資料來源:IThome
在12月第一星期的資安新聞,在資安防護與數位信任方面,用AI對抗詐騙有極具創意的新進展正實現,英國電信業者O2上個月展現新的成果,發表AI阿嬤(AI Granny)Daisy,並由專門對抗詐騙、曾經揪出偽冒技術支援客服中心的北愛爾蘭YouTuber「Jim Browning」協助訓練,能即時接聽詐騙電話並與歹徒聊天,如此一來可耗用詐騙者時間、減少其他人被騙。
在資安威脅態勢方面,有兩起與臺灣有關的重要消息,首先是針對先前親俄駭客組織NoName057對臺的DDoS攻擊,國內資安業者安碁資訊揭露其具體手法,指出該組織癱瘓網站服務的DDoS攻擊做法,主要是消耗資源的HTTP洪水攻擊,而非消耗頻寬類型的阻斷模式,並說明攻擊者會先找出合適的HTTP洪水攻擊的頁面,之後只集中攻擊特定4到10個URL頁面,就能奏效。
另一是關於惡意軟體SmokeLoader假借報價名義的對臺攻擊活動揭露,資安業者Fortinet指出,這波攻擊從今年9月就針對臺灣的製造業、醫療保健、資訊科技及其他領域的公司而來,並指出攻擊者先是透過釣魚信、假借寄送報價單的名義,誘騙收信者開啟內含惡意VBS的附件。
在其他重要威脅消息方面,網路間諜行動的揭露是主要焦點,有兩起新聞與之有關,其攻擊目標涵蓋企業、組織,以及圖博與維吾爾族民眾。
●美大型企業組織於8個月前遭網路間諜攻擊事件被揭露,資安業者賽門鐵克指出攻擊者與中國駭客組織Daggerfly有所關聯,試圖收集機敏電子郵件內容,並濫用FTP軟體Filezilla外傳竊得的資料。
●新一起鎖定圖博及維吾爾族的間諜行動被揭露,資安業者趨勢科技指出,Earth Minotaur駭客組織會針對安卓與Windows裝置部署DarkNimbus後門程式,且暗中活動已長達5年,近日才被發現。
●韓國警方公布逮捕生產衛星接收器的執行長與員工,原因是買家向他們要求設備必須含有DDoS攻擊能力,該業者竟然配合對方製造這類型產品。
●美國、泰國、阿拉伯聯合大公國的航太及半導體產業遭鎖定,威脅情報業者ThreatBook指出此事件是伊朗駭客APT35所為,並會利用假徵才網站發動攻擊。
至於資安事件方面,國內有兩家上市公司發布資安事件重訊,國際間也有2起勒索軟體攻擊成為國際焦點。
●陽明海運部份資訊系統遭受駭客網路攻擊事件
●上市觀光餐旅新天地說明網路遭受駭客網路DDoS攻擊
●英國電信龍頭BT Group傳出遭遇勒索軟體Black Basta攻擊
●勒索軟體駭客組織Brain Cipher聲稱入侵德勤(Deloitte)英國分公司
在漏洞消息方面,有4個已知漏洞遭利用的消息,其中兩個漏洞先前曾經示警,包括:10月底CyberPanel修補其伺服器管理平臺CVE-2024-51568漏洞,當時傳出勒索軟體Psaux鎖定這些漏洞;去年10月日本線上儲存與應用硬體軟體公司North Grid修補Proself系統的CVE-2023-45727漏洞,今年7月JPCERT曾公布有駭客利用此漏洞,如今這些情況均得到美國政府證實。
另兩個分別是,兆勤科技在今年11月底才修補的漏洞CVE-2024-11667,以及檔案共享平臺ProjectSend在8月修補的漏洞CVE-2024-11680,也被美國CISA列入已知漏洞利用清單。
特別的是,有2個尚未公開CVE編號的零時差漏洞消息,一是資安業者0patch發現,去年10月終止支援的Windows Server 2012、2012 R2有零時差漏洞,另一是資安業者Any.run指出駭客疑似利用零時差漏洞、濫用Word檔案修復功能,並假借公司人資與員工福利的名義從事網路釣魚,需要繼續留意與追蹤。
還有一起零時差漏洞利用狀況是日本JPCERT/CC在12月4日示警,指出I-O Data兩款LTE無線基地臺的零時差漏洞已遭利用,包括CVE-2024-45841、CVE-2024-47133、CVE-2024-52564。
雖然上述這家日本產品業者未能在CVE公布之際推出修補(預計12月18日發布更新),但我們注意到,該公司11月13日就曾發布產品安全公告先對外示警,在JPCERT/CC於JVN平臺公布其漏洞後,他們也更新事件說明,相較之下,臺灣遇到類似狀況的處理方式會是什麼?目前TWCERT/CC會在TVN平臺發布部分臺灣IT產品的漏洞資訊,但我們發現部分業者官方網站未能找到這些資訊,顯示臺廠揭露透明度仍有提升空間。
【12月2日】網釣工具包Rockstar 2FA針對汽車相關主題網站而來,意圖竊取用戶的M365帳號
網路釣魚攻擊可說是相當泛濫,相關工具包也接連出現,資安業者Trustwave揭露最新一波的攻擊行動相當引人注意,駭客運用名為Rockstar 2FA的網釣工具包,而能在突破多種資安防護下發動攻擊。
研究人員強調,駭客在攻擊流程搭配多種合法服務,而能成功迴避資安系統的偵測,其中一種是Cloudflare去年底正式開放、可免費使用的圖靈驗證服務Turnstile。
【12月3日】惡意軟體SmokeLoader假借報價名義攻擊臺灣多個領域的企業
駭客組織在執法單位從事執法行動,破壞基礎設施之後,另起爐灶再度從事攻擊行動的情況不時傳出,而最近一波惡意軟體SmokeLoader再度出沒的攻擊行動相當值得留意,因為這是在遭執法單位查緝之後,該惡意程式的最新活動。
值得留意的是,這波攻擊行動針對臺灣的企業而來,駭客的目標涵蓋製造業、醫療保健、資訊科技等多個產業。特別的是,攻擊者竟使用內容幾乎一模一樣的釣魚信,對不同公司下手。
【12月4日】伊朗駭客APT35鎖定航太及半導體產業發動網釣攻擊
隨著國際政治局勢日益緊張,在國防產業占有重要地位的航太領域,這兩年也成為攻擊目標,而這些駭客多半是鎖定美國而來,但如今,有駭客廣泛針對多個國家攻擊航太產業。
例如,近期伊朗駭客組織APT35的攻擊行動,就是典型的例子,這些駭客針對航太及半導體產業,架設冒牌徵才網站來引誘特定人士上當,從而於受害電腦植入惡意程式。
【12月5日】勒索軟體Brain Cipher聲稱攻擊Deloitte英國分公司並竊得大批資料
勒索軟體攻擊行動與風險達到10分漏洞占據了今天的資安日報版面,其中,又以德勤(Deloitte)英國分公司傳出遭遇勒索軟體攻擊的事故,最令人震撼。
雖然駭客聲稱從該公司竊得1 TB的內部資料,但並未透露他們掌握了那些資料,加上德勤並未發表公開說明,這起事故的真實性有待進一步確認。
【12月6日】與中國駭客組織Daggerfly有關的駭客對美國大型企業從事4個月的情報收集
中國駭客從事網路間諜活動的情況,在今天出現兩起事故,一起是針對美國大型企業而來,而另一起則是針對維吾爾族和圖博人士的攻擊行動。
其中,發生在美國企業的資安事故相當值得留意,因為揭露此事的資安業者賽門鐵克指出,他們僅能確認駭客至少從事4個月的活動,但推測對方入侵的時間點,應早於他們看到的攻擊活動。
