資料來源:IThome
11月最後一周的資安新聞中,在漏洞消息方面,有2大漏洞利用消息與1項漏洞警訊需要優先關注,都與邊緣裝置安全有關,涵蓋Array Networks、Zyxel Networks與D-Link的網路產品。
●大宇集團旗下Array Networks去年3月修補的SSL VPN系統漏洞CVE-2023-28461,如今發現有駭客開始利用此已知漏洞發動攻擊。
●兆勤科技(Zyxel Networks)今年9月修補防火牆漏洞CVE-2024-42057,隨著資安業者Sekoia示警,後續兆勤警告攻擊者開始鎖定這項已知漏洞。
●中華電信提供許多個人及政府機關的D-Link數據機DSL-6740C,本月被國內資安研究人員揭露存在8個漏洞。
值得注意的是,這2項漏洞利用的幕後凶手已被資安業者查出,趨勢科技揭露中國駭客組織Earth Kasha最新攻擊行動,就是利用上述Array的漏洞與另一Fortinet已知漏洞作為入侵起始點,臺灣與日本的企業均有受害案例;資安業者Sekoia揭露勒索軟體Hellodown的攻擊行動,指出是利用上述兆勤漏洞入侵。
而D-Link數據機的DSL-6740C漏洞揭露亦是一大警訊,因為該設備今年初已終止支援,加上臺灣現在還有多達57,945臺仍在運作,顯示出中華電信處理EOL設備的速度太慢,以及還有很多人不知道要請中華電信更換。
在資安事件上,11月底感恩節前夕有一起勒索軟體攻擊事件受矚目。美國供應鏈管理業者Blue Yonder遭攻擊後導致服務中斷,影響北美1.1萬家星巴克門市與英國2家連鎖超市等系統,使其員工只能手動作業,且3天後系統仍未恢復。
國內也發生一起事件值得我們警惕,就是北捷AI客服被測試發現可代寫程式碼。過去ChatGPT等生成式AI常因提示注入攻擊(Prompt Injection)被誘導,超出違反原本的安全或使用限制,因此後續各界不斷強調提高AI安全護欄能力。雖然此次未達惡意濫用程度,但已暴露國內可能輕忽系統AI安全護欄的問題。
在資安威脅態勢上,有多個中國與俄羅斯駭客組織的攻擊活動被揭露,其攻擊目標相關廣泛,涵蓋瀏覽器、作業系統,也有鎖定電信業者,以及針對圖博(西藏)民眾等:
●近兩個月Firefox與微軟分別修補的零時差漏洞(CVE-2024-9680、2024-49039),如今資安業者ESET公布幕後攻擊者是名為俄羅斯駭客Tropical Scorpius(又名UNC2596)所串連利用,並會植入後門程式RomCom。
●電信業注意!關於中國駭客組織Salt Typhoon攻擊全球電信業又有後續消息,趨勢科技揭露攻擊者會植入名為Demodex的rootkit程式,而近期攻擊東南亞電信業者的事故中,還使用先前未曾揭露的GhostSpider等多款後門程式。
●中國駭客TAG-112新一波鎖定圖博新聞媒體、大學網站的攻擊被揭露,目的是針對瀏覽網站的使用者電腦植入Cobalt Strike,目前尚不知駭客利用那些漏洞。
●鄰居被駭也是自家被攻擊的前奏,最近資安業者Volexity公布俄羅斯駭客APT28在俄烏戰爭前夕藉由Wi-Fi管道的攻擊方式--Nearest Neighbor Attack。
●駭客濫用防毒軟體元件從事自帶驅動程式(BYOVD)攻擊的手法越來越多,最近一起是針對Avast的驅動程式元件而來,以停用受害電腦防護機制。
在資安防禦新聞中,我們觀察到兩個關鍵議題備受關注,包括:促進民間資安情報的聯防合作以及打擊網路犯罪,分別是臺灣與全球關注資安風險的重點。
首先是今年台灣資安通報應變年會,透露了TWCERT/CC的日後新方向,指出為了讓聯防更有效果,將以情資角度作為向企業溝通的方式,而不像過去從事件通報角度向企業溝通,目標是讓企業回報的內容,可以更聚焦在聯防需要的情資,意即:何種類型攻擊、可能攻擊標的、入侵指標(IoC)、攻擊手法等關鍵資訊。
另一個是全球在查緝網路犯罪方面取得新成果。國際刑警與非洲刑警聯手行動,在19個非洲國家逮捕了千餘名嫌犯。其中部分犯罪行動涉及高技術含量,例如在肯亞破獲的一起網路信用卡詐騙案中,駭客利用修改銀行系統安全協議的方式,執行惡意腳本竊取資金,並流向多國司法管轄區內的金融相關機構。
【11月25日】俄羅斯駭客在軍事行動前夕,藉由跳版入侵目標組織的無線網路環境
最近幾年,有研究人員揭露利用Wi-Fi無線網路從事近距離、非接觸式的攻擊手法,但這樣的手段鮮少在實際的資安事故曝光,如今有研究人員公布此種類型攻擊行動。
資安業者Volexity指出,2年前俄羅斯駭客組織APT28就是利用類似的策略,先攻擊目標組織鄰近的企業,再藉由這些跳板存取目標組織的Wi-Fi網路,從而進行相關的情報收集。
【11月26日】軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊,客戶受到波及
供應鏈攻擊事故頻傳,最近軟體供應鏈業者Blue Yonder遭遇勒索軟體攻擊,傳出已對客戶的運作造成影響,目前已有連鎖咖啡店星巴克、英國兩大超市證實受到波及。
值得留意的是,11月21日Blue Yonder證實因資安事故導致代管服務中斷,但目前尚未確認復原的時間,相關災情與影響範圍有待後續觀察。
【11月27日】攻擊者串連Firefox與Windows的零時差漏洞,能在使用者毫無察覺的狀況下植入惡意程式
攻擊者利用瀏覽器零時差漏洞的情況不時傳出,但多半會針對較多人使用的Chrome而來,發生在今年10月上旬的Firefox零時差漏洞攻擊相當引人關注,如今通報漏洞的研究人員更多細節。
他們提及這波攻擊行動由俄羅斯駭客RomCom發起,在過程裡還會運用Windows零時差漏洞CVE-2024-49039,使得攻擊者無須與使用者互動,就能將後門程式散布到受害電腦。
【11月28日】第一款針對Linux主機的UEFI Bootkit現身
埋藏在UEFI韌體的惡意啟動工具UEFI Bootkit相當神秘,攻擊者藉此隱匿行蹤,並能從開機階段就挾持整臺電腦,讓執行於作業系統之上的防護機制失效,這樣的情況最近有了新的變化。
本週資安業者ESET揭露新的惡意啟動工具Bootkitty,並指出雖然這支程式很可能仍在開發階段,但是第一個專門針對Linux作業系統的UEFI Bootkit,後續發展相當值得留意。
回顧本月底資安新聞有3大漏洞消息需優先重視,包含駭客鎖定Array Networks、Zyxel Networks設備的已知漏洞情形,還有中華電信提供的D-Link數據機被發現漏洞但已終止支援的狀況;在資安事件方面,國際間一起勒索軟體攻擊間接衝擊北美1.1萬家星巴克,國內則有北捷AI客服被測試發現可代寫程式碼的狀況
【11月29日】駭客利用CleverSoar惡意程式於中國、越南電腦散布多種惡意軟體
惡意軟體框架Winos 4.0的攻擊行動,最近半年已出現數起相關事故,但值得留意的是,過往駭客的主要攻擊目標,都是使用簡體中文的使用者,而在最近一起事故當中,慣用越南文的用戶也是目標。
不只攻擊的範圍擴大,散布該惡意程式的駭客也搭配其他新工具來進行,其中一種引起研究人員關注的是惡意程式部署工具CleverSoar。