近期中東的局勢嚴峻,不時有資安事故傳出,例如,日前伊朗的國營石油公司遭到入侵,導致民眾無法加油,而今天有數則資安新聞也與中東有關,包含了中東當地的攻擊事故揭露:以色列網路攻擊業者Candiru攻擊中東多個國家的網站,以及臉書攔截了巴基斯坦駭客攻擊阿富汗用戶的行動,而來自於中東對於其他地區的攻擊行動,則有伊朗政府資助的駭客對於美國、英國、澳洲等地的關鍵基礎設施下手的情況。

而從國際的資安趨勢來看,最近不只是多起國家之間要宣布結盟對抗勒索軟體等網路攻擊的合作計畫,但現在不是只有防守方想要團結起來,發動攻擊的組織也打算尋求結盟:俄羅期勒索軟體駭客正尋求跨國合作,徵求中國駭客提供有關資源。

【攻擊與威脅】

巴基斯坦駭客攻擊阿富汗臉書用戶

臉書於11月16日公告,他們在今年8月,移除巴基斯坦駭客SideCopy所經營的帳號,這些攻擊者多半佯稱是年輕的女性,藉此誘騙受害者點選惡意URL,然後下載惡意的即時通訊軟體,內有PJobRAT或Mayhem惡意程式,一旦受害者信以為真安裝,裝置上的資料將遭到竊取,甚至連結受害裝置的電腦,資料也可能會被偷走。

中東網站遭到以色列網路攻擊公司Candiru攻擊

資安業者ESET發現2波針對中東網站的水坑式攻擊,第1波始於2020年4月,持續到同年7月底;第2波出現於今年1月,攻擊延續至8月,這2波攻擊總共危害數十個網站,受害者包含了專門報導中東新聞的英國媒體Middle East Eye,伊朗外交部、葉門內政部、葉門財政部、敘利亞電力部,以及敘利亞和葉門的ISP等。至於攻擊者的身分,ESET研判就是甫遭美國制裁的以色列網路攻擊公司Candiru。

伊朗政府資助的駭客利用Exchange Server與Fortinet漏洞,針對關鍵基礎設施發動攻擊

美國網路安全暨基礎架構安全局(CISA)、美國聯邦調查局(FBI)、澳洲網路安全中心(ACSC)、英國國家網路安全中心(NCSC)聯手提出警告,他們自2021年3月以來,發現由伊朗政府資助的APT駭客,鎖定多個關鍵基礎設施下手,其中入侵受害組織的管道,包含了Fortinet SSL VPN漏洞CVE-2018-13379、CVE- 2019-5591、CVE-2020-12812,以及Exchange Server的ProxyShell漏洞(CVE-2021-34473)。

俄羅斯勒索軟體駭客企圖尋求與中國駭客結盟

資安業者Flashpoint發現,駭客論壇RAMP近期一改以俄文為主要的使用語言,管理者不只改以英文發布訊息,且針對中文使用者提供專屬討論區。研究人員提到,10月便有使用者向2名中國用戶,尋求勒索軟體與漏洞購買的消息。目前此論壇約有30名中國用戶。

安卓銀行木馬BrazKing運用新手法,在幾乎不需權限的情況下照樣竊密

IBM威脅情報團隊指出,他們針對新版BrazKing銀行木馬進行分析後發現,攻擊者採用過往相當少見的手法,來迴避資安系統的偵測。像是有別於其他的銀行木馬程式會向用戶要求各式權限,BrazKing使用系統的無障礙服務,而只需要少量的權限即可執行竊密工作;對於覆蓋手機螢幕的內容,研究人員發現BrazKing會先偵測正在執行的處理程序,再從C2中繼站下載所需的工具,而能躲過沙箱的虛擬機器環境檢測。

英國揭露2021年資安事故處理情形

英國國家網路安全中心(NCSC)發布了年度報告指出,他們在2020年9月至2021年8月,總共處理了777起資安事故,較前1年增加7%,且其中的五分之一,與醫療產業及武漢肺炎疫苗有關。該單位指出,上述的資安事故數量增加的主要原因,與他們主動識別威脅的能力強化有關。

環球購物中心疑似客戶資料外洩,在165最新高風險賣場預警名單中,受理案件排第二多,東森購物與王品集團也受關注

刑事警察局165反詐騙在11月18日下午兩時公告最新高風險賣場,本週解除分期詐騙受理案件以東森購物案件最多,加總近一季來已超過300件,值得關注的是,環球購物中心也疑似資料外洩,新入榜排第二,而王品集團的疑似資料外洩情形也受關注,今年3月就有事件,前幾週西提牛排與王品牛排有多起報案,本周陶板屋也入榜。

 

【漏洞與修補】

FBI警告近日有攻擊者利用FatPipe產品零時差漏洞發動攻擊

FBI在11月16日示警,他們發現有APT組織鎖定FatPipe網路公司的WARP、MPVPN與IPVPN的零時差漏洞,該漏洞可讓攻擊者任意上傳檔案,然後導致特權提升與潛在的後續行動,以此漏洞作為進入其他漏洞的起點。值得關住的是,這樣的攻擊行動最早可以追溯到今年5月,目前該漏洞尚未通過CVE編號,FatPipe已經發布更新修補,建議用戶立即更新到最新版,另一方面,FBI也發布相關IOC與YARA資訊,供使用FatPipe的企業檢查是否受影響。此外,根據The Record報導,思科、微軟、F5 Networks、Palo Alto Networks、Fortinet與Citrix等公司也可能受影響。

 

【資安防禦措施】

美國發布資安事故與弱點的因應指引

美國白宮於5月發布行政命令,要求美國網路安全暨基礎設施安全局(CISA)制訂標準的作業程序,讓聯邦機構能夠遵循。CISA於11月16日,發布《聯邦政府資訊安全事故與弱點因應指引》(Federal Government Cybersecurity Incident and Vulnerability Response Playbooks),該指引提供決策樹(Decision Tree)與因應步驟的細節,讓聯邦市民執行分支機構(FCEB)能對於資安事故與漏洞的緩解,有一套標準的操作程序。

研究人員透過機器學習,識別用於中間人攻擊的作案工具

石溪大學(Stony Brook University)和資安業者Palo Alto Networks聯手,研發了一種網路指紋辨識技術,藉由網路層的屬性,自動化識別攻擊者用於中間人(MitM)攻擊的網釣工具包,這項偵測工具被命名為Phoca,能用於發現過往難以察覺的攻擊行動,並且能夠檢測及隔離有關的惡意連線請求。研究人員宣稱,Phoca能夠成功偵測工具包的正確性達99.9%。

 

【隱私保護】

臺北通遭質疑實聯制資料保管不當,市政府進行說明

臺北市市議員林亮君在質詢時提出,臺北市政府的手機應用程式「臺北通」,可能有暗中收集民眾資料多達5千萬筆的疑慮,且可能因為有外國人使用而違反GDPR。對此臺北市政府資訊局指出,上述的5千萬筆為實聯制資料,在28天後就會刪除,臺北市政府與中央都沒有保存歷史資料,而對於個資的收集與處理,則是依據個資法辦理,並強調個資受到嚴格保護,甫成立的大數據中心僅會將資料用於輔助市府決策,不會販賣民眾的個資。至於GDPR的部分,資訊局表示,臺北通並無出於商業目的之資料監控或個人分析行為,也沒有在歐盟境內設立據點與資料運用,故不適用GDPR。

因應Deepfake犯罪行為與保護個人隱私,司法院提出修法草案,修法加重刑責並增訂3條罪刑

Deepfake帶來的資安隱憂,前兩三年已經持續被探討,包括影音資訊竄改帶來的身分冒用、社交工程與假資訊操弄,隨著國內出現相關事件,帶來隱私層面的影響,政府終於開始採取行動,法務部在11月17日下午4時發布公布指出,隨著AI發展與運用,電腦合成的各種犯罪行為恐將更為嚴重,社會大眾對於資訊將更難辨別,影響社會安定、國家安全,也衝擊民主體制與人性尊嚴,因此提出修正草案並向行政院陳報,研議刑法增訂「散布性私密影音罪」、「製作或散布他人不實性影音罪」、「製作或散布他人不實活動、言論、談話罪」,並加重處罰「竊錄性影音罪」。

 

【近期資安日報】

2021年11月17日

2021年11月16日

2021年11月15日


熱門新聞

Advertisement