一週前資安業者Huntress提出警告,指出有人針對Cleo旗下MFT檔案傳輸系統進行大規模攻擊,當中利用繞過CVE-2024-50623的零時差漏洞修補,本週出現了新的說法。

根據資安新聞網站Bleeping Computer的一篇報導,勒索軟體駭客Clop表示這起事故是他們所為,但並未透露何時開始發動攻擊,以及有多少企業組織受害的情況,這些說法的真實性有待查證。

 

【攻擊與威脅】

針對Cleo旗下MFT檔案共享系統的零時差漏洞攻擊,勒索軟體Clop聲稱是他們所為

上週資安業者Huntress提出警告,他們從3日開始察覺Cleo旗下MFT檔案傳輸系統Harmony、VLTrader、LexiCom遭到鎖定的跡象,駭客對於這些MFT系統進行大規模攻擊,並在8日出現劇烈增加的情況,其中,對方疑似針對10月底公布的漏洞CVE-2024-50623而來。這波攻擊一度傳出是勒索軟體Termite所為,如今有新說法。

12月13日美國網路安全暨基礎設施安全局(CISA)發布公告,表示他們將CVE-2024-50623列入已遭利用的漏洞名單(KEV),要求聯邦機構於明年1月3日完成修補。但與大部分列入KEV的漏洞有所不同,他們特別表明這項漏洞已被用於勒索軟體攻擊。

兩天之後,對於濫用此漏洞進行攻擊的組織身分,資安新聞網站Bleeping Computer發布一份報導,當中提到勒索軟體駭客組織Clop宣稱事情是他們做的,並強調他們不會對政府服務、研究機構、醫藥相關的資料下手,若是不小心偷到這些資料,將會立刻刪除。但究竟駭客從何時開始發動攻擊,有多少公司受害,以及Clop與Termite是否有所關聯,對方並未透露。

出現鎖定NetScaler登入的密碼潑灑攻擊,Citrix警告系統恐遭滲透,也可能因身分驗證負擔過大而癱瘓

12月10日德國聯邦資訊安全辦公室(BSI)提出警告,他們掌握Citrix NetScaler遭到鎖定的攻擊行動,駭客試圖對此款網路設備進行暴力破解,如今Citrix也證實這樣的現象,並呼籲用戶採取行動。

上週五(13日)Citrix透過部落格表示,他們也察覺密碼潑灑(Password Spray)的情況,有別於一般的暴力破解攻擊,往往對「單一」帳號嘗試使用「多組」密碼,而在這起惡意行動中,攻擊者反其道而行,他們針對NetScaler設備的「多個」帳號,利用一組數量不多的常見密碼進行登入嘗試,這麼做的目的,是為了避免被系統判定為異常而向管理員發出警示,或是出現帳號鎖定而導致東窗事發。

他們也提及這些攻擊不光是身分驗證嘗試的次數突然顯著增加,還有可能導致設備因大量嘗試登入而不堪負荷,甚至會面臨故障明顯增加的情況。

Linux惡意程式Pumakit利用隱身手法埋藏在系統運作

隨著有許多網頁應用程式以Linux作業系統打造,針對這類系統的惡意程式,今年出現顯著增加的情況,而且,攻擊者採用的手段越來越複雜,使得防禦方更難察覺相關蹤跡。

資料搜尋分析解決方案業者Elastic旗下的資安實驗室表示,他們從惡意軟體分析平臺VirusTotal當中,發現針對Linux打造的rootkit惡意程式Pumakit,攻擊者利用Linux內部功能追蹤器ftrace掛勾18種系統呼叫功能,以及數種核心功能,從而操弄主要系統的行為。

值得一提的是,雖然此惡意程式仍在開發階段,但研究人員發現,其中的LKM rootkit若要進入啟動狀態,需在具備安全開機(Secure Boot)檢查、核心符號工具可用等特定環境,這些狀態是掃描Linux核心得知,並代表攻擊者所有的工具已隨著惡意程式載入工具一併嵌入ELF執行檔當中。

伊朗駭客鎖定美國、以色列關鍵基礎設施,散布工控惡意軟體Iocontrol

隨著國際局勢日益緊張,鎖定會左右國家運作狀態的關鍵基礎設施(CI)而來的攻擊行動不時傳出,有駭客打造出能專門針對這類環境的惡意程式,引起研究人員高度關注。

專精工控安全的資安業者Claroty指出,伊朗駭客打造了名為Iocontrol的惡意程式,其主要目標就是以色列及美國的操作科技(OT)及物聯網(IoT)裝置,並被用於攻擊多種型態的連網裝置,包含IP攝影機、路由器、可程式化邏輯控制器(PLC)、人機介面(HMI)、防火牆,而且,遭到攻擊的設備廠牌也相當廣泛,涵蓋Baicells、D-Link、海康威視(Hikvision)、Red Lion、Orpak、菲尼克斯電氣(Phoenix Contact)、Teltonika、Unitronics等工控設備品牌。

針對利用此惡意程式的駭客,研究人員推測與名為Cyber Av3ngers的伊朗駭客組織有關,這些駭客曾在一年前,針對使用以色列自動化控制業者Unitronics的美國水利單位下手,值得留意的是,OpenAI在今年10月指出,這些駭客試圖濫用ChatGPT破解PLC,並開發用於攻擊的Bash及Python指令碼。

其他攻擊與威脅

中國駭客鎖定東南亞而來,針對政府機關、航太、電信業者下手

俄羅斯駭客Gamaredon假借提供三星防護App為幌子,散布間諜軟體BoneSpy、PainGnome

逾39萬WordPress帳密資料遭竊,起因是軟體供應鏈攻擊

其他漏洞與修補

臺灣資安研究員揭露視窗應用程式的ANSI漏洞WorstFit,攻擊者有機會用來執行任意程式碼

其他資安防禦措施

德國封鎖預載於安卓物聯網裝置的惡意軟體BadBox

 

近期資安日報

【12月13日】西班牙與秘魯共同破獲跨國大型電話網釣集團

【12月12日】羅馬尼亞政府證實電力公司Electrica遭遇勒索軟體Lynx攻擊

【12月11日】美國宣布制裁中國資安業者,起因是該公司利用零時差漏洞從事大規模攻擊

熱門新聞

Advertisement