文/羅正漢 | 2023-10-09發表

從2023年的零時差漏洞利用情況來看,上半年呈現數量攀升的趨勢,近期我們注意到最近這樣的威脅態勢更是顯著。在中秋連假後這一週,出現多個漏洞遭成功利用的重要消息:

 (一)商業間諜軟體開發商發動的零時差漏洞攻擊不斷,影像編解碼程式庫libvpx的漏洞CVE-2023-5217已遭鎖定利用,除了Google修補,後續蘋果與微軟也相繼針對其產品修補這項漏洞。

 (二)修補手機端的零時差漏洞同樣消息不斷,包括Arm Mali GPU Kernel Driver的漏洞CVE-2023-4211,以及蘋果iOS與iPadOS的漏洞CVE-2023-42824,均有攻擊者發現漏洞加以利用的狀況。

 (三)思科修補網路設備作業系統IOS、IOS XE的零時差漏洞CVE-2023-20109,已遭攻擊者利用,該漏洞存在於群組加密傳輸VPN(GET VPN)功能。

 (四)Atlassian旗下的Confluence Data Center版與Server版,傳出身分驗證與Session管理毀損零時差漏洞CVE-2023-22515,同樣已發現遭利用的情形。

 (五)新修補的漏洞快速遭鎖定。先前我們提到JetBrains在9月下旬修補CI/CD軟體平臺TeamCity重大漏洞CVE-2023-42793,以及本期周報提到Progress在9月底修補FTP伺服器軟體WS_FTP Server重大漏洞CVE-2023-40044,這些弱點修補公布至今不到半個月,均遭攻擊者鎖定利用。

 (六)4月微軟揭露Windows CNG金鑰隔離服務權限提升漏洞CVE-2023-28229,並公告修補消息,最近亦發現遭利用的證據。

在其他漏洞威脅消息上,還有多個同樣需要留意的焦點,例如:資料整合及自動化工具Apache NiFi,今年6月修補的漏洞CVE-2023-34468,近日出現攻擊該漏洞的利用工具;郵件傳送代理程式EXIM存在重大漏洞CVE-2023-42115,去年6月雖然已通報開發團隊,至今卻尚未修補,近期已揭露成為零時差漏洞,目前尚未出現遭濫用的情形。

在威脅事件焦點方面,有三大焦點最受關注:

 ●有資安業者揭露中國駭客寄送釣魚郵件,假借提供聲稱是台積電的簡介PDF檔,意圖濫用Cobalt Strike對半導體產業從是間諜行動。
 ●大樓自動化管理業者Johnson Controls遭勒索軟體攻擊,該公司已在9月底向美國SEC提交8-K表單說明遭遇網路攻擊。
 ●關於日前傳出有駭客組織入侵Sony,在多日調查後,Sony向美國政府通報資料外洩事故,並指出事件起因是6月初遭MOVEit Transfer零時差漏洞攻擊。

其他重要惡意威脅態勢上,有兩起與政府相關,有兩起與行動裝置攻擊相關,分別是:東南亞政府機關近年遭中國駭客組織Mustang Panda、Alloy Taurus、Gelsemium鎖定的揭露,南美洲國家蓋亞那政府機關遭惡意程式DinodasRAT攻擊的揭露,以及逾50家越南銀行用戶遭安卓金融木馬GoldDigger的消息,以及中國駭客APT41開始對Android行動裝置下手,所利用的惡意軟體包括DragonEgg、WyrmSpy,並可竊取受害者地理位置資訊。

 

【10月2日】搜尋引擎提供的AI聊天機器人也成為散布惡意程式的管道!有人投放廣告對Bing Chat用戶散布惡意軟體

利用惡意廣告(Malvertising)對搜尋引擎用戶發動攻擊,相當氾濫,但隨著廠商在AI聊天機器人置入廣告,使得惡意廣告也能影響使用AI聊天機器人的用戶,對其造成危害。

資安業者Malwarebytes揭露針對Bing Chat用戶的攻擊行動,就是一個典型的例子,一旦用戶詢問如何下載特定的軟體,機器人就會在搜尋結果將駭客的廣告擺在第一順位,使得用戶很有可能依照機器人提供的答案下載應用程式,而導致電腦被植入惡意軟體。

【10月3日】Cloudflare預設信任該公司網域的流量恐讓攻擊者有機可趁,關閉用戶設置的防護措施

基於便利等因素,我們可能會認為內部網域的流量能夠完全信任,而不需加以管理,但這麼做很可能讓攻擊者有機可趁!資安業者Certitude近期揭露Cloudflare漏洞,就是這種型態的例子。

研究人員發現,攻擊者可藉由自己的Cloudflare帳號,藉由該公司設置內部網域的信任機制,對其他用戶造成危害,由於Cloudflare並未將此視為漏洞,亦不打算修補,使得研究人員呼籲用戶要採取緩解措施。

【10月4日】求職網站Indeed被駭客用於網路釣魚攻擊,鎖定高階主管竊取Microsoft 365帳號

攻擊者利用求職、接案平臺進行網路釣魚攻擊的情況,可說是相當氾濫,其中,最常遭到濫用的是職場社群網站LinkedIn。但現在,有人提供網釣工具包EvilProxy,鎖定美國大型求職網站Indeed使用者,利用該網站未對網址進行管制的弱點來發動攻擊。

透過該工具包利用網站弱點的情況,並非首例,今年3月至6月,駭客利用影音網站YouTube、購物比價網站Slickdeals的弱點,經過一連串的重新導向,才將受害者帶往釣魚網頁,目的是為了繞過各種資安系統與服務的偵測,行跡相當狡猾。

【10月5日】亞太地區安卓手機遭中國駭客APT41鎖定,進行精確的定位追蹤、盜取網路電話通話內容及行動支付資料

中國駭客APT41造成的資安事故頻傳,執行Windows作業系統的電腦是最主要受害的系統平臺,但這樣的情況自今年下半開始出現變化,有資安業者發現,這些駭客開發惡意軟體並對安卓用戶下手,最近有新的調查結果突顯這個趨勢

例如,本週有資安業者ThreatFabric,揭露這群駭客對安卓手機發動的間諜軟體攻擊,而且,當中使用的惡意軟體,具有相當罕見的功能, 引發關注——不只能搜括手機上的使用者資料,還能讓駭客得知受害者精準的地理位置。

【10月6日】中國駭客鎖定臺灣、香港、新加坡半導體產業而來,假借台積電的名義進行網路間諜攻擊行動

中國駭客的網路間諜行動頻傳,繼我們昨天報導駭客組織APT41針對安卓手機用戶下手,散布惡意程式的情況,今天又有數起攻擊行動與中國駭客有關。其中,最引人關注的事故,就屬冒用臺灣護國神山台積電名義的網路釣魚攻擊。

這起攻擊行動的特別之處在於,駭客運用兩家資安廠商軟體的可執行檔來發動DLL側載攻擊,並利用中國億賽通Cobra DocGuard加解密伺服器來代管惡意程式,而利用此加解密系統的攻擊並非首例,今年4月,駭客組織Carderbee利用這種伺服器散布惡意程式PlugX

iThome Security

熱門新聞

Advertisement