1月上旬Ivanti公布的零時差漏洞引起多家資安業者的高度關注,原因是這項漏洞公布時該公司並未提供修補軟體,接著便傳出駭客大規模利用的情況。
但在一週後,又出現新型態的攻擊手法,駭客將其部署以Rust打造的惡意程式,而使得行蹤更難以捉摸,直到最近才有研究人員確定其攻擊手法,但對於駭客的目的,研究人員並未進一步說明。
【攻擊與威脅】
Ivanti零時差漏洞公告後已出現第2波攻擊行動,駭客用來散布Rust惡意程式
1月10日Ivanti公布2個影響SSL VPN系統Connect Secure(ICS)的零時差漏洞CVE-2024-21887、CVE-2023-46805(CVSS風險評分為9.1、8.2),最初通報漏洞的資安業者Volexity指出,中國駭客組織UTA0178(亦稱UNC5221)在12月初將其用於攻擊行動,資安業者Mandiant則是透露駭客所使用的惡意程式。
事隔一週,Volexity發現第2波攻擊行動,已有其他駭客將其用於攻擊行動,而且,他們看到駭客於受害系統部署Rust打造的惡意程式,但攻擊者的動機,有待進一步調查。直到最近,另一家資安業者Synacktiv公布了他們觀察的結果,並將這支惡意程式命名為KrustyLoader。
究竟駭客如何利用該惡意程式?研究人員表示,對方主要是用於從遠端伺服器下載、植入Go語言開發的後門程式Sliver,該後門程式透過HTTP及HTTPS通訊協定與C2伺服器建立連線,以便駭客進行後續的攻擊行動。
美國政府證實出手打擊中國駭客Volt Typhoon的攻擊行動,破壞殭屍網路KV Botnet
中國駭客組織Volt Typhoon挾持生命週期已經結束(EOL)、缺乏安全防護措施的思科、Netgear路由器架設殭屍網路KV Botnet,滲透美國關鍵基礎設施(CI),日前有知情人士透露美國政府已採取行動反制,如今這項傳聞得到證實。
1月31日美國司法部(DOJ)宣布,聯邦調查局(FBI)在去年12月取得法院授權,遠端從受到感染的網路裝置當中刪除了KV Botnet殭屍網路病毒。網路安全暨基礎設施安全局(CISA)局長Jen Easterly指控,Volt Typhoon意圖埋伏美國關鍵基礎設施,準備在美國發生重大危機或是衝突時,發動破壞性的網路攻擊,破壞天然氣管道、污染水利設施、切斷電信網路,或是癱瘓交通系統。
值得留意的是,DOJ認為,FBI切斷路由器與殭屍網路之間的連結,只有暫時性的效果,一旦使用者重新啟動路由器,就有可能再度感染殭屍網路病毒而受到控制,對此,FBI著手通知這些裝置的所有者並提供防護建議;CISA針對SOHO裝置製造商,發布安全設計(Secure by Design)的指引。
資料來源
1. https://www.justice.gov/opa/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical
2. https://www.cisa.gov/news-events/news/opening-statement-cisa-director-jen-easterly
3. https://www.cisa.gov/resources-tools/resources/secure-design-alert-security-design-improvements-soho-device-manufacturers
中國駭客組織Mustang Panda鎖定緬甸國防部、外交部,部署後門程式PlugX
威脅情報平臺Curated Intelligence旗下的資安團隊CSIRT-CTI揭露別名為Stately Taurus、Earth Preta的中國駭客組織Mustang Panda近期的攻擊行動,鎖定緬甸國防部、外交部。駭客分別在去年11月及今年1月發起2波攻擊,其共通點是濫用合法程式側載惡意DLL程式庫。
第1波攻擊行動駭客利用釣魚郵件挾帶ZIP檔案,當中包含了工業自動化業者B&R Industrial Automation製作的可執行檔,以及名為BrMod104.dll的程式庫檔案,一旦收信人啟動可執行檔,就會觸發DLL搜尋順序挾持的攻擊鏈,電腦會從C2伺服器下載後門程式Pubload,並在受害電腦植入惡意軟體PlugX。而在另一起攻擊行動裡,駭客利用Windows 10升級小幫手、Windows捷徑檔(LNK)觸發攻擊流程,從而利用惡意程式載入工具Toneshell於受害電腦部署PlugX。特別的是,駭客為了隱匿行蹤,在流量加入特定的標頭,將其偽裝成Microsoft Update更新服務。
而對於攻擊動機,研究人員認為與緬甸發生少數民族叛亂有關,其中名為3BHA的組織不僅持續攻擊該國軍隊,亦破壞重要貿易道路而對中國造成影響。
【漏洞與修補】
1月25日程式碼儲存庫GitLab針對社群版(CE)、企業版(EE)發布安全性更新16.8.1、16.7.4、16.6.6、16.5.8版,當中總共修補了5個漏洞,其中最值得留意的是重大等級的CVE-2024-0402。
這項漏洞允許攻擊者在通過身分驗證的情況下,在建立工作區(workspace)的過程中於GitLab伺服器的任意位置寫入檔案,CVSS風險評分為9.9。
其他漏洞為中度風險等級,而有可能導致正規表示的阻斷服務(Regular expression Denial-of-Service,ReDoS)攻擊、HTML注入、透過RSS來源洩露使用者的電子郵件地址。
【資安防禦措施】
1月30日金融管理委員會舉辦新春記者會,揭露今年多項金融科技推動事項和辦理時程,涵蓋電子支付、AI、金融FIDO、保險數位轉型、資料共享、雲端服務、資安與聯防措施等。
其中,由於去年金融業上雲大鬆綁,今年將會於第2季、第3季,審核銀行公會及保險公會制訂的雲端服務自律規範。同時,對於強化資安聯防機制,金管會也將在第2季辦理金融機構DDoS攻防演練,第3季辦理重大資安事件情境演練,並在年底前辦理金融網路攻防演練。
此外,金管會將於第3季檢討修正「保險業辦理電子商務應注意事項」,增加可辦理的網路投保和網路保險服務範圍。而對於今年金融科技的推廣主題,他們則是選定了「防範詐騙及金融犯罪」,並預計在第1季啟動聯合自主實證機制,金融業者可與科技業者合作,運用隱私強化技術或是AI,針對防範詐騙及金融犯罪議題研發解決方案。
【其他新聞】
GitHub、Vimeo等雲端服務平臺遭到濫用,被拿來散布USB惡意程式
研究人員揭露ApateWeb攻擊行動,駭客企圖散布恐嚇程式、PUP程式
針對去年9月發生的勒索軟體攻擊,Johnson Controls估計損失2,700萬美元
近期資安日報
【1月31日】美國傳出針對中國駭客Volt Typhoon的攻擊行動採取反制並破壞其基礎設施
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-22
2024-04-22
2024-04-22