文/周峻佑 | 2024-11-18發表

上週二資安業者BlackBerry揭露對於間諜軟體LightSpy攻擊行動的最新調查結果,指出攻擊者的身分是中國駭客APT41,並提及另一款模組化的惡意程式框架DeepData Framework,事隔3日,有研究人員透露更多關於該框架的外掛模組功能細節,其中最引起他們注意的是,專門針對FortiClient用戶端程式零時差漏洞而來的外掛元件。

值得留意的是,這項漏洞的修補狀態並不明朗,後續發展相當值得觀察。

 

【攻擊與威脅】

中國駭客BrazenBamboo利用FortiClient零時差漏洞,開發能擷取VPN帳密的惡意程式

11月12日資安業者BlackBerry指出,他們發現使用iOS間諜軟體LightSpy的攻擊者身分,就是惡名昭彰的中國駭客組織APT41,並指出這些駭客也鎖定政治人物及記者的電腦,打造Windows惡意程式框架DeepData Framework,事隔數日,有其他研究人員公布新的調查結果。

資安業者Volexity指出,他們在今年7月,於執行Fortinet的VPN用戶端的Windows電腦裡,察覺零時差漏洞(目前尚未登記CVE編號),此為可導致帳密洩漏的弱點,攻擊者可藉由用戶端FortiClient的處理程序,從記憶體內竊取帳密資料。

針對惡意程式的來歷,研究人員認為開發者是中國國家級駭客組織BrazenBamboo,這組人馬與LightSpy、DeepData、DeepPost惡意軟體家族有所聯繫。他們也揭露駭客設計的部分攻擊流程,包含如何利用FortiClient漏洞,以及得逞後透過DeepPost外傳資料的手段。

已終止支援的GeoVision視訊監控設備存在重大漏洞,傳出被用於攻擊行動

11月15日台灣電腦網路危機處理暨協調中心(TWCERT/CC)發布資安公告,指出奇偶科技(GeoVision)旗下有多款已停止維護設備存在作業系統層級的命令注入漏洞CVE-2024-11120,而且,他們已經掌握該漏洞已遭到利用的跡象。

對於這項漏洞帶來的影響,TWCERT/CC表示涵蓋視訊主機GV-VS11、GV-VS12,車牌辨識系統GV-DSP LPR V3,以及第2、第3代的GVLX 4移動式攝影機。攻擊者一旦利用這項漏洞,就有機會在未經身分驗證的情況下,遠端注入系統指令,並於設備上執行,CVSS風險評為9.8分。由於這些設備奇偶已終止支援,TWCERT/CC建議用戶應汰換設備因應。

針對已經出現的漏洞利用情況,通報此事的Shadowserver基金會表示,他們看到該零時差漏洞有殭屍網路廣泛利用,鎖定該廠牌已終止支援(EOL)的設備而來。究竟有多少設備受害,研究人員並未進一步說明。

其他攻擊與威脅

中國駭客SilkSpecter以黑色星期五為誘餌,發動網釣攻擊

中國駭客入侵美國多家電信業者,T-Mobile傳出也受害

惡意程式Melofee鎖定RHEL作業系統而來

越南駭客鎖定歐洲、亞洲,企圖部署竊資軟體PXA

 

【漏洞與修補】

PostgreSQL發布安全性更新,修補高風險任意程式碼執行漏洞

11月14日關聯式資料庫軟體平臺PostgreSQL開發團隊發布17.1、16.5、15.9、14.14、13.17,以及12.21版一系列更新,本次修補4項資安漏洞,以及35項程式臭蟲。

其中,最值得留意的是被列為高風險層級的CVE-2024-10979,此為PL與Perl環境變數變更造成的弱點,使得攻擊者有機會執行任意程式碼,CVSS風險達到8.8(滿分10分)。

這項漏洞發生的原因,在於PL與Perl環境變數出現不正確控制的現象,導致不具特權的資料庫使用者,有機會改變敏感處理程序的環境變數(如PATH)。開發團隊進一步指出,即使攻擊者並未具備資料庫作業系統的使用者身分,還是有可能藉此執行任意程式碼。

 

【資安產業動態】

Python供應鏈信任措施升級,PyPI導入數位見證機制

Python軟體生態系近期迎來重要功能,PyPI正式啟用數位見證(Digital Attestations),讓套件維護者可以在發布時,加入經過身分驗證的數位簽章,進一步強化軟體供應鏈安全性。此項新措施將可提高套件的可信度並強化整體安全性。根據官方資料,目前已經有超過2萬筆數位見證上傳至PyPI,而這樣大量採用的趨勢,也顯示出業界對軟體安全的高度需求。

PyPI推出兩個新工具供使用者方便驗證檔案的數位見證資訊,使用者可以透過新設計的Integrity API程式化存取數位見證,或直接在PyPI網站的新介面,檢視每個檔案的詳細資訊,包含所有相關數位見證。這些工具提供更高的透明度,讓開發者和使用者能夠即時查證所使用套件的安全性。

符合條件的專案將能夠自動生成數位見證,不需要額外配置即可啟用。使用GitHub Actions發布並依循可信發布原則,且採用pypa/gh-action-pypi-publish發布的套件,已經自動啟用數位見證。之後PyPI計畫逐步推展至其他可信發布環境,讓更多發布環境均可自動生成見證,擴大數位見證的覆蓋範圍。

其他資安產業動態

臺灣遊戲業者智冠導入FIDO身分驗證機制,上線3個月使用量突破百萬人次

 

近期資安日報

【11月15日】中國駭客APT41打造惡意軟體框架,鎖定政治人物與記者的電腦而來

【11月14日】NTLM雜湊洩露欺騙漏洞5個月前被用於攻擊烏克蘭企業組織

【11月13日】微軟本月例行更新揭露4項零時差漏洞

iThome Security

熱門新聞

Advertisement