在國際局勢上,俄羅斯APT駭客APT29、APT28、Sandworm Team,不斷針對關鍵基礎設施(CI)發動攻擊,而使得美國政府向相關業者發出警告,呼籲要積極監控工業控制系統(ICS)與操作科技(OT)環境,一旦發現疑似的攻擊跡象,就要進行通報。而類似針對CI的APT駭客,還有隸屬伊朗軍情單位的MuddyWater,他們主要的攻擊目標是電信業者、政府機構,以及石油公司。

而中國通訊設備傳出可能會向中國政府回傳資料的跡象,過往集中的焦點多半是在行動裝置,但企業採用的IP電話也出現類似情形。最近有報導指出,美國有參議員向商務部提出,該國政府各級單位大量採用的億聯(Yealink)IP電話,不只設計上存在嚴重的資安問題,還會連線到阿里雲交換加密訊息。這樣的情形商務部會如何因應,相當值得觀察。

除了上述的資安通告,以及中國產品的威脅,美國醫療機構資安事故頻傳的現象也引起關注。在我們今天提到的佛州消化道照護機構(FDHS)、美國醫療檢測研究所(MRIoA)的事故之餘,近期還有Ravkoo網路藥局、伊州生育中心、愛達荷州醫療機構Saltzer Health、佛州醫療照護系統Broward Health等組織傳出相關攻擊事件。

【攻擊與威脅】

俄羅斯駭客APT29、APT28、Sandworm Team鎖定美國關鍵基礎設施下手

臺灣在資安即國安的戰略下,關鍵基礎設施(CI)成為重要的一環,而針對這類設施的相關威脅,國外也相當重視。例如,美國網路安全暨基礎架構安全局(CISA)、聯邦調查局(FBI)、國家安全局(NSA)聯合提出警告,APT29、APT28、Sandworm Team等俄羅斯政府資助的駭客組織,連年針對關鍵基礎設施,攻擊全球的工業控制系統(ICS)與操作科技(OT)環境,尤其對於美國CI攻擊的情況加劇,他們呼籲相關業者要加強防護,保留各式事件記錄檔案(Log),並在察覺疑似遭駭的事件就進行通報。

美國指控MuddyWater駭客組織與伊朗軍情機構有關

伊朗駭客組織MuddyWater(亦稱SeedWorm、TEMP.Zagros)近期動作頻頻,且都是鎖定電信業者、政府機構,甚至是航空公司等關鍵基礎設施下手,這樣的攻擊策略是否與軍事情報的收集有關?美國網站司令部(United States Cyber Command,USCYBERCOM)指出,MuddyWater是伊朗情報暨國家安全部(MOIS)下屬單位,他們也公布該組織於近期攻擊行動所使用的惡意軟體PowGoop情資,並指出這些駭客可能會透過DLL側載(DLL Side-loading)來執行,並混淆PowerShell指令以隱藏攻擊意圖。

億聯IP電話設備疑似會每天向中國伺服器發送訊息

中國品牌的行動裝置會回傳資料到中國,而引起關注,但該國品牌的IP電話,也可能存在類似的情況。根據美國國防新聞網站Defense One的報導,該國參議員Chris Van Hollen於2021年9月28日,向商務部提及億聯(Yealink)IP電話潛藏的資安威脅,並引用資安業者Chain Security對於該廠牌T54W電話的分析報告,確認商務部是否知情。由於億聯為當地政府IP電話的10大供應商之一,該廠牌IP電話廣受美國政府與企業採用,這名參議員認為,恐會造成國安威脅。

資安業者Chain Security在研究報告指出,T54W會每天透過其管理平臺(YDMP)連線到阿里雲,多次交換加密訊息,而且億聯中國的員工可透過YDMP超級管理員身分,來監控網路流量。此外,T54W的韌體沒有使用數位簽章,有可能遭到攻擊者竄改。再者,根據億聯的使用者授權條款,中國政府可基於國家利益考量,要求億聯對使用者進行主動監控。

菲律賓選舉委員會伺服器遭駭,恐波及總統大選

菲律賓即將於今年5月舉行總統大選,相關的競選活動與籌畫正在如火如荼進行,卻驚傳辦理選務的單位資料外洩。當地媒體馬尼拉公報(Manila Bulletin)發現,有駭客組織於1月8日入侵菲律賓選舉委員會(Comelec)的伺服器,並下載該單位的內部網路資料,包括網域相關資料及選務資料。攻擊者不只下載了網域管理員帳密、特權用戶名單、網域政策,並取得投票區地點與選務人員名冊等細節。馬尼拉公報認為,這起資料外洩事件很可能會影響接下來的總統大選。

美國佛州腸胃醫療機構驚傳資料外洩,21萬病人可能受到影響

商業郵件詐騙(BEC)橫行,不只導致組織財務損失,還可能洩露客戶的資料。美國佛州消化道照護機構(FDHS)近日向212,509人發出資料外洩通知,表明一年前(2020年12月)數名員工電子郵件帳號遭到入侵的事故,不只該構構有部分資金遭竊,還有可能使得病人的資料外洩。這些資料包含了姓名、財務資料、聯絡方式、醫療診斷,以及保險與補助的資料。FDHS表示,電子病例系統(EMR)並未受到本起事故影響。

美國醫療檢測機構MRIoA資料外洩,恐波及逾13萬人

美國醫療檢測研究所(MRIoA)發出公告指出,他們在2021年11月9日察覺遭到複雜的網路攻擊,並於同月12日出現客戶資料遭到未經授權存取的現象,這些資料包含了個人聯繫方式、社會安全碼、實驗室檢測資料,以及保險資料等。MRIoA強調,尚無證據顯示,外洩的資料導致客戶身分遭到盜用,該單位亦提供受影響的人士免費信用監控與身分保護服務。根據MRIoA繳交給緬因州總檢察長辦公室的文件,超過134,000人受到影響。

美商藝電驚傳FIFA玩家帳號遭駭

社群網站如臉書、Instagram、推特等,名人帳號遭到挾持事件頻傳,但這樣的現象也出現在電玩遊戲上。美商藝電(EA)近期發布公告,指出足球電玩FIFA 22的玩家,有接近50個帳號遭到接管,攻擊者使用網路釣魚與其他社交工程手法,藉由客服人為錯誤來繞過雙因素驗證(2FA),來存取這些玩家的帳號,該公司將加強相關人員的訓練,以及改進身分驗證流程來因應。由於遭駭的玩家包含了直播主,甚至是Valentin Rosier等足球運動員,此事件的後續發展有待觀察。

義大利駭客鎖定出版業發動網釣攻擊,竊取未上市書籍稿件

攻擊者利用商務郵件詐騙(BEC)的手法,大多是鎖定財務部門與相關主管,但也有針對出版業剽竊智慧財產的情況。美國於1月5日逮捕29歲的義大利人Fillippo Bernardini,這名男子藉由曾在大型出版商Simon & Schuster工作,但自2016年8月,他涉嫌冒充出版業的人士,使用超過160個假造網域名稱的電子郵件,佯稱是出版社或是文學偵察員(literary scout),要求作者在書籍出版前提供手稿,其中不乏得到普立茲獎肯定的作家。該名男子亦針對紐約市一家文字偵察員公司發動網路釣魚攻擊,進而從中得知即將出版的書籍資訊。一旦被判有罪,Fillippo Bernardini恐面臨20年以上的監禁。

東森購物、誠品書店與王品集團履列高風險賣場名單,到2022年初仍多起民眾通報,單誠品去年就有939件

針對國內疑似個資外洩造成詐騙的問題,內政部刑事警察局165反詐騙諮詢專線,持續公布解除分期詐騙高風險賣場名單示警,到了2022年第一週,去年傳出客戶個資外洩的東森購物、誠品書店,仍位列名單第一第二,王品集團旗下餐飲品牌陶板屋也持續入榜。

日前警方曾針對誠品書店個資外洩事件說明,指出該公司並未找到事件根因,而我們追問後得知,2021全年單是誠品的民眾通報件數,已高達939件,而東森購物與王品集團還在調閱資料中,但也可能有如此多,相較於前兩年,2020年是MOMO購物(383件)最高、2019年是MKUP美咖(421件),去年個資外洩引發詐騙的問題,明顯比往年嚴重。近期,165就會揭露2021年度的前五大高風險賣場。

 

【近期資安日報】

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement