近期韓國出現數起相當嚴重的資安事故,其中一起是韓國電信龍頭SK Telecom(SKT)遭到入侵的消息,本週該公司宣布,他們將為2,500萬用戶免費SIM卡,目前已有超過400萬用戶申請。
值得留意的是,由於該公司SIM卡庫存有限,目前僅有100萬張,必須分批為用戶更換,預估5月底能再更換500萬張,換言之,仍有四分之三無法在5月底前完成更換,後續影響將值得觀察。
【攻擊與威脅】
韓國大型電信業者SKT驚傳遭駭,客戶資料遭竊,該公司決定為2,500萬用戶免費換發SIM卡
韓國電信龍頭SK Telecom(SKT)上週證實,4月19日發現惡意活動,偕同第三方資安專家調查顯示,攻擊者在網路環境植入惡意程式,並竊走消費者和USIM卡有關資料。29日SKT宣布,他們將為2,500萬用戶免費換發SIM卡。
SKT表示,駭客竊走的資料當中,包含IMSI(International Mobile Subscriber Identity)、手機基地臺ISDN號、網路用量、儲存在SIM卡上的簡訊或聯絡人資料。不過,客戶姓名、其他身分資訊、財務資料並未外流。
若外洩的資訊落入歹徒手中,結合自其他來源取得的用戶個資,可能會被用於發動SIM卡交換(SIM Swapping)攻擊。SKT指出,他們原本就已建置相關防範機制降低風險,但還是決定開放用戶免費換發新的SIM卡,當地媒體指出,逾2,500萬用戶符合換卡資格。截至29日上午,已有430萬人提出申請。
教育機構Azure租戶遭到鎖定,駭客濫用AzureChecker從事挖礦活動
微軟威脅情報團隊提出警告,他們觀察到駭客在最近1年裡,偏好利用不安全的工作負載對容器環境下手,利用命令列(CLI)工具AzureChecker.exe進行活動。
他們舉出其中一起由駭客組織Storm-1977發起的密碼潑灑(Password Spray)攻擊行動為例,駭客鎖定教育領域使用的雲端租戶環境,利用AzureChecker.exe進行活動,從特定網域下載經AES演算法處理的資料,解密後得到攻擊的目標。駭客也運用AzureChecker.exe讀取用於密碼潑灑攻擊的帳密資料列表檔案accounts.txt,然後對目標租戶發動攻擊。
一旦攻擊者得逞,就會透過訪客帳號建立資源群組,然後用於挖礦,微軟看到駭客建立超過200個容器來牟利。
受到俄羅斯軍情單位GRU指使、被稱做APT28、Forest Blizzard、Strontium的駭客組織,去年德國聯邦政府(Bundesregierung)、捷克外交部(MFA)、波蘭國家研究院(National Research Institute,NASK)出面指控,當地政府機關及企業組織遭受攻擊,如今又有歐洲國家表示,這些駭客長時間對他們的企業組織從事攻擊行動。
4月29日法國外交部發布新聞稿,指控APT28在過去4年,鎖定當地超過10個政府機關及企業組織從事網路攻擊,這些組織包含法國的公共服務、私人企業,以及2024奧運及帕拉林匹克運動會(Paralympic Games,簡稱帕運)相關的體育機構。針對APT28的攻擊手法,他們提及GRU也曾經使用,於2015年破壞電視臺TV5Monde,以及在2017年試圖干預法國選舉。
對此,法國網路安全局(ANSSI)同日發布調查報告說明相關細節,他們指出這段期間APT28攻擊的目標,包含政府機關、地方政府、行政單位、國防科技與工業基礎(Defence Technological and Industrial Base,DTIB)、航太領域、研究機構、智庫、金融機構。其中,在2024年,這些駭客主要針對當地政府、外交、研究機構、智庫而來。
其他攻擊與威脅
◆駭客論壇BreachForums傳出遭零時差漏洞攻擊被迫停機,管理者表示將捲土重來
◆殭屍網路Dota將Linux電腦用於挖礦,利用弱SSH帳密入侵受害主機
◆竊資軟體Hannibal Stealer能繞過Chrome最新Cookie防護,竊取加密貨幣錢包、FTP用戶端資料
◆駭客2024年使用近百個零時差漏洞,逾半數被用於間諜軟體攻擊
【漏洞與修補】
FastCGI程式庫存在重大漏洞,恐使嵌入式裝置遭遠端執行任意程式碼
資安公司Synacktiv研究人員揭露FastCGI程式庫存在高風險漏洞CVE-2025-23016,攻擊者可藉由特製請求觸發整數溢位並導致堆積溢位,在特定部署情境進一步控制應用程式流程,達到執行任意程式碼的目的。由於該程式庫廣泛用於輕量級網路應用,尤其是在攝影機、路由器等資源受限的嵌入式裝置,風險影響不容忽視。
儘管FastCGI歷史悠久且一向以穩定著稱,過去也少有重大漏洞紀錄,但此次事件顯示,在嵌入式部署與舊版系統,仍可能潛藏資安風險。開發者與系統管理員應盡快檢查所使用的FastCGI函式庫版本,並更新至已修補的2.4.5版。此外,建議改以UNIX Socket取代TCP Socket,避免將FastCGI介面直接暴露於網路,以降低被攻擊的風險。
遠端桌面軟體ScreenConnect存在重大漏洞 可導致遠端程式碼執行攻擊
軟體業者ConnectWise發布安全公告,警告遠端桌面軟體ScreenConnect存在高風險漏洞,可允許ASP.NET網頁元件注入,導致遠端程式碼執行。ConnectWise已發布更新修補漏洞。
該漏洞編號CVE-2025-3935,起因為驗證不充分,位於ScreenConnect使用ViewState保存頁面和控制項狀態的ASP.Net Web表單,這些網頁是利用ASP.NET機器金鑰(machine keys)進行資料的Base 64編碼加密。英國NHS安全公告指出,由於此項漏洞,擁有系統高級權限的攻擊者可能取得機器金鑰,而得以製作和傳送惡意ViewState程式碼到網站,使其可在受害者伺服器上遠端執行。
攻擊者若取得其他存取權限,可導致機密資料外洩,或被存取其他部份的系統。本漏洞影響ScreenConnect 25.2.3及之前版本,CVSS風險值達8.1分。
其他漏洞與修補
【資安產業動態】
【臺灣資安大會直擊】衛星科技快速崛起,從美國衛星安全CTF競賽看太空中的資安威脅
太空科技發展快速,衛星通訊愈來愈普及,太空中的資訊安全也逐漸受到重視,今年臺灣資安大會邀請不少專家來分享衛星通訊面臨的資安威脅及攻擊,國家資通安全研究院通報應變中心助理工程師Sol Yang從美國舉辦的衛星通訊相關的CTF競賽,剖析太空安全相關的資安威脅及潛在風險。
Sol Yang指出,美國空軍在2020年舉辦首屆Hack A Sat競賽,為以太空安全為主題的CTF搶旗賽,其概略的流程是,參加者設法竊取Cookie,並取得管理員權限後,再駭入地面站使用的開源控制軟體COSMOS,從中辨識並移除惡意程式,再以衛星上的感測器資料,從中分析地面站和衛星間的通訊、協定結構,再竄改內容進行注入攻擊,進而控制衛星。
美國空軍舉辦衛星安全競賽的目的是推動Security by Design,在設計衛星之時就基於安全設計,和一般電腦能夠事後執行安全更新不同,衛星在太空環境作事後修補成本相當高,因此在設計衛星時就需要確保是安全的,訂立標準確保衛星通訊的安全。
近期資安日報
【4月29日】1千多臺SAP NetWeaver伺服器傳出遭遇滿分漏洞攻擊
熱門新聞
2025-05-12
2025-05-12
2025-05-12
2025-05-12
2025-05-13
2025-05-12
