IT服務臺系統Zendesk向用戶寄信「警告」,並取笑維護團隊處理資安事故的速度極為緩慢,用戶的資料外流到不知名人士手中。
【10月22日】資安業者ESET以色列合作夥伴驚傳遭駭,駭客冒名從事網釣攻擊
駭客鎖定合作廠商發動攻擊的情況,很難不讓人聯想到供應鏈攻擊。最近發生在資安業者ESET合作夥伴Comsecure的資安事故,就是這樣的例子。
值得留意的是,駭客疑似透過Comsecure經營的網域,意圖打著ESET的名號,假借提供防護工具為由,向以色列人散布資料破壞軟體(Wiper),為何攻擊者能夠利用該網域寄信?該公司並未進一步說明。
【10月23日】中國駭客組織IcePeony對亞洲國家網頁伺服器發動SQL注入攻擊
中國駭客的攻擊行動頻傳,我們昨天報導APT41針對賭博及遊戲業者進行為期接近9個月的網路間諜行動,另一個過往未曾被發現的駭客組織IcePeony也相當值得留意,因為,這些駭客專門針對影響中國的海洋戰略趨勢,對特定亞洲國家發動攻擊。
值得留意的是,這些駭客也似乎比照中國IT業者的「996」上班制度長時間活動,這意味著,他們可能持續對企業組織的網路環境發動攻擊,而且每天活動的期間涵蓋一般IT人員已經下班的時間。
【10月24日】FortiManager零時差漏洞已被用於實際攻擊行動
本週研究人員揭露多起漏洞利用攻擊的資安事故,例如:Fortinet網路設備管理系統漏洞CVE-2024-47575、三星行動裝置處理器漏洞CVE-2024-44068、macOS作業系統漏洞CVE-2024-44133。
其中,又以CVE-2024-47575相當值得留意,原因是這項漏洞在Fortinet尚未公開之前,已有研究人員提出警告,並有企業傳出遭受攻擊的情況。
【10月25日】Fortinet零時差漏洞4個月前就遭駭客組織UNC5820利用
本週最受到矚目的漏洞,應該就屬網路設備管理平臺FortiManager零時差漏洞CVE-2024-47575(也被稱做FortiJump),在Fortinet對外發布資安公告之後,有資安業者證實已有企業遭遇相關攻擊。
資安業者Mandiant指出,他們看到駭客組織UNC5820在今年6月就開始利用這項漏洞,但對於攻擊者的身分,以及運用漏洞的目的,迄今仍無法掌握。
熱門新聞
2024-10-27
2024-10-27
2024-10-27
2024-10-25
2024-10-25
