告別2024年在即,回顧12月第4個星期的資安新聞,我們優先推薦TeamT5威脅分析師高峰會上的重要揭露,他們解析這一年來的中國APT攻擊態樣與假訊息態勢,惡意活動顯著增加,不僅結合AI與邊緣裝置漏洞發動精準攻擊,而且過去由政府資助的中國駭客組織,因經濟壓力而必須自力更生,於是,不只攻擊國家、軍方與大企業,也開始以金錢為目的鎖定中小企業攻擊。
另一重要消息,在於資安防護層面的作法。由於中國駭客對美電信業發動網路間諜攻擊,美CISA在12月初針對電信業者發布資安強化指引,到了18日,再發布行動通訊最佳實作指引,呼籲政府機關的高層等高風險用戶,應改用iOS與Android雙平臺皆支援全程加密(E2EE)的加密通訊軟體,以因應中國駭客入侵電信業的間諜活動威脅。
此外,繼上星期美國政府傳出禁用TP-Link路由器,該國參議院通過新一年度國防授權法,當中要求無人機大廠大疆(DJI)在一年內證明自己並未威脅美國國家安全,否則美FCC將禁止其產品在美國境內銷售,也不會授權DJI廣播其無線電波使用美國固網連線。
在威脅態勢上,有3起資安事件與殭屍網路病毒相關,其中兩起突顯資安界一直提醒的網路設備安全管理問題:使用Admin、0000等預設密碼、使用廠商停產且不再支援的設備。這些不安全狀態遲遲無法改善,持續成為攻擊者積極鎖定的目標。
●Juniper Networks發布資安公告,指出有用戶回報其Session Smart Router路由器遭植入殭屍網路病毒Mirai,並指出受害設備共通點是使用預設密碼的狀況。
●臺廠永恒數位通訊(Digiever)已EOL的NVR設備DS-2105 Pro遭鎖定,被散布Mirai殭屍網路病毒變種Hail Cock,Akamai指出駭客可能利用零時差漏洞入侵。
●惡意軟體BadBox攻擊升溫,德國12月中旬以DNS陷坑技術中斷當地BadBox運作,全球仍有19.2萬臺安卓裝置被駭客控制並組成殭屍網路,其中包括Yandex智慧電視與海信智慧手機。
還有一項消息涉及開源軟體供應鏈攻擊,企業與開發者需重視,有資安業者揭露新的Python惡意套件,指出Zebo與Cometlogger這兩款套件看似一般開源程式,但利用合法Python函式庫結合混淆技術,來隱藏其竊取憑證的目的。
在資安事件方面,這一星期有合晶美國子公司Helitek、日本航空JAL遭駭,另外,有兩起多年前發生的資安事故如今有後續消息。
●上櫃半導體業合晶在12月26日代子公司Helitek公告發生網路資安事件,說明部分資訊系統遭受攻擊。
●日本航空(JAL)在12月26日早上公告連接內外網路環境的路由器設備出現異常,導致國內外航班延誤,當地媒體指出是伺服器遭DDoS攻擊造成。
●思科10月傳出資料遭竊的事故,如今有駭客聲稱握有4.5 TB資料。
●2014到2020年間萬豪國際及喜達屋連鎖飯店發生大規模資料外洩,美FTC指控飯店謊稱具合理適當的資安防護,如今祭出新和解條件,限期半年內強化資安。
●Meta、WhatsApp在5年前對以色列間諜軟體公司NSO Group提告,指控其利用WhatsApp零時差漏洞入侵逾1,400臺行動裝置,如今判決WhatsApp勝訴。
在物聯網雲端平臺安全議題上,資安業者Claroty發現中國網路設備業者銳捷網路(Ruijie Networks)雲端設備管理平臺的10個漏洞,已通報該業者修補,並指出MQTT通訊協定實作的問題。
在漏洞利用方面,有個零時差漏洞利用活動需關切後續發展,苦主是資安廠商Palo Alto Networks,他們修補防火牆與Prisma Access的漏洞CVE-2024-3393,並指出該漏洞已被用於攻擊行動。
在重要漏洞修補動向上,Apache基金會針對Tomcat重大RCE漏洞(CVE-2024-50379)修補不全,再度發布資安公告,要求用戶調整Java元件部分組態因應,另也針對開源CDN軟體Traffic Control修補重大漏洞。
其他可留意的漏洞修補消息,包括基於Git而成的程式碼管理系統Gogs修補一系列漏洞,Sophos修補兩項防火牆漏洞,以及MinIO修補物件儲存平臺漏洞等。
【12月23日】羅馬尼亞駭客組織Diicot再度利用Linux主機挖礦
駭客針對Linux主機從事挖礦攻擊的情況,不時有研究人員揭露相關事故,如今在羅馬尼亞駭客Diicot(或稱Mexals)的攻擊行動裡,出現過往極為罕見的手法。
資安業者Wiz指出,這些駭客一改過往的作風,他們不再眷戀雲端環境,而是鎖定企業內部環境的Linux伺服器而來,目的是為了避免攻擊行動東窗事發。
【12月24日】鎖定M365帳號的網釣工具包FlowerStorm現身
本月初揭露的網釣工具包Rockstar 2FA,資安業者Trustwave指出它的前身是DadSec、Phoenix,但最近有新的調查指出,疑似即將重出江湖的Rockstar 2FA平臺網路犯罪業者,近期改為經營新的網釣工具包租用服務。
資安業者Sophos指出,他們留意到駭客一個月前開始關閉Rockstar 2FA部分基礎設施,事隔數週,名為FlowerStorm的工具包開始出現相關活動的跡象。
最近幾年旅館集團萬豪國際(Marriott International)傳出多起資料外洩事故,至少超過3.4億旅客資料外洩,美國聯邦交易委員會(FTC)在經過調查後於10月提告,如今這起事件有了新的進展。
FTC根據當時要求達成和解的條件,正式下令該集團與旗下子公司(Starwood Hotels & Resorts)必須導入完善的資安方案,來避免類似的大規模資料外洩事故再度重演。
【12月26日】日本航空傳出遭遇網路攻擊導致部分航班延誤
鎖定關鍵基礎設施(CI)的攻擊行動日益頻繁,其中一種標的,便是航空運輸產業,但過往鎖定這類目標的攻擊事故,多半發生在美洲和歐洲,如今有出現在東南亞的事故,引起當地高度關注。
今天早上日本航空(Japan Airlines,JAL)傳出遭遇網路攻擊,並導致部分航班延後起飛的情況,引起日本媒體高度關注,他們根據掌握的情報,指出日本航空很有可能受到DDoS攻擊。
【12月27日】Palo Alto Networks防火牆阻斷服務漏洞傳出已有攻擊行動
近期公布的重大漏洞相當多,例如:Apache開源CDN軟體Traffic Control重大層級SQL注入漏洞CVE-2024-45387、程式碼管理系統Gogs重大漏洞CVE-2024-39930、CVE-2024-39931、CVE-2024-39932等,這些都需要儘快完成修補或緩解作業,但還有一些喘息與觀望時間,如果是已經出現攻擊行動的漏洞,企業必須馬上動手處理。
今天資安業者Palo Alto Networks公布的阻斷服務漏洞CVE-2024-3393,就是典型的例子。雖然該公司將漏洞僅列為高風險,但由於已有實際攻擊行動,IT人員最好儘速處理。
熱門新聞
2025-01-16
2025-01-15
2025-01-13
2025-01-14
2025-01-14
2025-01-13