在這一星期的漏洞消息中,有兩大漏洞修補需重視,包括江森自控修補旗下工業冷凍系統重大漏洞、Fortinet修補旗下FortiSIEM重大漏洞,此外,還有視訊監控影像錄製設備(NVR)與路由器被駭客發現新零時差漏洞、並利用於散布Mirai變種病毒JenX的嚴重威脅,目前揭露此事的Akamai先示警並通知相關製造商,預計12月有新版修補釋出。

另外,10月初我們曾報導GNU C函式庫緩衝區溢位漏洞CVE-2023-4911(Looney Tunables),近日發現攻擊者開始利用這個已知漏洞的跡象,這星期資安日報新聞尚未提及,我們在此補上。

國內方面,有多起資安事件成為焦點,都與上市櫃公司有關,我們整理如下:
(一)首度出現一日內兩起資安事件重訊:在11月20日,旅遊業「雄獅」與塑膠工業「中石化」先後發布資安事件重大訊息,說明遭受駭客網路攻擊事件。其中雄獅提及提醒旅客反詐騙警語,可能有顧客資料外洩情事發生,並是該公司是這兩年來第二次公告遭駭,中石化的揭露相當有限,對於企業與組織聯防,無法提供具體有用的情報。
(二)大江生醫發布資安事件重大訊息,證實資訊系統遭受網路攻擊:上期資安週報於20日發布之際,我們率先報導了生技業「大江」疑似傳出在15日被Hunters International勒索軟體組織列為受害者的消息,其他媒體22日跟進報導這項消息,我們也再去電詢問大江仍未獲得回應,直到11月24日(週五傍晚)為止,大江終於公告他們遭受網路攻擊事件。
(三)訊連科技被微軟揭露遭駭,北韓駭客Lazarus對這家公司發動供應鏈攻擊,他們的Promeo產品新用戶遭鎖定:此事曝光的同一天,訊連在網站發布公告,說明其產品「Promeo」的安裝程式中發現惡意軟體,他們已經移除問題,後續並將更新軟體安全憑證。
此外,這一星期國內還有中心綜合醫院傳出掛號系統無法使用、預約資料消失,疑遭網路攻擊的消息,以及司法院針對判決資料外洩事故做出新的說明。

在資安威脅與事件方面,勒索軟體的威脅與動向最值得關注,有4項消息揭露,我們整理如下:
●對於Rhysida勒索軟體的危害,美國CISA、FBI與MS-ISAC聯合發布警告,說明其攻擊主要鎖定教育、醫療、製造、資訊業與政府部門。這份公開消息揭露該勒索軟體採用的TTP與IoC,供企業了解其攻擊策略與手法,以及各種緩解措施。
●關於勒索軟體BlackCat的新動向,有資安業者指出近期新手段是在Google刊出廣告,假借提供知名的應用程式(如Advanced IP Scanner、Slack、WinSCP),引誘網路使用者連至釣魚網站,下載被植入惡意程式Nitrogen的軟體。
●勒索軟體Phobos再度出沒,資安研究人員揭露近期出現他們鎖定資安社群VX-Underground的情形。
●勒索軟體駭客組織Play威脅恐加劇,近日有資安人員揭露該組織打出將其工具提供出租的旗號,欲吸引更多打手加入的狀況。

在新興攻擊手法與其他重要威脅態勢方面,我們認為竊資軟體Lumma的新手法,利用壓縮檔發動攻擊的現況,最值得留意。
●竊資軟體Lumma為了規避偵測,利用測量滑鼠軌跡來識別真人操作,才執行該竊資軟體;另一資安研究人員更是揭露,Lumma開發者聲稱能復原Google帳號的連線階段,挾持受害者帳號。
●關於利用壓縮檔散布惡意的態勢需要留意,本週有三起相關事件,首先是大使館人員要注意,俄羅斯駭客APT29鎖定歐洲多國大使館網攻,發動WinRAR漏洞攻擊,接著是加密貨幣用戶要注意,駭客組織DarkCasino針對這些用戶利用WinRAR漏洞發動攻擊,還有竊資軟體Agent Tesla新利用ZPAQ格式,將1 GB的大型檔案縮為僅有6 KB的壓縮檔,可能是要規避防毒掃描。
●Python開發人員也要注意,有資安業者揭露近半年有駭客上架了模仿知名套件的27個PyPI套件,同時還會利用PNG圖檔埋藏攻擊意圖。

最後,還有兩個國家級駭客攻擊動向的揭露,值得警惕,包括:中國駭客組織Mustang Panda鎖定東南亞國家軍事單位下手,駭客假借提供Solid PDF Creator、印尼防毒軟體Smadav的名義,藉由這些應用程式來側載惡意軟體;以及俄羅斯駭客Gamaredon鎖定烏克蘭組織,散布USB蠕蟲LitterDrifter。

 

【11月20日】駭客近半年散布逾30款惡意PyPI套件,利用PNG圖檔埋藏攻擊意圖,美國、中國、法國皆有開發者受害

近期針對開發人員的攻擊行動相當頻繁,而且也出現越來越隱密的手段,例如,將攻擊程式碼埋藏在惡意套件的特定模組,一旦開發人員依照指示安裝套件,惡意程式碼不會馬上執行,而是等呼叫特定功能才會一併載入。

而類似的手法,近期也出現其他新的手段,例如,資安業者Checkmarx披露的惡意PyPI套件攻擊行動。攻擊者嘗試將惡意程式碼埋藏在外部的PNG圖檔,使得PyPI套件本身看似無害。

【11月21日】中國駭客組織Mustang Panda鎖定東南亞發動數起網釣攻擊,起因疑與8月發生的菲律賓海上軍事衝突有關

今年上半,中國駭客組織Mustang Panda的攻擊行動頻傳,這些駭客著眼的目標與烏克蘭戰爭有關,大多是對於曾經協助該國的歐洲國家下手。

但到了下半年,這些駭客開始轉換目標,再度把攻擊聚焦在先前曾鎖定的東南亞國家。例如,發生在8月的攻擊行動,就是針對東南亞國家而來,研究人員推測,這波攻擊主要是與菲律賓之間的衝突有關。

【11月22日】勒索軟體Phobos打著資安社群的名義,鎖定Windows電腦發動攻擊,聲稱受害者復原檔案要找社群

勒索軟體攻擊事故頻傳,在本日的新聞當中,就有3起這種型態的資安事故,其中,最值得留意的部分,是駭客聲稱自己是某個知名資安組織的情況,顯然是為了抹黑他們,意圖挑撥、分化整個社群,削弱整體防禦力量。

值得留意的是,這些駭客犯案的過程中,不僅盜用該組織的名稱,還大肆透過勒索訊息進行嘲笑,甚至是要求受害者購買該資安組織撰寫的書籍。

【11月23日】訊連科技遭北韓駭客發動供應鏈攻擊,駭客於該公司更新伺服器部署惡意軟體,臺灣及多個國家出現受害者

針對臺灣廠商的供應鏈攻擊事故,4年前華碩更新伺服器遭駭的事故曾引起高度關注,供應鏈攻擊成為臺灣IT製造廠商不能忽視的資安威脅,而最近,又有其他軟體供應商遭遇類似攻擊,駭客利用其更新基礎設施,散布惡意程式。

微軟威脅情報團隊披露自10月底針對臺灣多媒體應用程式開發商訊連科技而來的攻擊行動,駭客竄改該公司的軟體安裝檔案,並上傳到訊連的更新伺服器,至於攻擊者的目的,仍有待進一步釐清。

【11月24日】Mirai殭屍網路變種感染路由器、NVR網路視訊監控裝置,攻擊者利用的零時差漏洞,疑涉及預設的弱密碼

殭屍網路Mirai鎖定物聯網(IoT)裝置的攻擊行動,不時有事故傳出,但最近研究人員披露的資安事故相當引人注目,因為,他們並未透露駭客針對的設備型號,僅公布類型是網路視訊監控裝置(NVR)、小型路由器。

值得留意的是,上述設備皆存在零時差漏洞,而且,研究人員透露攻擊者所使用的惡意程式碼,包含了這些設備的預設帳號及密碼。而這些跡象也顯示,攻擊者有可能利用這些管道取得控制權。

熱門新聞

Advertisement