在這一週的漏洞消息中,有3個重點,首先是Google釋出新版Chrome修補零時差漏洞CVE-2023-3079,這是一個Chromium的V8類型混淆漏洞,該公司指出已出現攻擊行動,另一是上週(6月1日)有資安業者警告,攻擊者可能利用Zyxel新修補的漏洞CVE-2023-33009、CVE-2023-33010,如今也被美國CISA列入已知漏洞利用清單。另外值得注意的是,有研究人員示警,微軟4月修補的一項Visual Studio漏洞,是容易被利用的漏洞,恐被用於滲透開發環境。

在攻擊活動與威脅態勢方面,最大焦點,是5月下半針對MOVEit Transfer零時差漏洞的攻擊事件,受到多家資安業者關注,並揭露後續消息,包括其攻擊背後是勒索軟體駭客組織Clop所發動,以及受害企業可能達百家之多,還有攻擊者可能在2年前就發現了漏洞,經長期測試後才根據排程發動攻擊。另外,我們在整理事件後續進展時,新發現已有資安調查業者整理與公告事件相關脈絡

關於勒索軟體持續與中國駭客組織的消息不少。在勒索軟體方面,包含0mega鎖定企業用SharePoint Online,以及Cyclops結合竊資軟體功能的揭露:在中國駭客攻擊方面,有多家資安業者揭露不同組織的新動向,分別是Camaro Dragon利用後門程式TinyNote鎖定東南亞外交單位,PostalFurious鎖定星、馬,甚至阿拉伯國家發動網釣簡訊攻擊,以及SharpPanda透過Office方程式編輯工具老舊漏洞的攻擊行動,已從東南亞擴散至G20國家。

另外還有3個威脅活動也值得關注,包括資料流自動化處理系統Apache NiFi遭駭客鎖定,殭屍網路TrueBot鎖定稽核軟體Netwrix重大漏洞,以及PowerDrop的PowerShell惡意程式鎖定美國太空產業部署RAT的揭露。

 

【6月5日】中國駭客Camaro Dragon利用後門程式TinyNote攻擊外交單位

資安業者Check Point揭露中國駭客Camaro Dragon的攻擊行動,駭客利用以Go語言打造的後門程式TinyNote,鎖定東南亞、東亞的外交大使館而來,此後門程式主要被用於第一階段攻擊,讓駭客能在受害電腦上持續從事相關行動,並可使用PowerShell或Goroutines,列出目標組織的電腦。攻擊者假借提供外交事務相關的文件,散布該後門程式。

比較特別的是,TinyNote能繞過名為Smadav的防毒軟體偵測,此產品的主要用戶位於印尼,亦有東南亞與非洲的使用者,突顯此後門程式的攻擊相當有針對性。

研究人員也發現,為了降低目標對象的戒心,駭客冒用緬甸軍事設施的網域名稱,進一步追查其使用的基礎設施之後,他們表示,駭客可能對臺灣政府機關也相當感興趣。

【6月6日】MFT檔案共享系統MOVEit Transfer出現零時差漏洞攻擊,微軟指出是駭客組織Clop所為

針對Accellion FTA、GoAnywhere等MFT檔案共享系統的零時差漏洞攻擊,勒索軟體駭客組織Clop皆有參與,最近另一套MFT系統MOVEit Transfer也傳出面臨網路攻擊,有不少人懷疑也是Clop所為。如今有研究人員印證這樣的推測,並指出漏洞攻擊、竊取資料、勒索手法相當雷同。

殭屍網路病毒的攻擊也相當值得留意。最近研究人員揭露殭屍網路Horabot的行動,目標鎖定電子郵件信箱帳號,不僅竊取信件內容,還會利用這些帳號發送釣魚郵件。

人力資源管理平臺Prosperix因雲端儲存桶配置不當,導致求職者的資料曝光,內容不只包含了駕照、履歷表、工作申請表、畢業證書、成績單等相關資料,甚至還有疫苗接種記錄。

【6月7日】Outlook雲端郵件服務中斷,疑遭受駭客組織Anonymous Sudan的DDoS攻擊所致

微軟的雲端郵件服務Outlook.com傳出從週一(6月5日)發生服務中斷的現象,導致用戶無法收發信而怨聲載道,但為何會出現這樣的情況?微軟並未對服務中斷的原因提出說明,但有駭客組織聲稱,這起事故是他們發起的DDoS攻擊所致。

MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊出現了新的進展,關於攻擊的駭客組織身分,微軟於6月5日曾指出是勒索軟體駭客Clop,隔日資安新聞網站Bleeping Computer收到Clop的說法,該組織表示就是他們所為,並透露這起攻擊的部分細節。

Google針對上週才推出的Chrome 114發布新版程式,當中修補了零時差漏洞CVE-2023-3079,由於以Chromium為基礎打造的瀏覽器都可能受到影響,Edge、Brave、Vivaldi也都提供了修補。

【6月8日】企業的SharePoint Online遭到勒索軟體0mega鎖定,發動資料破壞攻擊

入侵企業的檔案共享系統並進行檔案加密的攻擊行動,最近出現新的手法!有資安業者揭露一波針對SharePoint Online而來的勒索軟體0mega攻擊,駭客先是挾持Microsoft 365的全域管理員帳號(Global Admin Account),然後建立高權限帳號來下載、刪除檔案,再留下勒索訊息。

MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊傳出駭客開始向受害組織進行勒索,並要求依照指示限期聯繫、談妥價碼及付款,否則就要公開竊得的資料。但受害規模仍不得而知。

開放重新導向漏洞(Open Redirect Vulnerability)的情況也值得我們留意。有研究人員發現美國太空總署(NASA)的網站出現此類漏洞,但在今年1月就有人通報,截至5月仍未修補。

【6月9日】逾20款Minecraft改裝套件遭到竄改,被用於散布惡意軟體Fractureiser

透過套件工具發布平臺來發動攻擊的情況,近期專門針對軟體開發人員而來,上架NPM、PyPI惡意套件的事件不時傳出,但現在也有鎖定遊戲玩家的攻擊行動。最近發生的竊資軟體Fractureiser攻擊行動,就是藉由電玩遊戲Miniecraft改裝套件平臺Bukkit、CurseForge的套件來散布,而引起相關社群的關注。

製造業遭遇勒索軟體攻擊的事故也相當值得關注。在今天的資安新聞裡,日本拉鍊大廠YKK、製藥廠Eisai皆傳出遭遇此種攻擊。以YKK而言,駭客組織LockBit宣稱是他們所為,揚言若該公司不付錢,將公開所竊得的資料,後續影響有待觀察。

MOVEit Transfer零時差漏洞攻擊的調查又出現了新的進展。有資安業者發現,駭客可能在2年前就找出漏洞,並經過多次測試、驗證,到了近期才發動正式攻擊。

熱門新聞

Advertisement