在這一週漏洞利用消息中,有兩個新漏洞及兩個已知漏洞遭鎖定的消息,成為企業必需關注的重點,包括:
(一)思科公開網路設備作業系統IOS XE作業系統的零時差漏洞CVE-2023-20198,嚴重等級達到CVSS滿分,並警告大家已出現攻擊者成功利用該漏洞的情形,他們建議,目前用戶系統若是暴露在公開網路,應將IOS XE的HTTP Server功能關閉,並注意後續修補更新的釋出。揭露此消息之後的隔天,隨即有資安業者回報災情,因為他們發現多達數千臺Cisco IOS XE裝置已被植入了惡意檔案。
(二)Milesight工控路由器(industrial cellular routers)漏洞CVE-2023-43261已公開揭露,儘管該設備商表示已修補,但值得注意的是,有資安業者透露此漏洞可能已被惡意利用,並指出這類產品用於鐵路貨運運輸、自動提款機(ATM)網路與緊急車輛使用。依此態勢來看,交通與金融服務均可能面臨威脅。
(三)今年7月WinRAR修補的零時差漏洞(CVE-2023-38831),自4月即遭到攻擊者成功利用,本周有多家資安業者分別指出,發現俄羅斯與中國國家駭客組織所發動的網釣攻擊,正積極利用這個已知漏洞。
(四)今年9月JetBrains修補CI/CD軟體平臺TeamCity重大漏洞(CVE-2023-42793),如今傳出有北韓駭客組織Lazarus及旗下團體Andariel鎖定該已知漏洞利用的消息。
其他漏洞消息方面,包括:Juniper Networks修補網路設備作業系統逾30個漏洞、Oracle季度安全更新修補185個漏洞。
在網路威脅焦點上,我們選出幾個重大事件,包括2個新攻擊手法,以及4個鎖定不同產業而來的網路攻擊行動的揭露:
●新型態Magecart信用卡側錄(Card Skimming)攻擊行動的揭露,駭客使用了網站預設404錯誤訊息頁面來隱藏他們的惡意程式碼。我們甚至看到揭露的資安研究人員指出,這是他們前所未見的創造性隱匿手法。
●還有攻擊者部署竊資軟體時的新手法揭露,駭客濫用了幣安智能鏈(BSC)數位貨幣合約,也就是先利用植入WordPress的惡意程式碼,將流量導向幣安,再從區塊鏈取得惡意指令碼注入網站,這也導致攻擊程式碼難以清除的挑戰。
●關於電信產業的威脅,烏克蘭電腦緊急應變小組(CERT-UA)指出,最近半年來,該國至少11家電信業者遭到俄羅斯駭客組織Sandworm攻擊,他們也公布目前發現的駭客攻擊手法。
●東南亞國協會員國的外交單位遭鎖定,資安研究人員發現中國駭客使用的後門程式Bloodalchemy。
●東歐石油產業、天然氣公司、國防工業遭後門程式框架Meta鎖定,資安業者發現攻擊者從工控環境入侵總公司內部網路,並利用釣魚郵件、IE瀏覽器漏洞CVE-2021-26411觸發感染鏈,入侵財務系統的伺服器。
●程式開發與資料科學領域常用的Jupyter Notebook遭鎖定,駭客除了將伺服器的運算資源拿來挖礦,也企圖竊取組織使用的AWS、Google Cloud雲端服務帳密資料,進一步擴大危害的範圍。
另外,還有3起資料外洩消息,包括:卡西歐坦承他們的教育網頁應用程式ClassPad.net的開發環境伺服器,遭到未經授權存取而洩漏資料,波及149國客戶;基因檢驗業者23andMe傳出資料外洩,410萬筆英國民眾資料流入駭客論壇;臺灣網路設備廠商友訊科技(D-Link)傳資料外洩,該公司證實的確有程式碼外洩的情況,起因是員工遭網釣攻擊,而且,他們表示,外流資料並非駭客宣稱的D-View原始碼,而是舊的會員註冊網站的程式碼。這項說法顯然有別於先前傳聞,孰是孰非仍有待觀察。
至於防護態勢上,開源軟體供應鏈安全領域今年受到各界重視,範圍相當廣泛,雖然多家廠商均宣示要強化管控,但在開發人員之間流通的各種延伸套件,資安問題仍層出不窮,現在終於出現提升能見度的新做法。由於過去缺乏惡意套件公共資料庫,不易匯總相關發現與報告,因此開源安全基金會OpenSSFGitHub上推出惡意套件儲存庫,幫助外界更有效掌握已知惡意套件;在金融詐騙安全防護領域,臺灣今年積極引進與推動AI進行協助,例如,內政部警政署刑事警察局4月成立AI鷹眼識詐聯盟,其AI偵測專利技術的「鷹眼模型」由北富銀與內政部刑事警察局合作開發,本周有32家銀行宣布加入該聯盟,擴大鷹眼模型防護範圍,預計明年6月前完成導入。
【10月16日】Skype用戶注意!駭客利用外洩帳號發送訊息,透過內嵌VBA指令碼的檔案散布惡意程式DarkGate
小心!合作夥伴傳來的即時通訊軟體訊息,有可能是駭客散布惡意程式的手段!研究人員揭露利用Skype散布惡意軟體DarkGate的攻擊行動,駭客先是利用已經外洩的帳號,向受害者的合作廠商來發送訊息,若一時不察而開啟檔案,就會中標。
值得留意的是,駭客會解析外洩帳號的對話內容,而刻意依循此脈絡來調整作為誘餌的檔案名稱,命名方式可能與自己在此溝通的業務內容有關,目的是降低收訊者的警覺而使其開啟檔案。由於過去已有駭客利用Teams訊息散布DarkGate惡意軟體的前例,現在改用Skype來傳播,日後攻擊者可能也會會濫用其他服務來發動攻擊。
【10月17日】駭客假借提供以色列民眾空襲警報應用程式,意圖搜括安卓手機用戶各式資料
以色列與巴勒斯坦的軍事衝突已經進行超過一個星期,表達支持態度的網路攻擊也隨之而來,駭客組織選邊站,近100個團體對各式關鍵基礎設施發動攻擊,多是宣示立場的DDoS攻擊。這當中比較特別的攻擊目標,是以色列空襲警報行動應用程式Red Alert,有人假借提供該App,針對安卓用戶散布惡意程式。
但針對Red Alert的攻擊行動並非首例。巴勒斯坦駭客組織AnonGhost日前聲稱透過此通報系統的API,向以色列民眾發出假的核彈警報。
【10月18日】使用Telegram、AWS、阿里雲的開發人員遭到鎖定,駭客透過PyPI套件發動供應鏈攻擊
散布惡意NPM、PyPI套件攻擊開發者的事故頻傳,許多程式碼檢測工具供相關機制因應,但道高一尺魔高一丈,有攻擊者刻意將惡意程式碼埋於他處,導致檢測工具難以偵測這類狀況。
最近由資安業者Checkmarx揭露的攻擊就用這種手法,駭客埋藏的程式碼須在應用系統呼叫特定功能函數,才會觸發,於受害電腦挖崛開發人員的各種資料。
【10月19日】互動式運算平臺Jupyter Notebook遭到鎖定,駭客部署惡意程式,從中挖礦並盜取雲端服務帳密
在程式開發與資料科學領域常用的Jupyter Notebook,傳出遭到網路攻擊鎖定的情況,今年7月有人將其用於散布惡意程式PyLoose,將這種伺服器拿來挖礦牟利,如今針對這類運算平臺的攻擊行動再度出現。
資安業者Cado揭露的Qubitstrike,正是這種型態的惡意行為,但不同的地方在於,駭客除了將伺服器的運算資源拿來挖礦,也企圖找尋組織的雲端服務帳密資料,進一步擴大危害的範圍。
【10月20日】駭客利用後門程式框架Meta攻擊東歐國家的石油產業、天然氣公司、國防工業
資安防護通常較為薄弱的工廠操作科技(OT)環境,駭客可能將其視為入侵整個企業的管道!有研究人員揭露去年下旬出現的惡意軟體Meta的攻擊行動,駭客先是針對工業控制系統下手,得逞後進一步攻擊總公司及其他分公司。
值得留意的是,有別於許多攻擊行動的網釣攻擊是針對Chrome而來,近日一波攻擊駭客仍利用2年前的IE已知漏洞,來鎖定仍未汰換IE的企業組織。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03