上個月資安業者Sophos公布中國駭客大規模攻擊行動Pacific Rim,指出駭客於四川地區從事漏洞調查及開發,將發現的漏洞提供給中國政府資助的駭客運用,如今美國政府也證實這樣的發現。
昨天美國財政部外國資產控制辦公室宣布,他們將對於中國資安業者四川無聲信息技術(Sichuan Silence)祭出制裁,原因是該公司員工找到特定廠牌防火牆的漏洞,將其用於發動全球性的大規模勒索軟體攻擊。
【攻擊與威脅】
12月10日美國財政部外國資產控制辦公室(Office of Foreign Assets Control,OFAC)指控,中國資安業者四川無聲信息技術(Sichuan Silence)員工關天峰(Guan Tianfeng)在2020年4月發動勒索軟體攻擊,濫用Sophos防火牆零時差漏洞入侵全球近8.1萬臺設備,其中有2.3萬臺位於美國境內。
根據美國財政部及Sophos的資料,關天峰發現Sophos XG防火牆產品的漏洞CVE-2020-12271,在2020年4月22到25日間,偕同其他人員利用該漏洞散布Asnarök(或Ragnarok)勒索軟體,目的是從遭感染的電腦竊取資料。
值得留意的是,關天峰攻擊的防火牆當中,有36臺是用於關鍵基礎設施,其中一家受害企業是美國海底石油探勘業者。不過至少在這家能源客戶的案例中,攻擊先由Sophos偵測而並未成功。
Cleo三款MFT檔案傳輸系統零時差漏洞已出現攻擊行動,駭客用來竊取企業內部資料
最近幾年駭客鎖定MFT檔案傳輸系統下手的情況,陸續傳出事故,其中又以去年5月發生的MOVEit Hack事故最為嚴重,全球估計超過2,600家企業組織受害,外洩近9千萬筆個資,到了近期仍有駭客公布新的資料。因此,有關MFT檔案系統的弱點,或是零時差漏洞攻擊事故,都格外引起資安界高度關注。
本週一(12月9日)資安業者Huntress提出警告,他們從3日開始察覺Cleo旗下MFT檔案傳輸系統Harmony、VLTrader、LexiCom遭到鎖定的跡象,駭客對於這些MFT系統進行大規模的後利用活動,並在8日出現大幅增加的情況。
值得留意的是,攻擊者疑似針對一項10月底公布的漏洞CVE-2024-50623而來,但研究人員指出,Cleo當時發布的更新5.8.0.21版修補不全,攻擊者照樣能對上述完全修補的系統利用該漏洞發動攻擊,他們也向Cleo通報此事,並呼籲用戶將曝露於網際網路的MFT系統移至防火牆後方,以免成為攻擊者下手的目標。
許多軟體開發人員採用微軟提供的IDE工具Visual Studio Code(VSCode),而鎖定這些用戶的攻擊,過往通常是針對其外掛程式而來,駭客會透過試圖散播有問題的外掛,以便對開發人員下手,如今有駭客組織利用該工具內建的功能,遠端控制受害電腦。
資安業者Tinexta Cyber、SentinelOne聯手,調查中國駭客專門針對南歐大型B2B資訊科技服務供應商的攻擊行動Operation Digital Eye,並指出這些駭客的主要目標,其實是這些企業的下游公司及組織。
這波攻擊發生在今年的6月下旬至7月底,兩家資安業者很早就察覺駭客的行動,並成功阻止事態擴大,不過,他們發現攻擊者為了隱匿行蹤而運用先前未曾出現的管道,那就是:濫用開發工具VSCode的隧道(tunnel)功能。
其他攻擊與威脅
◆Google AMP服務遭濫用!攻擊者鎖定製造業散布LummaC2、Amadey Bot
【漏洞與修補】
12月10日微軟發布本月份例行更新(Patch Tuesday),總共修補72個漏洞,較上個月數量(89個)有所減少。其中,有27個提升權限漏洞、30個遠端程式碼執行(RCE)漏洞、7個資訊洩漏洞、5個阻斷服務(DoS)漏洞,以及1個可被用於詐欺的漏洞。值得留意的是,其中一個漏洞已被發現遭到利用的跡象。
這個被用於實際攻擊行動的漏洞,是Windows通用事件記錄檔案系統(CLFS)權限提升漏洞CVE-2024-49138,一旦遭到利用,攻擊者就有機會得到SYSTEM權限,CVSS評分為7.8。美國網路安全暨基礎設施安全局(CISA)也將其納入已遭利用的漏洞名冊(KEV),要求聯邦機構於12月31日前完成修補。
物聯網裝置作業系統OpenWrt系統ASU更新模組存在弱點,攻擊者有機會植入惡意映像檔
網通設備常用的作業系統OpenWrt,傳出存在重大層級的漏洞CVE-2024-54143,這項弱點涉及名為Attended Sysupgrade(ASU)的功能,4.0版CVSS風險評分達到9.3(滿分10分),相當嚴重,對此,開發團隊在數個小時內就發布920c8a1版進行修補。
存在資安問題的ASU,主要功能是讓使用者自定韌體,並在部署之後仍然能保留原本設備已安裝的套件及組態設定。
通報此事的資安業者Flatt Security研究人員RyotaK指出,攻擊者可結合Openwrt映像檔建置工具的命令注入弱點,以及程式碼組建請求雜湊值(build request hash)當中截斷的SHA-256雜湊值,藉由提供套件名單造成雜湊值碰撞(hash collision),從而汙染合法的映像檔。
其他漏洞與修補
◆WordPress表單外掛WPForms存在高風險漏洞,6百萬網站恐曝險
◆威聯通修補漏洞挖掘競賽Pwn2Own揭露的NAS高風險漏洞
【資安產業動態】
2024臺灣企業加入FIRST國際資安應變組織再添8家,聯發科、鴻騰、威強電、華碩等入列,台新銀行成金融業首例
隨著網路攻擊日益規模化與複雜化,做好資安防護、監控與應變之餘,無論國家、產業都越來越強調,單一機構已無法單獨應對所有的資安威脅,因此對於企業組織的CSIRT、PSIRT團隊而言,更加看重交換威脅情報與應變作為。
而在國內的聯防體系建立之外,國際間也有FIRST(Forum of Incident Response and Security Teams)國際資安應變組織,串起企業與組織的知識共享與協同合作,希望提升全球資安應變能力,減少網路安全事件的衝擊。
特別的是,今年臺灣加入FIRST的企業與組織有新的突破,不只成員增加到25個,比去年多出8個,更重要的變化在於,臺灣高科技與電子製造業的數量,從2022的1年增加1個成員,到最近兩年每年增加3個以上成員,在金融領域方面,雖然兩年前國內有F-ISAC這樣的組織加入,如今更是出現首家金融機構,別具意義。
近期資安日報
【12月10日】資安業者揭露用QR Code突破瀏覽器隔離防線的攻擊手法
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-12-10
2024-11-29
