多個臺灣政府機關、公司行號發動在上週陸續遭到攻擊,但攻擊者的身分為何?名為APT27的駭客組織宣稱是他們所為,並透過影片宣稱掌控了6萬至20萬臺設備的資料,並打算公布竊得的政府資料。

北韓駭客組織Lazarus假冒大型公司,並以徵才名義發動網釣攻擊的情況再度出現,這次是以熱門的加密貨幣交易所職缺為幌子。而在此之前,這些駭客主要鎖定的是國防產業。

Atlassian Confluence零時差漏洞CVE-2022-26134在5月底被公布,最近有資安業者指出當時利用此漏洞的駭客身分,並公布其攻擊手法與目的。

【攻擊與威脅】

有駭客組織聲稱近期臺灣政府機關的攻擊事故是他們所為

臺灣在8月初接連發生總統府、國防部、外交部網站遭到攻擊,以及統一超商和臺鐵電子看板被置入恐嚇訊息等資安事故。有自稱是APT27的駭客組織於8月3日在YouTube上傳影片,表明他們為了抗議美國眾議院議長裴洛西訪臺,對臺灣的警政署、交通部公路總局、台電、總統府等單位發動攻擊,並宣稱他們還掌握6萬臺連網設備,若是臺灣政府再度挑釁,該組織會再出手。

事隔數日,該組織於7日再度發布影片,聲稱掌握連網設備的數量有20萬臺,並打算公布部分資訊系統的零時差漏洞,以及竊得的政府資料。隨後,該組織於今日凌晨,公布了財金資訊股份有限公司(FISC)台電核電平臺的部分原始碼。

但這個駭客組織,是否就是之前出現在資安新聞的中國駭客組織APT27(又名TG-3390、Emissary Panda、Bronze Union)?從該組織的推特帳號在這個月才成立,且自稱不擅長中文,亦不隸屬中國政府,很有可能是不同的組織。

民視節目網路直播內容遭到竄改,起因是影片來源主機遭到入侵

民視新聞臺在YouTube頻道的網路直播,在8月6日出現遭到竄改的情況,駭客放上了臺灣是中國一部分的恐嚇訊息,並聲稱兩岸統一是「民意」。對此,民視於7日發布聲明,指出駭客入侵了訊源主機,於是影響他們在YouTube播放的內容。該公司於6日晚間8時52分察覺有異,於8時54分移除遭到竄改的影片。

臺灣大學部分網頁遭到竄改,圖片皆變為「世界上只有一個中國」的恐嚇訊息

臺灣大學的教務處、研發處網頁於8月7日晚間遭到入侵,學生發現網站的圖片,全部被換上「世界上只有一個中國」的恐嚇訊息,並引起廣泛的討論。對此臺灣大學坦言確有此事,並關閉網頁並予以修復,待完成後才會重新上線。

165專線公布第二季高風險賣場,博客來通報件數破2千

刑事警察局165專線在8月7日,公布今年第二季高風險賣場名單,最嚴重的是博客來網路書店(2,725起),其次為迪卡儂(477件)、誠品網路書店(252件)、遠傳Friday購物(165件),以及蝦皮購物(119件)。其中最值得注意的是博客來,與第一季最多的業者529件相比,通報案件數量多達5倍。

北韓駭客Lazarus佯稱提供Coinbase職缺發動網釣攻擊

資安業者Malwarebytes研究員Hossein Jazi指出,近期北韓駭客組織Lazarus鎖定金融科技產業,假冒大型加密貨幣交易平臺Coinbase,以徵才的名義寄送釣魚郵件,一旦受害者開啟附件,電腦就會被植入惡意軟體,此惡意軟體會透過架設於GitHub的C2中繼站來接收指令。

Lazarus假冒大型企業徵才來發動攻擊已非首例,他們之前曾冒用美國潛艦製造商General Dynamics Electric Boat、太空科技製造商Lockheed Martin的名義發動攻擊。

駭客攻擊加密貨幣平臺的目標轉向跨鏈橋系統

為了解決不同區塊鏈互動的需求,近期有不少提供跨鏈協定或跨鏈橋(Cross-chain Bridge)的系統業者出現,但他們的系統也成為駭客攻擊的頭號目標之一。區塊鏈分析業者Chainalysis近日提出警告,今年已發生13起跨鏈攻擊事件,盜走20億美元加密貨幣,規模占所有被竊的加密貨幣69%。此外,這些針對跨鏈橋的攻擊行動中,有10億美元與北韓駭客有關。

駭客組織TAC-040鎖定Atlassian Confluence重大漏洞,於受害組織部署後門

5月底被揭露的Atlassian Confluence零時差漏洞CVE-2022-26134,近期有研究人員公布更多當時駭客利用的細節。資安業者Deepwatch指出,名為TAC-040的駭客組織,在5月底利用上述的漏洞,攻擊研究與技術服務機構7天,駭客在入侵後利用Confluence資料夾裡的處理程序Confluence來執行惡意命令,並枚舉網路環境與AD的資料。

研究人員指出,這些駭客很可能也利用SpringShell漏洞,來取得Confluence伺服器的初始存取權限。攻擊者不只濫用受害主機挖取門羅幣,也部署名為Ljl Backdoor的後門程式來竊取機密資料。

英國執政黨決定延後首相選舉,起因是駭客可能會發動攻擊影響結果

英國在Boris Johnson辭去首相後,Liz Truss和Rishi Sunak正在角逐繼任者,保守黨將於近期投票選出。但根據BBC、衛報的報導,該黨收到了英國國家網路安全中心(NCSC)的警告,可能會有駭客從中竄改選票影響選舉,決定強化投票流程的資安,而延後選票寄送的時間。本次保守黨將採用第一階段投票結果,於9月5日選出下任首相。

 

【漏洞與修補】

丹麥學生找到Cloudflare尚未正式推出的服務漏洞,獲得6千美元獎金

雲端服務業者Cloudflare去年推出測試版的Email Routing服務,並邀請少數人員試用。有名丹麥的學生Albert Pedersen,他並未取得試用資格,但試圖通過Cloudflare伺服器的驗證加入試用行列,並發現相關漏洞,於去年12月7日從HackerOne進行通報,Cloudflare於2天後完成修補,並提供3千美元獎金,但近期該公司決定將獎金增加至6千美元。

思科修補中小企業路由器重大漏洞

思科於8月3日發布資安通告,他們近期修補中小企業RV產品線路由器的漏洞CVE-2022-20827、CVE-2022-20841,以及CVE-2022-20842,這些漏洞一旦遭到利用,攻擊者可能得以執行任意程式碼、發動阻斷服務攻擊,CVSS風險評分為8.0至9.8分。由於沒有其他緩解漏洞風險的方法,該公司呼籲用戶應儘速部署新版軟體。

協作平臺Slack要求部分用戶重設密碼,起因是系統處理密碼的方式存在弱點

協作平臺Slack於8月4日發布資安業者,指出他們的系統出現漏洞,有可能會將使用者的加鹽密碼傳送給工作空間的其他成員,估計有0.5%用戶受到影響。這些使用者曾在4月17日至7月17日之間,建立、撤銷共用邀請的連結,而可能曝險,雖然所有用戶端程式都無法直接檢視上述提及的加鹽密碼,但為保險起見,Slack還是重設了這些用戶的密碼。

 

【其他資安新聞】

英國NHS的緊急通報系統111專線服務中斷,起因是代管服務業者遭網路攻擊

跨鏈橋平臺Nomad祭出近200萬美元獎金緝兇,並表明駭客歸還9成贓款就不追究法律責任

推特坦承日前駭客竊取540萬用戶資料的管道是零時差漏洞

為了防堵駭客濫用ISO、LNK檔案,微軟打算在Windows 11加入相關封鎖功能

 

近期資安日報

【2022年8月5日】  高雄市環保局網站被植入五星旗、國防部與外交部網站再度癱瘓

【2022年8月4日】  駭客複製逾3.5萬個GitHub儲存庫散布惡意軟體、大規模微軟電子郵件信箱服務攻擊鎖定企業而來

【2022年8月3日】  總統府網站遭DDoS攻擊、統一超商與臺鐵電子看板內容被置換成恐嚇訊息

熱門新聞

Advertisement