文/羅正漢 | 2025-01-25發表

適逢農曆年節前夕,在2025年第三星期資安新聞的主要焦點,是國家級駭客的最新進展,顯現電信業在2024已成駭客攻擊頭號目標的態勢,不只最近美國9家電信業遭中國駭客滲透的事故,還有多國電信業近年持續被發現遭中國駭客入侵。

此次報導亦整理出最新威脅態勢,突顯這些組織不只直接攻擊企業組織,更聚焦於邊緣裝置漏洞利用等方式滲透,而且供應鏈攻擊也深入臺灣發展的軟體與服務,像是近年一起資安事故就是透過ERP入侵,並且真正攻擊目標是臺灣無人機產業。

在資安事件方面,這一星期國內多家上市櫃公司發布資安事件重訊,最大焦點是以AI機器視覺與機器人當紅的所羅門,因為這又是一起同集團均受影響的狀況;韓國VPN業者IPany遭入侵所引發的供應鏈攻擊事件亦受關注,資安業者指出是中國駭客PlushDaemon所為。
●上市公司聯鈞光電1月19日說明部分資訊系統遭遇勒索軟體攻擊。
●上市公司所羅門在1月23日說明資訊系統遭受駭客攻擊,同日所羅門集團旗下的上櫃公司新門科技,亦發布相同資安重訊內容。
●韓國VPN業者IPany遭駭,攻擊者在原廠提供的安裝檔加料散布惡意程式SlowStepper,這起供應鏈攻擊目標包含韓國半導體、軟體業,日本用戶也受害。
●HPE內部系統憑證、產品原始碼疑遭竊取,知名初始入侵管道掮客IntelBroker在駭客論壇上兜售。HPE表示已著手調查。

在威脅態勢與事件上,殭屍網路的威脅揭露是一大焦點,因為有4起消息與之有關,佔據本星期新聞事件不少版面。
●1.3萬臺MikroTik路由器被駭客綁架組成殭屍網路,藉此發送垃圾郵件並散布木馬,特殊之處是駭客利用DNS記錄設定不良來通過SPF的驗證,2萬網域遭利用。
●駭客透過Mirai變種殭屍網路發動創下新高的5.6 Tbps的UDP DDoS攻擊,Cloudflare一家東亞ISP的客戶成為目標,且攻擊時間是2024萬聖夜期間。
●cnPilot路由器被殭屍網路Airashi利用零時差漏洞綁架,攻擊者不只用於發動DDoS攻擊,也藉此提供非法代理伺服器服務。
●Mirai變種殭屍網路Murdoc的攻擊活動被揭露,主要鎖定陞泰IP攝影機、華為路由器。

在漏洞消息方面,有兩則漏洞利用的消息,一是今年1月初,專為多雲環境設計的雲端網路控制平臺Aviatrix Controllers,修補CVSS評分10分的重大漏洞CVE-2024-50603,在1月23日美國CISA將其列入已知被利用漏洞清單(KEV),對當地機構要求限期修補;另一是2020年JQuery的老舊漏洞CVE-2020-11023,同樣在當日被列入KEV清單。

另外,我們觀察到2個研究人員發現的新資安問題,值得大家留意,一是資安研究人員發現可濫用Cloudflare快取,進而推測用戶地理位置的手法;另一是發現群組原則已設定只接受NTLMv2的情況下,仍有部分應用程式可透過ParameterControl的參數,來請求NTLMv1驗證訊息。

至於資安防禦發展新聞中,有一項重要消息是,Google釋出新的軟體組成分析函式庫OSV-SCALIBR,將有助於協助生成精準的SBOM,並提升漏洞檢測效能。

 

【1月20日】駭客綁架MikroTik路由器從事網釣攻擊,意圖散布惡意軟體

攻擊者看上路由器將其綁架組成殭屍網路,多半是為了用來從事DDoS攻擊,近期有人卻將其用於規畫更為複雜的網路攻擊行動,使得相關手法更難防範。

這起資安事故特別之處在於,攻擊者也搭配了DNS的不當組態,而能藉此假冒合法的網域名稱寄送釣魚信,使得信件不會被郵件安全系統視為有害。

【1月21日】駭客聲稱握有IT大廠HPE的內部資料,該公司正在著手調查

去年底初始入侵管道掮客IntelBroker先後於10月12月兩度公布思科的內部資料,而在今年初這些駭客又有動作,他們聲稱手上有伺服器大廠HPE的內部檔案。

值得留意的是,這些駭客並非首次表明竊得HPE內部的資料,去年2月,他們號稱從HPE開發環境取得內部資料。究竟這次駭客兜售的資料是否與之前有關?有待進一步釐清。

【1月22日】陞泰IP攝影機已知漏洞再傳遭到Mirai變種殭屍網路鎖定

去年美國網路安全暨基礎設施安全局(CISA)、資安業者Akamai揭露陞泰科技(Avtech)的IP攝影機漏洞CVE-2024-7029,並表示已有攻擊行動出現,如今有資安業者發現,可能還有其他駭客用於殭屍網路攻擊。

資安業者Qualys揭露綁架超過5,500臺裝置的殭屍網路Murdoc,並提及攻擊者運用已知漏洞對裝置散布惡意軟體,其中一個就是CVE-2024-7029。

【1月23日】中國駭客入侵韓國VPN業者IPany發動供應鏈攻擊,竄改安裝程式散布後門

駭客入侵軟體開發業者,並在正式發布的軟體裡加入惡意程式碼的情況,不時有事故傳出,最近一起針對韓國VPN業者的攻擊事故揭露,引起外界的關注。

值得留意的是,發動這起事故的中國駭客組織PlushDaemon,開發了具備超過30種功能的後門程式來從事攻擊,但資安業者ESET發現,這些駭客也著手開發威力更加強大的版本。

【1月24日】印度駭客組織DoNot假借提供即時通訊軟體的名義散布惡意程式

駭客鎖定安卓手機收集資料的情況,隨著全球國際局勢的緊張,這種攻擊也不斷出現,其中,最常見的就是要受害者授予各式的存取權限,從而大肆搜刮手機的資料並監控使用者,如今這樣的手法出現變化。

資安業者Cyfirma揭露印度駭客組織DoNot(APT-C-35)近期的攻擊行動當中,駭客的惡意App在取得輔助功能權限後,竟是透過訊息推播的方式,發動第二波網釣攻擊

 

iThome Security

熱門新聞

Advertisement