國際資安大會DEF CON 31於8月10日至13日於美國拉斯維加斯登場,搶旗攻防賽(CTF)也在本週末如火如荼地舉行,臺灣CTF戰隊TWN 48也參與其中,並從12個參賽隊伍當中獲得第3名的優異成績,是臺灣第10次組隊參加此項競賽。
另一個也幾乎同時進行的搶旗攻防賽也相當引人關注,那就是針對太空安全的Hack-A-Sat,因為,這次5組參賽隊伍的攻防標的,是實際於太空運作的衛星Moonlighter。
【攻擊與威脅】
中國駭客APT31利用Dropbox及其他雲端檔案共享服務外洩資料
資安業者卡巴斯基8月初揭露中國駭客APT31針對東歐工業組織的攻擊行動,駭客專門針對隔離網路環境(Air-gapped)進行竊密,過程中使用超過15種攻擊工具,但駭客究竟如何流出機密資料?現在研究人員透露進一步調查結果。
他們發現,駭客在收集想要竊取的資料後,部署了3款惡意軟體所組成的攻擊套件(Malware Stack),其中一款軟體讓駭客維持於受害電腦上運作,另一個負責將檔案上傳至伺服器,第三個則是清理現場跡證。駭客之所以將攻擊流程畫分給不同惡意軟體模組進行,目的是後續可透過更換模組的方式,調整攻擊鏈的流程。
在攻擊階段初期,駭客所用的第二階段惡意程式會將盜取的檔案上傳到Dropbox,但經過幾個月後,研究人員看到駭客更換新的手動檔案上傳程式模組,像是名為AuditSvc.exe程式可將檔案上傳到Yandex Disk;另一個名為transfer.exe的程式,則是一口氣支援ZippyImage、ImgBB等16種雲端檔案共享系統。值得留意的是,根據他們收集到的IP位址,研究人員發現駭客C2伺服器位於受害組織內部網路環境,這代表駭客是就近部署C2,將其做為代理伺服器。
【漏洞與修補】
Codesys V3軟體開發套件存在高風險漏洞,可能導致全球PLC控制設備遭到RCE或DoS攻擊
微軟揭露Codesys V3軟體開發套件(SDK)的15個漏洞,一旦攻擊者加以利用,就有可能於目標設備遠端執行任意程式碼(RCE),或是造成服務中斷(DoS),這些漏洞的CVSS風險評分介於7.5至8.8。
由於上述的軟體開發套件廣泛運用於可程式化邏輯控制器(PLC),總共有超過500家製造商以此打造約1千種類型的控制設備,研究人員於2022年9月通報漏洞,Codesys於今年4月發布3.5.19.0版予以修補。
值得留意的是,研究人員雖然表明利用上述漏洞需要通過身分驗證,但攻擊者有可能運用另一個漏洞CVE-2019-9013來繞過限制,因此該公司呼籲企業組織應儘速套用相關更新程式。
卡內基美隆大學電腦網路危機處理暨協調中心(CERT/CC)的研究人員於8月11日提出警告,他們發現在Python的URL解析功能存在高風險漏洞CVE-2023-24329,有可能在URL以空白字元為開頭時產生錯誤,導致主機名稱與通訊協定解析出錯,進而使得封鎖名單失效,CVSS風險評為7.5分。Python獲報後發布3.12版,並對於3.7版以上的版本提供修補程式。
【資安防禦措施】
在美國拉斯維加斯、8月11日至13日舉辦的DEF CON搶旗攻防賽(CTF),臺灣派出CTF戰隊TWN 48參加,歷經3天的比賽,在全球12個隊伍脫穎而出,最終獲得全球第三名的好成績。本次競賽的第一名,是美國卡內基美隆大學PPP戰隊與韓國The Duck戰隊合組的The Parliament of Duck,至於第二名,則是名列CTFTime世界排行榜首位的Blue Water戰隊。
這也是臺灣CTF戰隊第10次進入DEF CON CTF決賽,第3次拿到全球第三名的好成績,過去9年臺灣戰隊的成績,亦得到3次第二名、2次第四名、1次第五名、1次第九名。
由美國宇宙軍(U.S. Air Force )舉辦的Hack-A-Sat搶旗攻防賽(CTF),今年邁入第4屆,於8月11日於DEF CON大會期間正式展開,為期2天。該競賽本次有5組隊伍參與,他們是Krautsat、mHackeroni、SpaceBitsRUs、Poland Can Into Space,以及jmp fs: [rcx]。
本次競賽特別之處,在於上述隊伍將針對已發射至太空的實驗衛星Moonlighter,進行入侵。比賽結果出爐,第一名是義大利團隊mHackeroni,贏得5萬美元;第二名是上屆冠軍Poland Can Into Space,贏得3萬美元;第三名則是美國隊伍Krautsat,獲得2萬美元。
8月8日美國國家標準暨技術研究院(NIST)發布了網路安全框架(Cybersecurity Framework,CSF)2.0版草案,2.0是該框架自2014年推出1.1版以來的重大改版。有別於現行版本主要聚焦於關鍵基礎設施(CI),新版CSF框架適用範圍更廣,涵蓋中小型企業、學術機構,以及其他類型的組織。
CSF 2.0將納入組織內部治理而成為第6個層面,業界分析師認為是此框架的重大變更。草案公開後將於11月4日前收集各界的意見,NIST預計在2024年初正式發布CSF 2.0。
TWCERT/CC首度舉辦企業資安演練,數位發展部領軍,邀來10家企業組隊參與
臺灣電腦網路危機處理暨協調中心(TWCERT/CC)於8月10日,首度舉辦「2023企業資安演練」,數位發展部、資安院組隊參與此次的演練活動,部長唐鳳也親自加入隊伍演練,以此彰顯政府對資安的重視,並邀請5家高科技公司日月光、台達電、合勤、華碩、啓碁科技,以及5大電信業者中華電信、台灣大哥大、遠傳電信、台灣之星、亞太電信參加,模擬駭客透過社交工程進行內部滲透,參演團隊需利用活動中提供之有限資訊,偵測駭客留下的軌跡,進行應變處理並阻斷攻擊,確保其資通系統持續營運不中斷。
數位部表示,希望透過本次活動,讓各團隊實際演練資安攻防、累積相關經驗,進而更有信心面對詭譎多變的資安威脅。為擴大企業參與,TWCERT/CC預計今年第4季再度舉辦資安演練。
【其他新聞】
為減少修補時間落差,Google宣布加快瀏覽器更新週期,每週發布安全修補版本
美國CISA針對後門程式Whirlpool攻擊行動發出警告,駭客針對Barracuda郵件安全閘道而來
中國駭客RedHotel針對17個國家,進行3年的網路攻擊行動
勒索軟體Knight假借旅遊評論網站Tripadvisor投訴信件散布
近期資安日報
【8月11日】 美國政府宣布發起為期2年的大型AI網路安全競賽,並資助想要投入的小型企業參加
熱門新聞
2024-04-29
2024-04-29
2024-04-30
2024-04-28
2024-04-29
2024-04-29
2024-04-30
2024-04-27