俄羅斯國家級駭客鎖定歐美國家的攻擊行動頻傳,其中一個組織Star Blizzard最近被大國盯上,引發全球關注,因為近期五眼聯盟提出警告,並開始採取法律行動,通緝兩名該組織的成員。
值得注意的是,五眼聯盟握有相關情報,這些駭客聽令於俄羅斯軍情單位聯邦安全局(FSB),且曾經企圖干預選舉,危害不容小覷。參與調查的微軟也公布相關調查結果,呼籲使用者提高警覺。
【攻擊與威脅】
五眼聯盟指控俄羅斯駭客Star Blizzard全球網釣攻擊行動,兩名嫌犯遭起訴
12月7日五眼聯盟指控,俄羅斯駭客組織Star Blizzard(亦稱Seaborgium、TA446、ColdRiver)自2019年開始,相準學術界、國防、政府機關、非政府組織、智庫、政治人物展開網釣攻擊,主要目標為美國與英國,北約國家,但俄羅斯的鄰國也有受害者。到了2022年,Star Blizzard的攻擊活動進一步擴大到國防工業及美國能源部的設施。
這些駭客先調查目標對象的興趣及網路活動,再冒充各種類型的專家,透過社群媒體等網路平臺與其進行交流,並以會議或活動邀約為誘餌,使用Outlook、Gmail、Yahoo! Mail、Proton等電子郵件平臺發動攻擊。
五眼聯盟指控,該駭客組織隸屬俄羅斯聯邦安全局(FSB),英國特別表明這些駭客曾干預該國選舉,而美國目前已起訴兩名駭客Ruslan Aleksandrovich Peretyatko、Andrey Stanislavovich Korinets,並指出其中一名的身分是FSB官員,懸賞1千萬美元、抓拿這些駭客。
資料來源
1. https://www.ncsc.gov.uk/news/star-blizzard-continues-spear-phishing-campaigns
2. https://www.justice.gov/opa/pr/two-russian-nationals-working-russias-federal-security-service-charged-global-computer
3. https://home.treasury.gov/news/press-releases/jy1962
俄羅斯駭客APT28利用Outlook零時差漏洞發動攻擊,主要目標是北約組織會員國
別名為Fancy Bear、Strontium、Fighting Ursa的俄羅斯駭客組織APT28,最近又犯案了!微軟對這群駭客利用Outlook零時差漏洞CVE-2023-23397(CVSS風險評分9.8)發動攻擊提出警告,並指出他們的目的是從Exchange伺服器盜取電子郵件帳號,目前也有其他研究人員揭露更多調查結果。
例如,資安業者Palo Alto Networks就揭露這些駭客攻擊行動的規模。這些駭客約在20個月裡發動3波攻擊行動,針對14個國家、逾30個企業組織而來。這些駭客從俄羅斯對烏克蘭進行軍事行動之後,在2022年3月就開始利用這項漏洞攻擊烏克蘭移民署;同年4月中旬至12月,該組織將其用於入侵歐洲15國政府、軍事單位、能源組織、交通單位的網路環境,竊取俄羅斯入侵烏克蘭有關的軍事情報電子郵件;而在微軟今年3月修補漏洞後,這些駭客仍舊透過這項漏洞竊取帳密資料,從而於受害組織進行橫向移動,相關的攻擊行動在5月另一個MSHTML漏洞CVE-2023-29324(CVSS風險評分6.5)公布後顯著增加。
Palo Alto Networks的研究人員指出,遭到這些駭客攻擊的國家,除了烏克蘭、約旦、阿拉伯聯合大公國(UAE),其餘皆為北約組織(NATO)會員國,且有北約快速部署兵團遭到鎖定。
Google、蘋果證實多國政府向其調閱行動裝置應用程式推播資料
12月6日美國參議員Ron Wyden寄信給司法部(DOJ),要求Google、蘋果這兩大科技公司,公開各國政府向他們調閱行動裝置推播通知(Mobile Push Notification)的情況。
這項要求源於Ron Wyden在2022年接獲的消息,得知有許多美國以外的國家,向Google、蘋果要求相關資料的記錄,該名參議員展開調查,發現是美國政府禁止這些IT業者公布相關資訊,從而得知許多國家會利用這種資料的情況。值得留意的是,這種行動裝置推播的功能,並非直接從程式開發者傳送至手機,而是中間透過作業系統的服務來進行傳遞的工作,意即過程裡Google、蘋果扮演仲介的角色。
對此,這兩家業者向科技新聞網站TechCrunch證實,Google表示已發布透明度報告揭露政府請求的各式用戶資料;蘋果也表明將在透明度報告公布相關資訊。
資料來源
1. https://www.wyden.senate.gov/imo/media/doc/wyden_smartphone_push_notification_surveillance_letter.pdf
2. https://techcrunch.com/2023/12/06/us-senator-warns-governments-spying-apple-google-smartphone-users-via-push-notifications/
安卓惡意軟體SpyLoan假借提供個人貸款吸金,被從Google Play市集下載逾1,200萬次
資安業者ESET提出警告,他們發現今年初假借提供快速貸款的惡意應用程式SpyLoan顯著增加,這些App偽裝成提供個人信用貸款服務的軟體,號稱可讓使用者快速、輕鬆取得資金,但實際上駭客將其誘騙使用者接受高利貸,並向其進行勒索。
研究人員指出,光是今年駭客上架於Google Play市集的惡意程式,就有18款,總共被下載超過1,200萬次,但這些App駭客也透過其他第三方市集、惡意網站散布,受害情況可能遠超過這樣的規模。研究人員通報後,Google已下架其中17款。根據研究人員偵測的資料,這種威脅在墨西哥、印度、泰國、印尼、奈及利亞、菲律賓、埃及、越南、新加坡、肯亞、哥倫比亞、秘魯特別嚴重。
開發人員大量採用人工智慧工具輔助開發的情況與日俱增,根據軟體業者JetBrains的調查,77%開發人員用ChatGPT,46%用GitHub Copilot,但這種情況對企業組織的資訊安全也帶來新的挑戰。
資安業者Synk針對537名軟體工程師及資安團隊成員進行調查,這些受訪者所屬的企業組織幾乎(96%)已在軟體供應鏈當中,採用了AI程式碼工具。但有80%的開發人員坦承,他們為了使用人工智慧程式開發輔助工具,必須繞過所屬組織的資安政策。另一方面,僅有不到十分之一的組織,對程式碼導入自動化安全掃描機制。
研究人員指出,這樣的情況不只影響組織的資安,甚至還左右開源工具鏈的生態,73.2%開發人員曾貢獻程式碼,但只有24.6%採用軟體組成分析(Software Composition Analysis,SCA)工具,驗證人工智慧生成的建議程式碼。這樣的情況會因為開發團隊導入AI加速開發,使得組織更容易採用不安全的開源元件,同時人工智慧開發工具也使用開源程式碼作為訓練資料,從而習得不安全的程式碼,導致惡性循環。值得留意的是,雖然開發人員採用相關工具的情況非常普遍,但高達86%對於這類工具安全性存在疑慮。
【資安產業動態】
2016年Meta宣布為Messenger加入全程加密(E2EE)的功能,但直到最近該公司才在相關服務預設啟用這項機制。12月6日Meta宣布,所有的Messenger通訊會直接開啟E2EE,使用者不需手動開啟相關功能,該公司表示這是Messenger有史以來規模最大的功能升級。
但為何Messenger預設啟用E2EE需耗費長達7年的時間?Meta指出,他們的工程師、密碼學專家、設計師、政策專家、產品專家重新打造Messenger,引入新的安全性及控制功能,並與外部專家、學者、政府機關密切合作,找出潛在風險並制訂緩解措施,來達到隱私及安全需求。此外,過程中他們也面臨兒童保護團體的施壓,擔心採用E2EE後,會令Meta無法偵測到虐待兒童事件。
【其他新聞】
為強化Android虛擬化支援與安全性,Google推出AVF工具包簡化隔離應用開發
Atlassian修補DevOps協作平臺、缺陷跟蹤管理系統等多項產品的重大漏洞
新型態攻擊手法Slam鎖定AMD處理器而來,即將問世的Intel、Arm處理器也可能曝險
AWS安全存取服務STS有可能被濫用,攻擊者藉此冒充使用者身分
近期資安日報
【12月7日】 研究人員揭露針對iPhone的新型態攻擊手法,啟動假的封閉模式,從而暗中偷渡惡意程式持續於背景執行
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07