最近2到3年,駭客偏好散布惡意程式的新興管道,其中之一就是針對開發人員使用的開源套件儲存庫NPM、PyPI而來,藉由在此發行有問題的套件,進而在安裝、使用這些套件的電腦散布惡意程式,但隨著生成式AI技術的崛起,類似的情況也出現在共享機器學習模型的平臺。
在譽為AI界GitHub之稱的Hugging Face平臺,研究人員發現裡面存在惡意的機器學習模型,值得留意的是,儘管該公司已採取多項檢測措施來掃描機器學習模型的檔案是否有害,然而,這些模型居然可以繞過這些機制而能成功上架,因此平臺端和使用者端都要提高警覺。
【攻擊與威脅】
機器學習模型共享平臺Hugging Face出現100個惡意模型,若下載使用電腦恐被植入後門
資安業者JFrog針對機器學習模型共享平臺Hugging Face提出警告,因為他們在這裡發現超過100個模型疑似帶有惡意功能,而可能導致資料外洩與網路間諜攻擊等資安風險。
研究人員提及其中1個由使用者baller423上傳的惡意模型為例,載入後,會讀取Python序列化模組Pickle檔案,從而在受害主機執行任意程式碼。此模型的酬載會在成功入侵後產生Shell後門程式,從而讓攻擊者完全控制受害主機。
JFog認為,雖然Hugging Face已採取多種防護措施,像是針對惡意軟體、Pickle、帳密資料(Scrects)進行掃描,企圖以此確認模型的功能是否存在不安全行為,但顯然還不夠,因為上述狀況突顯此平臺無法徹底擺脫實際資安威脅。
更多駭客團體濫用ScreenConnect重大漏洞,Black Basta、Bl00dy被查出正在利用這個管道發動攻擊
2月20日資安業者ConnectWise針對旗下遠端桌面連線系統ScreenConnect公告高風險漏洞CVE-2024-1708、CVE-2024-1709(兩者被合稱為SlashAndGrab),勒索軟體駭客LockBit將其用於攻擊診所、獸醫院,以及與911專線相關地方政府系統,現在傳出有其他駭客組織跟進。
趨勢科技指出,他們發現勒索軟體駭客組織Black Basta、Bl00dy利用SlashAndGrab的跡象。Black Basta的附屬組織先是利用漏洞入侵ScreenConnect伺服器,然後進行偵察,找出具備網域管理員身分的帳號、列出受信任的網域,然後部署滲透測試工具Cobalt Strike。另一個駭客組織Bl00dy,則是利用這些漏洞初步存取目標組織的內部環境,然後部署勒索軟體來加密檔案,此惡意程式以勒索軟體LockBit 3.0(亦稱LockBit Black)及Conti的外流建置工具打造而成。
在上述兩組人馬的攻擊行動之外,研究人員也看到其他駭客出手,有人投放惡意程式XWorm,也有駭客部署其他遠端管理工具來進一步控制受害電腦。
Ubiquiti路由器遭俄羅斯駭客組織APT28濫用,而得以建置殭屍網路,目的是隱匿攻擊行動
美國聯邦調查局(FBI)、國家安全局(NSA)、網路作戰司令部(US Cyber Command)與10個國家的執法機關聯手,針對俄羅斯駭客組織APT28的攻擊行動提出警告,這些駭客正在濫用Ubiquiti路由器EdgeRouter迴避偵測。
而對於駭客偏好該廠牌路由器的原因,FBI表示,因為這些產品通常以預設固定登入帳號密碼的狀態出貨,而且無線網路服務供應商(WISP)部署這些設備時,通常是在無防火牆保護的狀態下,在此同時,EdgeRouter的韌體自動更新設定,需由使用者手動設定才會啟用。駭客一旦入侵這些路由器,就會取得其root權限,從而不受限制存取,然後部署作案工具,以便於在攻擊行動來混淆身分。
值得留意的是,雖然美國執法單位近期切斷以此廠牌路由器組成的殭屍網路Moobot,但FBI表示,管理這些路由器的使用者也要採取對應的緩解措施,才有機會長期破壞此殭屍網路的運作。
電玩業者Epic Games傳出遭勒索軟體駭客組織Mogilevich入侵,遭到該公司否認
根據資安新聞網站Bleeping Computer、Cyber Daily報導,2月27日勒索軟體駭客組織Mogilevich聲稱,他們入侵電玩業者Epic Games並竊得189 GB內部資料,當中包含電子郵件、密碼、姓名、付款資訊、原始碼。該組織要求該公司向他們聯繫,期限是3月4日,但並未透露勒索金額或其他相關資訊。
對此,Epic Games表示他們著手調查此事,目前為「零證據(zero evidence)」狀態,而無法證明對方宣稱是否屬實,且彼此尚未聯繫。
駭客向兩家新聞網站透露,他們開價1.5萬美元兜售竊得資料,但只對出示「財力證明」的買家提供檔案來驗證他們拿到的資料,並聲稱有3名買家取得部分外洩資料。Bleeping Computer主編Lawrence Abrams認為駭客的說法「感覺不真實」,而與他們合作的資安專家推測,這很有可能是一場騙局。
資料來源
1. https://www.cyberdaily.au/culture/10241-fortnite-game-dev-epic-games-allegedly-hacked
2. https://www.bleepingcomputer.com/news/security/epic-games-zero-evidence-we-were-hacked-by-mogilevich-gang/
3. https://twitter.com/EpicNewsroom/status/1762864647445901578
4. https://twitter.com/LawrenceAbrams/status/1762576389373325757
Anycubic客戶的3D印表機遭駭,對方聲稱該系統的MQTT伺服器存在漏洞
近期有多名Anycubic的客戶透露,他們的3D印表機遭到入侵,對方植入名為hacked_machine_readme.gcode的純文字檔案,內容指出Anycubic的系統存在重大漏洞,要求用戶儘速採取行動,切斷印表機與網際網路的連線、防範潛在威脅,並宣稱用戶的印表機並未受害。
而對於重大漏洞的說明,駭客聲稱與該系統採用的MQTT服務有關,一旦有人利用這項漏洞,就有機會存取並控制3D印表機,他們將上述的警告訊息發送給2,934,635臺印表機(編按:2023年7月Anycubic表示累計售出約300萬臺)。
值得留意的是,Anycubic迄今並未對於類似事故提出說明。有資安研究員表示,他們2個月前也向該公司提報2個重大漏洞,並指出若是遭到利用,其中1個可能會導致災難性的後果,但該公司遲遲沒有回覆,打算公開揭露相關發現。此外,在使用者表明遭駭之後,Anycubic的應用程式出現無法存取的現象,使用者若是嘗試登入系統,便會看到網路無法使用的錯誤訊息。
資料來源
1. https://techcrunch.com/2024/02/28/anycubic-users-3d-printers-hacked-warning/
2. https://klipper.discourse.group/t/printer-cfg-for-anycubic-kobra-2-plus-pro-max/11658/201
Windows AppLocker漏洞在修補之前就遭到北韓駭客Lazarus利用
微軟在2月份例行更新(Patch Tuesday)修補CVE-2024-21338,此漏洞位於Windows的應用程式白名單元件AppLocker(appid.sys),通報此事的防毒業者Avast指出,在微軟修補之前,該弱點已被用於攻擊行動。
他們之所以發現這項漏洞,與北韓駭客組織Lazarus有關,因為這個團體所用的新版rootkit程式FudModule當中,就是藉由CVE-2024-21338關閉特定的Protected Process Light(PPL)處理程序,從而迴避防毒軟體Microsoft Defender、EDR系統CrowdStrike Falcon、反惡意程式工具HitmanPro的偵測。有別於之前這些駭客利用自帶驅動程式(BYOVD)的手法,透過上述零時差漏洞來達成迴避偵測的目的,更能減少觸發資安防護系統警報的機會。
而對於新版惡意程式FudModule的用途,研究人員表示駭客將其用來散布另一款RAT木馬程式,並預告將在亞洲場黑帽大會Black Hat Asia 2024公布細節。
【漏洞與修補】
兆勤公告與修補防火牆與無線基地臺存在漏洞,用戶若不處理,可能無法因應RCE、命令注入等攻擊
2月21日兆勤發布資安公告,揭露CVE-2023-6397、CVE-2023-6398、CVE-2023-6399、CVE-2023-6764等4個漏洞,該公司旗下ATP、USG Flex、USG Flex H系列防火牆設備均可能受到影響,而其中的CVE-2023-6398,還額外影響約20款Wi-Fi無線基地臺設備。
其中,本次揭露的漏洞,危險程度最高的是CVE-2023-6764,CVSS風險評分達到8.1。這個弱點與IPSec VPN功能有關,屬於格式字串(format string)類型的漏洞,能用於未經授權的遠端執行程式碼(RCE)攻擊,若發送內含無效指標的特製酬載,就可能觸發。
雖然兆勤在公告裡提及,攻擊者想要利用漏洞,必須詳細掌握防火牆設備的配置,但揭露漏洞的資安業者TRAPA Security在他們的臉書粉絲頁貼文提醒大家注意,他們指出,此預先身分驗證的RCE漏洞最值得留意,因為攻擊者一旦將其利用,可在無須身分驗證的情況下,從WAN端獲得設備的最高權限。
資料來源
1. https://www.zyxel.com/tw/zh/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-and-aps-02-21-2024
2. https://www.facebook.com/TrapaSec/posts/pfbid033YCZHqCpHZKfc5aXvVXwM17z8ifsg6qHXX12eXsQU9HQLYQenahTKmZXSmiUXRABl
研究人員揭露蘋果自動化流程應用程式Shortcuts高風險漏洞細節
1月22日蘋果發布iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、watchOS 10.3,修補高風險漏洞CVE-2024-23204(CVSS風險評分為7.5),這個弱點是坐落在自動化流程應用程式Shortcuts當中,蘋果當時表示,攻擊者若利用這項漏洞,能在無需使用者互動的情況下,運用敏感資料。
通報該漏洞的資安業者Bitdefender近期透露更多細節,他們指出問題出在名為Expand URL的動作,原本Expand URL是用於將短網址回復成原始網址,並過濾與追蹤有關的參數,卻存在可外洩資料的疏漏。
為了驗證漏洞,Bitdefender製作能繞過「透明度、同意與控制(Transparency, Consent, and Control,TCC)」通訊協定的Shortcuts檔案,從而觸發漏洞,將圖片的Base64編碼傳輸至惡意網站,研究人員指出,攻擊者可透過這類Shortcuts檔案涉及的照片、通訊錄、檔案,或是剪貼簿的資料,進行匯入,並使用Base64進行編碼,接著再將這些內容轉送到惡意伺服器。
【其他新聞】
研究人員證實勒索軟體駭客組織LockBit重出江湖,使用新的作案工具犯案
北韓駭客Lazarus上傳惡意PyPI套件,意圖散布惡意軟體Comebacker
中國駭客組織利用Ivanti Connect Secure漏洞從事攻擊行動,針對美國、日本、亞太地區國防工業及電信機構而來
德國消費者保護團體傳出遭勒索軟體攻擊,電話與電子郵件通訊受到影響
近期資安日報
【2月27日】知名組織棄置的網域與子網域淪為掩護惡意郵件攻擊的新興工具
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22