針對關鍵基礎設施(CI)而來的攻擊行動,過往駭客鎖定的對象,不少是石油公司、發電廠、水利設施等能源業者。但在今天的資安新聞中,俄國APT28、北韓Konni等駭客組織針對的是再生能源相關業者,其中,也有臺灣的政府機關受到影響。

在許多的應用系統和雲端服務中,雙因素驗證(2FA)被視為保護使用者帳號的重要機制,我們很可能認為有了相關機制就萬無一失,大型雲端服務所導入的驗證流程理應也相當可靠,但其實不盡然。在今天的資安新聞裡,就有知名的雲端檔案共享服務出現相關漏洞,此外,也有生物辨識系統可被繞過的情況。

而除了各式的攻擊行動和漏洞揭露,歐美的執法單位為我們帶來今年的第一個好消息,但與過往有所不同的是,這次他們是針對駭客用來匿蹤的VPN服務,封鎖相關的伺服器,而非特定的惡意軟體基礎設施架構。

【攻擊與威脅】

針對可再生能源公司、環境保護組織的網釣攻擊,臺灣也有政府機關遭到鎖定

環保意識高漲,加上近年來能源短缺,再生能源的生產、研發也備受關注,但這些組織如今也成為駭客的攻擊目標。資安研究員William Thomas揭露一起從2019年出現的網路釣魚攻擊行動,攻擊者鎖定至少15個組織下手,使用Mail Box工具包發動攻擊。這些組織的主要共通點為與再生能源相關,如施耐德電機、Honeywell、碳揭露專案(CDP)等,值得留意的是,臺灣行政院農業委員會林業試驗所也是駭客的攻擊目標。而對於攻擊者的身分,其中有部分攻擊行動是由俄國駭客組織APT28、北韓駭客組織Konni發起。

北京冬季奧運App存在資安風險,資料傳輸安全性不足,言論審查功能也惹議

近期2022北京冬季奧運即將在2月4日登場,主辦方為了防疫需求,要求參賽運動員及團隊、觀眾與媒體,需安裝My2022(冬奧通)的App,以記錄個人健康狀況,但加拿大公民實驗室(Citizen Lab)在1月18日發布研究報告中,顯示該App服務有兩大爭議,一是資料傳輸安全性不足,可遭中間人攻擊,另一是App具備允許舉報他人政治敏感言論的功能,並已建立2,442個審查關鍵字詞清單,國外與會者顯然有隱私侵犯問題。研究人員在去年12月3日通報主辦單位,至今未獲回應因此公開研究結果。

Winnti附屬組織鎖定政府機關與加密貨幣公司發動攻擊

大多APT組織的攻擊行動,目標通常相當單一,但也有駭客組織的攻擊領域甚廣。趨勢科技揭露名為Earth Lusca的中國駭客組織,並指出該組織使用網路釣魚、水坑式攻擊、應用系統的漏洞,鎖定政府單位、教育機構、宗教組織,以及香港的人權組織、武漢肺炎研究機構等。Earth Lusca疑似是Winnti旗下的附屬組織,攻擊目標多半是對於中國政府具有戰略意義的組織。

網路犯罪年齡大幅下降,9歲兒童就能發動DDoS攻擊

英國國家犯罪調查局(NCA)指出,在武漢肺炎疫情大爆發之後,他們發現不少學生會發動網路攻擊,其中年紀最小的只有9歲,這名學生發動了分散式阻斷服務(DDoS)攻擊。根據該單位旗下的網路犯罪部門NCCU統計,從2019年至2020年,警方阻止學生從事網路犯罪的案件增加了107%。對此,近日NCA與Schools Broadband聯手,針對在學校電腦上搜尋網路攻擊有關用語的學生,向他們顯示Cyber Choices網頁以進行勸導。

 

【漏洞與修補】

檔案共享服務Box的簡訊多因素驗證可被繞過

透過手機簡訊作為雙因素驗證(2FA),而被繞過的情況不時被發現。資安業者Varonis指出,他們發現檔案共享服務Box的身分驗證漏洞,使得攻擊者可在用戶啟用簡訊雙因素驗證的情況下,透過自己向Box以驗證碼產生器取得、具有時效性的一次性驗證碼(TOTP),通過受害者Box帳號的雙因素驗證流程。這項漏洞在研究人員通報後,Box於2021年11月2日予以修補。

Idemia生物特徵辨識系統存在漏洞,攻擊者可發送特定命令開門

透過生物辨識來驗證身分的方式,也可能因為其他資安實作瑕疵而被繞過。資安業者Positive Technologies發現,多款Idemia的生物特徵辨識系統裡,存在一項CVSS風險層級為9.1分的重大漏洞VU-2021-004,在用戶沒有啟用TLS加密通訊協定的情況下,攻擊者能藉由發送特定的命令,而無須身分驗證就能開啟由這種辨識系統所保護的門鎖。對此,Idemia也規畫在日後推出的新版韌體中,強制啟用TLS來防堵漏洞。

Zoho裝置管理平臺驚傳漏洞,攻擊者可用來上傳任意ZIP檔案

Zoho近日針對旗下裝置管理平臺ManageEngine Desktop Central,修補重大身分驗證繞過漏洞CVE-2021-44757,並指出一旦攻擊者利用,可在未經授權的情況下讀取該系統的資料,或是上傳任意ZIP到Desktop Central伺服器。該公司呼籲用戶應儘速安裝10.1.2137.9版修補上述漏洞。

 

【資安防禦措施】

歐美執法單位聯手,破壞網路罪犯用於藏匿行蹤的VPN基礎設施

不只針對是罪犯組織,近期執法單位也對於提供相關工具的業者採取行動。歐洲刑警組織(Europol)於1月18日宣布,在德國漢諾威警察局中央刑事辦公室帶領之下,德國、荷蘭、加拿大等10個國家的執法單位聯手,查封提供網路罪犯VPN服務業者VPNLab的15臺伺服器。烏克蘭警方指出,在德國至少有150起勒索軟體攻擊行動的攻擊者,使用這項VPN服務,而造成6千萬歐元損失。

 

【近期資安日報】

2022年1月18日,數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement