本日的資安新聞當中,有兩則提及駭客攻擊出現新的手法,其中,與一般社會大眾較為相關的電商網站交易資料側錄攻擊,特別值得我們關注。
有研究人員發現,駭客製作了WordPress外掛程式,並在網路犯罪論壇兜售,標榜攻擊者能即時取得受害者輸入的付款內容,甚至能藉此竊取線上刷卡流程所需的動態密碼(OTP)。
【攻擊與威脅】
駭客打造惡意WordPress外掛PhishWP,意圖藉由合法網站竊取購物者信用卡資料
駭客針對電商網站下手,從中竊取買家的交易資料屢見不鮮,但如今攻擊手法出現變化,而能進一步突破相關防護機制。
根據專精上網安全的資安業者SlashNext觀察,有人暗中於俄羅斯網路犯罪論壇向駭客兜售名為PhishWP的惡意WordPress外掛程式,可用來建立幾可亂真的付款網頁,從而竊取購物者的信用卡號、瀏覽器中繼資料,以及其他個資。
攻擊者可入侵一般的WordPress網站,或是自行建置網站來「加裝」這項外掛,然後將外掛程式偽裝成支付閘道,引誘購物者輸入付款資料。但與一般作案工具不同的是,此外掛能將收集到的資料,直接透過特定的Telegram頻道即時傳送到攻擊者手上。
新興應用程式安全測試OAST機制遭濫用,駭客藉此散布惡意NPM、PyPI、RubyGems套件
駭客將資安工具用於從事網路攻擊的情況不時傳出,其中最常出現的是滲透測試工具Cobalt Strike,後來也有濫用Brute Ratel C4(BRc4)、紅隊演練工具EDRSilencer的事故,如今有人將歪腦筋動到檢測應用程式安全的工具上。為了強化軟體開發安全,有資安業者開始提供名為界外應用程式安全測試(Out-of-Band Application Security Testing,OAST)的機制,藉此在網頁應用程式找出弱點,但如今這種機制也被不肖份子濫用,拿來從事惡意套件攻擊。
資安業者Socket過去一年發現一種新型態的惡意JavaScript、Python、Ruby套件,其共通點就是濫用oastify.com、oast.fun等OAST檢測服務,將敏感資料傳送到攻擊者的伺服器,而且,他們發現攻擊者利用這類工具來竊取資料、建立C2通道,甚至是進行多階段攻擊的情況越來越頻繁。
1月3日上午7時45分,傳出野柳東北方海域海底國際電纜發生損壞,海巡署淡水海巡隊於12時40分接獲中華電信報案,初步研判是喀麥隆籍「SHUNXIN39(音譯順興39)」貨輪造成。雖然這艘貨輪在喀麥隆註冊,但傳出所有者是中國公民郭文傑開設的香港捷陽貿易有限公司,因此外界普遍認為這起事故並非單純意外,疑似中國蓄意破壞。針對這起事故,數位發展部也對相關因應處理作為提出說明。
1月6日數位發展部韌性建設司指出,國家通訊暨網路安全中心(NCCSC)在3日上午9時接獲中華電信的通報,由於該公司已啟動其他海纜備援,語音電路、網際網路、企業客戶服務皆不受影響,並預計於2月3日修復受損的海纜。
其他攻擊與威脅
◆美國政府指出BeyondTrust零時差漏洞攻擊事故並未影響財政部以外的聯邦機構
◆針對10月勒索軟體攻擊事故,卡西歐表示有8,500人個資外洩
【漏洞與修補】
研究人員公布微軟12月修補的LDAP阻斷服務漏洞細節,指出攻擊者有可能藉此讓伺服器當機
資安研究員Yuki Chen向微軟通報兩項涉及的漏洞CVE-2024-49112、CVE-2024-49113,微軟去年12月的例行更新(Patch Tuesady)已提供這些漏洞的修補,其中又以列為重大層級的RCE漏洞CVE-2024-49112較受到關注。被評為高風險的阻斷服務(DoS)漏洞CVE-2024-49113也相當值得留意,有研究人員特別對此提出警告,因為有可能導致尚未修補的Windows伺服器當機。
本月初資安業者SafeBreach公布CVE-2024-49113細節,並揭露概念性驗證(PoC)攻擊手法,他們指出一旦攻擊者利用這項漏洞,就能讓尚未修補的Windows伺服器當機,而且唯一的必要條件,就是受害組織網域伺服器(DC)的DNS伺服器必須連上網際網路,有鑑於這項漏洞帶來的衝擊相當嚴重,研究人員將這項漏洞命名為「LDAPNightmare」。
其他漏洞與修補
◆生物科技業者Illumina的DNA檢測儀器BIOS存在漏洞,攻擊者有可能藉此持續於受害裝置活動
◆Google發布Chrome更新,修補V8引擎類型混淆高風險漏洞
【資安產業動態】
美國政府公布物聯網裝置網路安全標章U.S. Cyber Trust Mark
1月7日美國白宮公布美國網路安全標章(U.S. Cyber Trust Mark),旨在推動智慧家庭聯網裝置符合進階網路安全標準,並鼓勵製造商採用標章以證明其產品的安全性。
這項計畫是2023年7月由美國聯邦通訊委員會(FCC)主席Jessica Rosenworcel提出,目的是讓消費者得以辨識在美國境內銷售的智慧物聯網裝置,有哪些符合進階網路安全標準。在18個月的公告和開放公眾意見期間,聯邦通訊委員會(FCC)於去年3月無異議表決通過同意建立這項法案、最後版本規則,以及相應的盾牌商標,白宮在拜登政府在任期即將結束之際,正式公布這項計畫。
其他資安產業動態
近期資安日報
【1月7日】資安業者Tenable更新外掛程式引發災情,用戶端點代理程式停止運作
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-06
2025-01-07
