11月第一週的資安消息中,在防護動向上,以身分安全為主要焦點,有3起消息都與此有關,其焦點涵蓋Passkey無密碼登入、金融Fast-ID,以及強制啟用MFA。
例如:我們最近發布的封面故事,就是關於臺灣網路服務業者至少已有3家業者,包括:露天市集、可樂旅遊、智冠科技,均在大力宣傳「Passkey無密碼登入」,或是「FIDO生物識別登入」,這不僅代表開始跟上國際業者腳步,也讓用戶能有更安全簡便的登入方式;關於金融Fast-ID驗證轉接中心的進度,先前金管會已透露將於明年6月上線,11月初台北金融科技展上更是公布先導機構預計達20家,不只銀行、保險、證券期貨,也擴及投信投顧與政府機構;Google Cloud宣布明年強制啟用MFA的消息中,提到目前仍有3成帳號未啟用MFA,打破眾人對IT人員早就啟用MFA、重視帳號安全的想像,因此引發外界關注。
還有兩則新聞突顯資安防護上的新技術焦點,我們認為同樣值得關注,一是聯合學習,一是AI抓漏。前者是在科技防詐的發展中,臺灣金融業正聚焦聯合學習技術的應用,目前已有3項實證計畫都在檢驗其有效性,並要促進應用落地;後者是涉及LLM模仿人類安全專家找出漏洞的發展,Google的Project Zero團隊與DeepMind共同研發的AI抓漏專案Big Sleep,已有首個公開實例出現。
另外值得一提的是,臺灣駭客年會企業場在11月登場,副總統蕭美琴也到場支持並給予鼓勵,不只推動產官學研與社群力量的持續合作,更強調確保供應鏈的穩定,將能增強外商對臺灣的信心。
在威脅態勢方面,有一起針對臺灣的攻擊最值得留意,思科Talos指出今年7月出現針對臺灣的臉書企業用戶及廣告帳號的攻擊,其手法是以侵犯版權為由,或假冒企業的法律部門,企圖散布竊資軟體LummaC2、Rhadamanthys。還有兩則駭客攻擊活動揭露,都與資安產品被鎖定有關。
●臺灣企業臉書粉專管理員遭鎖定,駭客聲稱收信人的公司盜用他們的圖片及影片,揚言採法律行動,誘騙收信人開啟偽冒為PDF的可執行檔,以植入竊資軟體。
●英國國家網路安全中心(NCSC)揭露有攻擊者鎖定Sophos XG防火牆設備植入Pygmy Goat的後門程式,資安業者Mandiant分析攻擊者與與中國駭客有關。
●有攻擊者將舊版的Cortex XDR代理程式部署到企業,資安業者Palo Alto Networks指出這是藉由自帶驅動程式(BYOVD)手法。
●繼上月美國多家電信業者電信業者傳出遭中國駭客Salt Typhoon入侵,新加坡電信也傳出受駭,並且疑為同一駭客所為。
●安卓惡意軟體FakeCall的攻擊手法有新招,不僅藉由網路釣魚以植入惡意程式,還可將通話重新導向至攻擊者控制的詐騙號碼。
●研究人員揭露可濫用ChatGPT-4o的新手法,將惡意指令編寫成16進位可繞過原有安全護欄的防護。
至於資安事件方面,在國內,以生產汽機車聞名的上市公司三陽工業,發布資安重訊說明部份資訊系統遭受駭客網路攻擊;國際間,則有2起消息受關注,包括:施耐德電機傳出Jira伺服器資料外洩、駭客聲稱從Nokia合作廠商竊得原始碼。
在漏洞消息方面,這一星期有4大漏洞利用狀況,其中CyberPanel伺服器管理平臺的漏洞最受關注,因為在研究人員揭露相關漏洞資訊後出現攻擊行動,這可能突顯安全研究人員與供應商之間溝通不良,造成用戶需要為此買單的狀況。
●CyberPanel上月修補經研究人員通報的安全漏洞,後續發現攻擊者鎖定並布署勒索軟體Psaux,美國CISA將CVE-2024-51567列入已知漏洞利用清單。
●11月Android例行安全更新中,修補已遭利用的安卓框架元件零時差漏洞CVE-2024-43093,以及高通上月修補的零時差漏洞CVE-2024-43047。
●Palo Alto Networks在7月修補Expedition轉移工具的漏洞CVE-2024-5910,11月8日該業者接獲CISA通知,已有證據顯示該漏洞正被積極利用。
●開源Web伺服器Nostromo nhttpd在2019年修補的老舊漏洞CVE-2019-16278,如今仍有攻擊者鎖定未修補用戶發動攻擊。
至於其他漏洞修補動向,還可以留意的包括:HPE Aruba Networking的Wi-Fi基地臺系統軟體、思科的工控無線URWB路由器、以及ABB的智慧建築能源管理系統的漏洞修補。
【11月4日】安卓語音網釣惡意軟體FakeCall出現新手法
使用語音網釣(vishing)的攻擊手法,最近2年陸續有惡意軟體出現,但大多是針對視窗作業系統的用戶而來,假借提供遊戲、應用程式、破解軟體等名義散布,但如今,也有專門針對行動裝置的攻擊事故。
近期資安業者Zimperium揭露的安卓惡意軟體FakeCall攻擊,就是典型的例子,不過值得留意的是,攻擊者整合了手機的電話功能,而能在使用者授權的情況下,挾持電話內容,以便騙取相關金融資料。
【11月5日】臉書粉專管理員、廣告管理員請提高警覺!竊資軟體鎖定臺灣用戶攻擊
駭客針對臉書企業帳號的管理員,以及管理廣告的用戶而來的情況,每隔一兩個月就出現相關攻擊行動,但最近出現專門鎖定臺灣用戶而來的攻擊。
究竟攻擊者身分為何?目前仍不得而知,但從駭客使用了中國用語的情況,容易讓人聯想是來自中國或是華人。
【11月6日】國際警方破獲2.2萬個用於網釣及勒索軟體攻擊的惡意IP位址
各國執法機關共同合作,破壞特定的勒索軟體、竊資軟體運作,近期有所斬獲,繼上個月荷蘭國家警察在跨國執法行動Operation Magnus當中,成功破獲竊資軟體RedLine及Meta的網路基礎設施,本週國際刑警組織(Interpol)宣布,他們與全球95個國家執法單位聯手,經過5個月的時間,總共查獲約3萬個疑似用於網路犯罪的IP位址,並成功封鎖超過2.2萬個。
特別的是,他們提及香港、蒙古、澳門的執法單位參與這次行動的情況,並公布成果。
【11月7日】惡意程式框架Winos 4.0鎖定中國遊戲玩家而來
惡意程式朝向模組化設計的現象,可說是越來越普遍,因為攻擊者藉此能夠彈性搭配不同的外掛模組,從事各式活動,本週資安業者Fortinet揭露的Winos 4.0,就是典型的例子。
研究人員特別提到,Winos 4.0已從一般的後門程式發展成惡意程式框架,功能與滲透測試工具Cobalt Strike、Silver相當,攻擊者能藉此控制受害電腦並執行多種惡意行為。
【11月8日】德國提出刑法修正草案,確立資安漏洞研究的合法地位
研究人員在調查資安漏洞的過程,很有可能面臨系統維護業者、軟體開發業者的關切,認為研究人員在從事駭客行為而採取法律行動,對此,近期有國家特別針對研究人員調整相關法律,而引起注目。
德國聯邦司法部本週提出新的刑法修正草案,就是針對此事而來,而透過修法保護資安研究人員的做法已有先例,2022年,美國修訂《電腦詐欺及濫用法案(CFAA)》,豁免研究人員遭到起訴的風險。
熱門新聞
2024-11-29
2024-12-19
2024-11-20
2024-11-15
2024-11-15