文/周峻佑 | 2025-01-10發表

去年鎖定蘋果電腦的攻擊行動有顯著增加的現象,過往這些針對macOS作業系統而來的攻擊事故,駭客大多會試圖繞過內建的Gatekeeper、XProtect等防護機制,但如今出現更為隱密的手法,使得防毒軟體更難察覺有異。

資安業者Check Point揭露竊資軟體Banshee的攻擊行動,就是這樣的例子。這次引起研究人員注意的地方,就是此惡意軟體盜用來自XProtect的演算法,而能左右防毒軟體的分析結果。

 

【攻擊與威脅】

竊資軟體Banshee鎖定蘋果電腦而來,冒用內建防毒XProtect的演算法迴避偵測

為了迴避偵測讓惡意程式能順利執行,駭客試圖繞過防毒軟體偵測的手段不時傳出,其中又以針對Windows作業系統的攻擊行動裡較為常見,但蘋果電腦的用戶也不能掉以輕心,因為有人已試圖突破相關防護機制,而能成功暗中從事攻擊行動。

資安業者Check Point指出,他們自去年9月發現竊資軟體Banshee新版的活動,並指出駭客將其用於攻擊行動兩個月,非法使用macOS內建防毒引擎XProtect的字串加密演算法,而有可能導致大部分的防毒軟體將其視為無害而放行。有別於駭客過往是專門針對XProtect下手,導致這種防毒措施無法識別惡意軟體,甚至連第三方防毒也難以察覺異狀,這次駭客卻是疑為利用XProtect的相關機制來干擾防毒軟體偵測,使得威脅變得更難被發現。

值得留意的是,研究人員察覺駭客的攻擊手法變化,竟是因為駭客論壇XSS流出該竊資軟體的初始版本原始碼,才導致這種竊資軟體的攻擊行動曝光。

天然氣業者新海傳出遭遇勒索軟體攻擊,伺服器內部檔案被加密

1月9日天然氣業者新海發布重大訊息,表示伺服器的內部檔案遭到勒索軟體加密,他們已切斷此伺服器的網路連線因應。

針對這起事故可能會帶來的影響,根據初步評估,新海表示不影響正常營運,並對於財務、業務,以及用戶安全無重大影響。

其他攻擊與威脅

網釣攻擊Butcher Shop鎖定法律、政府、營造業而來,企圖挾持M365帳號

逾4千個後門利用過期網域從事攻擊行為,研究人員註冊阻斷惡意活動

駭客假借資安業者CrowdStrike名義徵才,企圖散布挖礦軟體

 

【漏洞與修補】

Palo Alto Networks修補防火牆移轉工具多項弱點

1月9日資安業者Palo Alto Networks發布資安公告,主角是他們提供的多廠牌防火牆組態移轉工具Expedition,存在5個漏洞,有可能導致攻擊者能讀取Expedition的資料庫內容,或是在受害系統建立、刪除檔案,由於曝險檔案涵蓋使用者名稱、明文密碼、防火牆配置,以及防火牆API金鑰等資訊,因此IT人員要特別留意。

根據CVSS風險評分,最值得留意的是高度險層級的CVE-2025-0103,此為SQL注入漏洞,通過身分驗證的攻擊者能藉此存取Expedition資料庫內容,甚至有機會建立及讀取檔案,CVSS風險評為7.8。

其他漏洞與修補

Mozilla基金會發布Firefox 134,修補3項高風險漏洞

 

【資安產業動態】

為打擊詐騙行為,Telegram導入第三方驗證機制

加密通訊軟體Telegram近年來用戶數持續攀升,但隨著使用者基數擴大,部分不法分子開始利用該平臺進行詐騙活動。Telegram在2025年第一波更新中,宣布導入第三方驗證機制,目的是提升資訊可信度並進一步打擊詐騙行為。

在Telegram本次更新中,亮點之一便是第三方驗證系統。過去Telegram僅提供官方認證藍勾勾標章,用以標示公眾人物或組織的官方帳號,但是單憑官方認證已不足以完全杜絕假消息與詐騙行為,因此Telegram開放與經其官方審核並認證的第三方服務機構合作,讓這些機構能夠對平臺上的用戶帳號與聊天室進行額外驗證。

這項新機制允許獲得授權的第三方機構,根據自身的專業與查核機制,對特定帳號或群組進行審查,一旦通過驗證,該帳號或群組名稱前將會出現一個由該第三方機構提供的專屬標誌,使用者點擊該標誌後,即可查看更詳盡的驗證說明與資訊。Telegram強調,此第三方驗證與官方藍勾勾驗證完全獨立,以提供更多元的資訊可信度判斷依據。

PyPI隔離措施奏效,數月阻擋逾百惡意專案

針對日益嚴重的軟體供應鏈安全問題,Python套件索引PyPI從2024年8月開始實施專案隔離(Project Quarantine)措施,以加速應對潛在的惡意軟體威脅。截至目前,該措施已成功隔離約140個可疑專案,有效阻止惡意軟體的散播。PyPI管理團隊表示,未來將發展自動化隔離機制,進一步提升平臺安全性。

過去PyPI管理員在處理惡意軟體報告時,主要的應對手段是直接從資料庫中刪除整個專案。雖然這個方法能夠有效解決問題,但卻具有不可逆性,也可能影響到依賴該專案的其他合法使用者。此外,從接獲通報到實際移除專案之間存在時間差,也讓其他使用者暴露在風險之中。

專案隔離機制提供更彈性且即時的應對方案。當專案被標記為隔離後,便會從PyPI的Simple API中移除,開發者便無法透過pip正常安裝,而且專案擁有者也將無法修改專案內容。藉此阻斷惡意軟體的擴散途徑。更重要的是,這種隔離狀態可逆,一旦管理員審查確認專案無害後,即可解除隔離,恢復其正常狀態。

擴充套件Pie Adblock侵權uBlock Origin,PayPal Honey團隊再掀爭議

新興的廣告攔截擴充套件Pie Adblock遭指控竊取知名開源廣告攔截器uBlock Origin的程式碼與過濾清單,嚴重違反GPL授權協議,在Reddit和Hacker News論壇引發網友高度關注。

新興廣告攔截擴充套件Pie Adblock遭控侵權知名開源廣告攔截器uBlock Origin,嚴重違反GPLv3授權協議。此事件在Reddit和Hacker News等論壇引發熱烈討論,不僅是程式碼與過濾清單的盜用,更涉及背後開發團隊與爭議不斷的PayPal Honey購物比價擴充套件間的關聯。

其他資安產業動態

密碼管理解決方案業者1Password買下SaaS存取管理供應商Trelica

 

近期資安日報

【1月9日】日本指控中國駭客MirrorFace從事逾200起攻擊,竊取國家安全及先進技術機密

【1月8日】駭客企圖利用惡意WordPress外掛挾持購物者信用卡資料

【1月7日】資安業者Tenable更新外掛程式引發災情,用戶端點代理程式停止運作

iThome Security

熱門新聞

Advertisement