文/周峻佑 | 2024-11-26發表

供應鏈攻擊事故頻傳,最近軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊,傳出已對客戶的運作造成影響,目前已有連鎖咖啡店星巴克、英國兩大超市證實受到波及。

值得留意的是,11月21日Blue Yonder證實因資安事故導致代管服務中斷,但目前尚未確認復原的時間,相關災情與影響範圍有待後續觀察。

 

【攻擊與威脅】

軟體供應鏈Blue Yonder遭勒索軟體攻擊,波及星巴克等業者

美國軟體供應鏈Blue Yonder在上周四(11月21日)遭到勒索軟體攻擊,並傳出已波及星巴克(Starbucks),以及英國連鎖超市Sainsbury、Morrisons等客戶。

知名連鎖咖啡品牌星巴克(Starbucks)向華爾街日報(WSJ)透露,Blue Yonder的服務中斷,影響他們的員工管理,只能手動追蹤人員工時與計算工資,波及約1.1萬家北美門市。

英國專門報導消費者商品的The Grocer則說,當地的兩大連鎖超市Sainsbury與Morrisons,也都因Blue Yonder被駭而遭到波及,其中,Morrisons主要利用Blue Yonder的需求預測及補貨解決方案,來處理新鮮的農產品及冷凍食品,事件發生後已改為手動處理。

趨勢科技揭露Salt Typhoon攻擊電信業者的惡意程式GhostSpider

華爾街日報自9月底開始,多次針對中國駭客組織Salt Typhoon(也被稱為Earth Estries、GhostEmperor、FamousSparrow)攻擊美國電信業者的情況進行報導,受害業者包含AT&T、Lumen、T-Mobile、Verizon,傳出美國政府已著手調查此事,而且,這些駭客的目標還包含其他國家的電信業者。但究竟這些駭客如何發動攻擊?最近有研究人員公布調查結果。

資安業者趨勢科技指出,根據他們自2020年開始的追蹤,這些駭客持續針對政府機關及網際網路服務供應商(ISP)進行長期攻擊,並指出2022年也開始針對電信公司。研究人員認為,駭客從事攻擊行動的目的,是為了更有效收集相關情報。

他們發現對方主要鎖定的標的,包含電信公司使用的資料庫、雲端伺服器等重要服務,以及服務供應商的網路環境,駭客會試圖植入名為Demodex的rootkit程式,目的是希望藉此增加存取受害電信業者的管道。在近期攻擊東南亞電信業者的事故裡,這些駭客使用多款後門程式,其中包含未被揭露的GhostSpider。

圖博新聞媒體、大學網站遭中國駭客TAG-112攻擊,用網站漏洞與紅隊測試工具進行滲透

資安業者Recorded Future揭露中國駭客組織TAG-112的攻擊行動,駭客先是入侵國際西藏郵報(Tibet Post)及Gyudmed Tantric University的網站,目的是在瀏覽網站的使用者電腦植入Cobalt Strike,從而進行情報收集,或是運用受害電腦進行其他間諜活動。

駭客於網站上嵌入惡意JavaScript指令碼,藉此欺騙使用者TLS憑證錯誤,以要求下載新的憑證為由,引誘使用者上當。

這起事故發生在今年5月下旬,攻擊者利用內容管理系統Joolma的漏洞,在上述2個網站植入惡意JavaScript指令碼。究竟駭客使用那些漏洞,研究人員沒有說明。值得留意的是,這起攻擊行動直到10月上旬,仍處於活動的狀態。

防毒軟體Avast的驅動程式元件遭到濫用,駭客企圖停用受害電腦防護機制

為了迴避端點防護的偵測,駭客濫用防毒軟體元件從事自帶驅動程式(BYOVD)攻擊的手法,今年可說是越來越頻繁,如今甚至出現有人針對多家廠牌的端點防護系統進行破壞的情形。

例如,資安業者Trellix近期揭露的攻擊行動,就是典型的例子。研究人員發現由檔名kill-floor.exe開始的惡意程式感染鏈,一旦該執行檔啟動,就會於受害電腦部署Avast的Anti-Rootkit驅動程式aswArPot.sys,接著,攻擊者再植入另一個合法的核心驅動程式,檔名為ntfs.bin。

然後,kill-floor.exe就會比對受害電腦上的處理程序,若出現攻擊者認定的142種資安工具處理程序名稱,就會藉由Avast驅動程式,以核心層級來終止處理程序,導致受害電腦的防毒軟體或EDR停止運作。

其他攻擊與威脅

北韓駭客Lazarus鎖定macOS用戶,意圖散布木馬程式RustyAttr

俄羅斯駭客鎖定歐洲、亞洲,散布惡意軟體HatVibe、CherrySpy

南亞駭客組織APT-K-47以伊斯蘭教朝聖活動為誘餌,散布惡意軟體Asyncshell

對抗資安人員駭客出奇招,惡意軟體Raspberry Robin在測試環境會部署誘餌擾亂調查

 

 

【漏洞與修補】

威聯通修補路由器OS與NAS加值軟體重大漏洞

11月23日臺灣網路設備業者威聯通(QNAP)發布資安公告,針對旗下產品修補超過30項漏洞,其中,路由器作業系統QuRouter、NAS協作應用程式Notes Station 3存在重大層級漏洞,相當值得留意。

根據CVSS風險評分,最嚴重的是CVE-2024-48860,此漏洞出現於QuRouter,為作業系統命令注入漏洞,一旦攻擊者成功利用,就有機會遠端執行命令,4.0版CVSS評分為9.5。

另外2個重大漏洞CVE-2024-38643、CVE-2024-38645,出現在Notes Station 3,其中較嚴重的是CVE-2024-38645,此為伺服器請求偽造(SSRF)漏洞,若是攻擊者成功利用漏洞,有機會在通過身分驗證的情況下,遠端讀取應用程式資料,風險值為9.4。

其他漏洞與修補

PHP修補重大層級的記憶體越界存取、緩衝區過度讀取漏洞

 

近期資安日報

【11月25日】俄羅斯駭客在軍事行動前夕,藉由跳版入侵目標組織的無線網路環境

【11月22日】駭客疑似利用零時差漏洞入侵2千臺Palo Alto Networks防火牆

【11月21日】中國駭客鎖定南亞及非洲一帶一路國家的電信業者從事間諜活動

iThome Security

熱門新聞

Advertisement