在2024年1月的資安月報中,最引發我們關注的就是,美國司法部宣布瓦解了由國家級駭客打造的殭屍網路KV Botnet,以及該國針對SOHO設備製造商發布Secure by Design警報,特別的是,這兩個不同層面的新聞事件,其實在某種程度上存在著一定的關聯。
事實上,我們在今年1月,也正好報導了上述提到的Security by Design警報。因為這個警報系列,是美國網路安全暨基礎設施安全局(CISA)去年底才剛剛新推出不久,不同於過去都是聚焦在最新攻擊與軟體漏洞。
這樣的轉變,讓我們可以明顯感受到,這個談論許久的「安全設計(Security by Design)」議題,不僅再次浮上檯面,並且成為連國家政府將要積極推動的重要工作項目。
不只破壞中國駭客組織挾持的殭屍網路,同時針對SOHO設備製造商發布Secure by Design警報
首先,我們先來聊聊殭屍網路,這是指攻擊者藉由入侵裝置並連結而成的網路。攻擊者可以控制殭屍網路,執行有組織且有惡意意圖的任務,而且受害者多半不知道自己的裝置被感染,已經成為駭客發動網路攻擊時的幫兇。
近年來,已有資安業者示警,指出駭客組織入侵家用路由器來建立自己的物聯網殭屍網路的態勢,是持續升溫。而為了因應這類網路威脅,最近幾年,我們看到美國政府經常與多國執法單位聯手,發起掃蕩殭屍網路的行動。
這次美國政府所發起的新一項行動,目標是破壞由中國駭客組織Volt Typhoon所挾持的殭屍網路KV Botnet。
這次事件之所以引發更高關注,是因為微軟去年5月發現Volt Typhoon鎖定美國與關島的重大基礎設施攻擊,然後去年12月,資安業者Lumen揭露了殭屍網路KV-botnet,並指出Volt Typhoon會使用該殭屍網路發動攻擊。
因此,這次破壞殭屍網路的行動,可說是美方政府對Volt Typhoon的反制,讓對方在未來這一段期間,無法立即利用這個殭屍網路來發動攻擊。
綜觀這樣的事件,我們其實是可以看出美國政府是如何應對的,整體上他們是以多管齊下的方式,從不同層面來一起因應。
例如,在面對中國駭客組織Volt Typhoon威脅的過程中,一方面,他們重視該國關鍵CI防護的強化,另一方面,他們也破壞了該組織使用的KV-botnet殭屍網路,以緩解對方可能伺機發動的攻勢。
這次值得我們一提的是,美國政府在摧毀殭屍網路方面採取了更積極的行動──不只破壞殭屍網路KV Botnet,還要求通知裝置所有者,並且向SOHO裝置製造商發布指引。
簡單來說,過去我們已經看過美國聯邦調查局(FBI)破壞殭屍的情形,就是接管其控制權,透過遠端方式刪除當中的惡意程式,以及採取額外措施來中斷受駭裝置與殭屍網路的連結。而這次美國FBI所採取的行動,也就是針對美國境內數百臺遭受KV-botnet控制的私人SOHO路由器而來。
但這次,我們更是注意到,美國CISA也在美國司法部公告的同一日,發布了第三則Security by Design警報,而當中的內容,就是針對中國駭客組織Volt Typhoon的惡意網路活動而來,並聚焦於敦促SOHO 路由器製造商要有安全設計的實踐。
換言之,為了預防網路設備再次被殭屍網路感染,FBI不只著手聯繫設備供應商,要求這些供應商向受害者提供通知,讓用戶知道他們的裝置曾經發生遭駭一事,以及知道可以有的應對方式。
現在,還更進一步對SOHO路由器製造商發布警報,說明供應商的決策能幫助全球減少相關危害,並提供可遵循的原則,要製造商能夠主動消除相關風險,而不是依賴客戶去執行與防範,因為過去經驗證明這並不可行。
因此,在給予SOHO設備製造商的Secure by Design警報中,我們可以看到一些重點,我們整理如下:
●應在SOHO路由器網頁管理介面(WMIs)的產品設計與開發階段,就消除可被攻擊者利用的弱點。
●應調整產品預設配置,讓設備可以有自動更新的能力,並將網頁管理介面(WMI)設置在區域網路(LAN)端的連接埠,這意味著可在內部網絡中存取與操作,而不是在外部網路中可見或可存取。同時,需要手動操作才能移除相關安全設定。
●做到產品的漏洞修補與揭露,並將這些漏洞做到準確的分類,以免受到Volt Typhoon活動與其他網路威脅的侵害。
無論如何,產品要有基於安全的設計、要有預設的安全……,我們早已經看到許多科技大廠強調其重要性,分享這方面工作的推動與落實經驗,但我們更期盼的是,所有的製造商都在進行軟體開發之餘,都能共同重視Security by Design的問題。
儘管近年不論歐洲、美國、日本、亞洲等國,都在物聯網資安的立法有新的進展,但我們從美國CISA的推動上來看,他們更是明確指出,資安防護並不只是用戶層面的問題,產品製造商也必須負起責任,對於政府而言,不能單靠法規遵循,迫使廠商解決這個問題,及早建立這樣的意識、落實安全設計,才能有效減少產品資安風險。
FBI指出:這次破壞行動儘管意義重大,但還不是結束,需要更多資源投入
另一方面,除了關心SOHO設備製造商的Secure by Design實踐,臺灣民眾應該也要知道的是,對於中國駭客組織Volt Typhoon的威脅,美國FBI也在美國司法部公布這次成果的同日,一連發布了3則新聞。
他們的局長Christopher Wray在出席眾議院特別委員會時指出,大眾很少關注中國駭客組織瞄準他們的關鍵基礎設施——包括他們的水處理廠、電網、石油和天然氣管道、運輸系統。但現在,每個美國人都面臨風險,需要他們大家都能去特別注意。
這樣的說法,我們認為,即便放在臺灣也很適合,對於我國遭受中國駭客網路攻擊、遭受資訊戰的情形,社會大眾需要更多的關注與認知,例如,多知道我們遭受網路攻擊的現況,多了解事件背後的多方知識,多從邏輯角度去思考,才能減少被似是而非、觀念錯置的手法操弄。
另外,Christopher Wray也強調,這次破壞殭屍網路的意義相當重大,原因在於,這次Volt Typhoon的入侵相當隱密,很可能會在美中一旦爆發衝突時,用以摧毀美國水處理廠、電網、石油和天然氣管道、運輸系統等重要資源,並對美國民眾造成直接傷害,又或是在中國入侵臺灣,限制美國援助臺灣的能力。因此,這次破壞行動,對於抵抗中國政府惡意網路攻擊的威脅而言,並非事件的結尾,FBI還需要爭取更多資源、預算,來增加人力,來增強資安上的反應能力,以及加強情報收集與分析能力。
這點也令我們相關有所感觸,因為就連FBI局長都在強調,一旦美國關鍵CI遭受嚴重網路攻擊,他們的資安防護做得不好,影響的不只美國民眾,也會影響該國援助臺灣的能力。
【資安週報】2024年1月2日到1月5日
新的一年到來,首要關注的漏洞消息是,去年底有研究人員揭露SSH通訊協定的漏洞問題,可透過Terrapin新手法進行攻擊,但1月3日Shadowserver基金會指出,網路上仍可發現近1,100萬臺的大量伺服器未因應,依然存在CVE-2023-48795漏洞的風險。
在新興威脅焦點上,以Google服務cookies可被劫持的後續揭露最受關注,還有勒索軟體Zeppelin2與竊資軟體Meduza的最新動向。
(一)前陣子名為PRISMA的駭客聲稱能夠竊取Google服務相關cookie,引起廣泛關注,如今我們終於看到有資安業者揭露其攻擊手法與原理,指出駭客除了鎖定Chrome瀏覽器中名為token_service的表單,進而取得的GAIA ID/token,另一關鍵,更是鎖定Google文件未提及的MultiLogin端點跨服務同步機制,這個端點是Google OAuth系統的重要環節。這也顯示,攻擊者對於Google內部身分驗證機制,有著更深層的研究與理解。
(二)勒索軟體Zeppelin2傳出被他人破解的消息,近日有駭客在地下論壇散布的原始碼與建置工具,資安界憂心遭更多不肖分子利用。
(三)有駭客在地下社群與Telegram頻道廣為宣傳新版竊資軟體Meduza,由於標榜功能豐富,以及可針對更多應用程式下手,而受到資安業者重視。
(四)關於新型態DLL搜尋順序挾持手法的揭露值得留意,駭客可濫用系統資料夾WinSXS,進而繞過Windows 10及11防護措施,這樣的手法將讓攻擊更加隱密。
在上述Google服務cookies劫持的手法揭露之外,我們認為同樣值得關注的是,近期社群平臺X(推特)的企業組織帳號遭不明手法劫持的安全問題,最近報導了兩篇資安新聞,其中一篇是資安業者本身也發生遭盜用的情形。
首先是有資安業者CloudSEK揭露,隨著去年底X推出新的驗證帳號方案,但駭客為了假冒企業帳號,目前也正利用各種技術來偽造或盜竊具有金色認證標章;隔沒幾天,資安業者Mandiant發生X帳號遭盜用情形,被利用於假冒加密貨幣錢包供應商Phantom名義的詐騙活動,後續Mandiant表示已取回帳號,並指出已啟用MFA仍遭挾持,目前仍在調查原因。近日資安團體MalwareHunterTeam也指出,發現不少非營利組織、政治人物的X帳號,同樣遭劫持與盜用的情況。
在資安事件方面,這星期我們看到國際間發生食品零售業、保險業、外送平臺業者、政府單位與企業受害的狀況。
首先要注意的是零售服務業,近日瑞典食品零售供應商Coop遭駭,目前傳出遭勒索軟體駭客組織Cactus攻擊;保險業者也要當心,伊朗發生大規模資料外洩事件,該批資料涉及23家保險業者,駭客這波攻擊竟能一次鎖定如此多家保險業者,相當不尋常;還有外送平臺業者,伊朗Snappfood平臺發生資料外洩,研究人員發現1名SnappFood員工的電腦感染StealC竊資軟體,使得公司帳密外洩與資料遭存取。其他重大事件包括:澳洲法院也傳出遭駭客入侵,造成聽證會錄音恐外流的情形;全錄(Xerox)的美國分公司Xerox Business Solutions(XBS)遭遇網路攻擊,部分個資外洩。
【資安週報】2024年1月8日到1月12日
2024年才剛開始沒多久,已有相當多的漏洞消息需要留意,包括零時差漏洞攻擊、已知漏洞遭鎖定利用,以及漏洞修補等不同面向:
(一)這星期又有駭客發動零時差漏洞攻擊。此次被鎖定的目標,是Ivanti的VPN產品Ivanti Connect Secure,以及網路安全存取產品Ivanti Policy Secure,當中2個零時差漏洞已被成功利用,分別是CVE-2024-21887與CVE-2023-46805,有資安業者研判是中國國家支持的駭客組織所為。
(二)我們看到美國CISA公布的新消息指出,有多個去年已知漏洞近期開始發現遭鎖定利用。包括:Adobe ColdFusion的兩個漏洞(CVE-2023-38203、CVE-2023-29300),Apache Superset的漏洞(CVE-2023-27524),蘋果多款產品的漏洞(CVE-2023-41990),Joomla的漏洞(CVE-2023-23752),微軟SharePoint Server的漏洞(CVE-2023-29357),除此之外,還有D-Link DSL-2750B的2016年老舊漏洞(CVE-2016-20017),先前的資安日報尚未提及,在此補上。。
(三)適逢微軟等多家廠商的每月例行安全性更新釋出,需要大家關注相關消息,並且儘快著手修補。例如:微軟本月修補49個安全漏洞,當中有兩個是重大等級。還有其他漏洞修補消息,包括:臺灣NAS廠商威聯通針對QTS等多項產品的修補,思科針對Unity Connection重大漏洞修補,Bosch智慧扳手(氣動扳手)也存在一系列漏洞。
另外,去年5月Apache基金會雖然修補RocketMQ重大漏洞CVE-2023-33246,但近期有開發團隊的成員指出,這項弱點尚未得到完整修復,後續修補動向需密切關注。
在資安威脅態勢上,勒索軟體攻擊仍是關注重點,SMTP走私手法與關鍵基礎與電信受害情形也引起我們的關注,我們整理相關消息如下。
●勒索軟體Akira的危害在12月增加,引起芬蘭國家網路安全中心(NCSC-FI)示警,不僅針對已知路由器漏洞攻擊,並針對儲存資料的NAS系統下手。
●微軟SQL Server用戶注意!勒索軟體Mimic正發起鎖定此系統的攻擊行動,對方的目標是曝露於網際網路的SQL Server,其手法包含濫用PowerShell指令碼,並將深度混淆處理的Cobalt Strike酬載注入Windows內建的處理程序SndVol.exe。
●新型態SMTP走私(SMTP Smuggling)攻擊手法,有人提出具體分析,問題在於SMTP伺服器的進出流程中,處理資料結尾序列不一致,導致攻擊者可能偷渡SMTP命令。
●在關鍵基礎設施與電信領域方面,相關業者也要留意,包括荷蘭IT業者與電信公司遭滲透的揭露,以及木馬程式AsyncRAT鎖定美國關鍵基礎設施的揭露。其他可留意的惡意程式動向,包括FBot鎖定雲端及SaaS平臺,以及後門程式SpectralBlur鎖定Mac電腦設備。
另一個要注意的資安威脅,在於企業社群平臺的帳號安全問題。繼日前資安業者Mandiant的X帳號被盜用後,遭張貼加密貨幣詐騙活動,如今有更多事件登上新聞版面,甚至美國證券交易委員會的X帳號都遭盜用,被假冒其名義公布宣稱比特幣ETF商品核准上市的消息。隔日,美國SEC才正式宣布,批准11檔比特幣現貨ETF交易。其他被盜的X企業帳號還包括:區塊鏈資安業者CertiK、網路設備業者Netgear、現代汽車中東及非洲的帳號。由於過往多是名人帳號遭駭,但近期事件集中發生在X平臺,並且都是企業組織官方帳號被盜,是否有不尋常的新手法出現,需要持續追蹤。
【資安週報】2024年1月15日到1月19日
這一星期的漏洞利用威脅情形,有兩個新事件需要特別留意,一是Citrix NetScaler設備管理介面存在零時差漏洞,包括CVE-2023-6548、CVE-2023-6549,已被用於攻擊行動;另一是Google修補Chrome的V8 JavaScript引擎的CVE-2024-0519漏洞,同樣已遭成功利用。
還有兩個已知漏洞遭利用的狀況,包括:Laravel網頁應用程式框架在2018年修補的已知漏洞CVE-2018-15133,另一個是這段期間資安日報未報導的漏洞CVE-2023-35082,這個弱點存在行動裝置管理平臺MobileIron Core,以及EPMM。特別的是,關於上述鎖定Laravel的攻擊,我們從美國FBI與CISA近期近期的示警,可以發現是惡意程式Androxgh0st的攻擊行動所為。
還有多家業者發布漏洞修補公告,需要企業採取行動,包括Oracle第1季例行安全更新發布,Atlassian修補Confluence的漏洞,GitLab修補零點擊帳號劫持漏洞,以及Juniper修補防火牆及交換器重大漏洞。
在國內資安消息方面,近日有多家上市櫃公司發布資安事件重大訊息,而且短短一週之內,居然發生三起的情況,格外引人注目。我們整理如下:
(一)上市半導體設備業京鼎精密在1月16日公告,部份資訊系統遭受駭客網路攻擊。
(二)上市印刷電路板廠恩德科技在1月17日公告,部份資訊系統遭受駭客網路攻擊。
(三)上市運動休閒業者柏文健康事業在1月19日公告,說明旗下「健身工廠」會員個資遭駭客竊取。本期資安日報尚未提及,在此補上。
值得關注的是,京鼎精密發生2024年首起上市櫃資安事件,而且狀況相當特別,因為駭客的勒索訊息,還藉由竄改京鼎公司的網站於16日上午公諸於外,行徑非常囂張。
關於健身工廠會員個資遭竊,他們的公告這方面消息的時機有爭議,因為他們載明的事實發生日是去年7月30日,但竟然等到2024年1月才曝光,這顯然違反「應於資安事件發生次一營業日開盤前2小時公告」,而且拖延幾乎長達半年時間。依照先前資料外洩的公司諾貝兒遭到主管機關開罰的經驗,金管會應同樣會對此祭出處分。
另一家同樣在去年11月遭到網路駭客攻擊的雄獅,交通部近期依違反個人資料保護法第27條第1項,開罰200萬元。
還有一項值得警惕的事件,是KKday前員工跳槽對手Klook所涉的外洩營業機密案,最近調查局資安工作站更詳細說明其手法與事發過程,包括利用未修改的預設密碼、不法登入KKday系統等,並起訴涉案3人。
在資安威脅焦點方面,近期鎖定蘋果電腦、Docker主機的惡意軟體,引發研究人員重視。他們的研究對象是3款針對macOS的竊資軟體,包括KeySteal、Atomic Stealer、CherryPie,經過調查分析之後,他們指出這類惡意程式普遍具有繞過作業系統內建XProtect的能力;近期有攻擊者鎖定易受攻擊的Docker主機部署惡意容器,當中使用了網路流量交換軟體9hits盜取流量,相當罕見。
最後,還有兩個涉及GPU與UEFI的漏洞揭露,都是去年夏天已經通報、如今分別有資安業者對外揭露相關細節,並指出問題所在。
例如,被命名為LeftoverLocals的漏洞CVE-2023-4969,影響蘋果、AMD、高通的GPU產品。研究人員重點提醒,如WebGPU的許多GPU框架,存在著未充分隔離記憶體的狀況;UEFI開源參考實現TianoCore EDK II存在9個漏洞,統稱為PixieFAIL,研究人員並指出,其他廠商的UEFI解決方案也受波及,包括Arm、系微(Insyde)、AMI、Phoenix Technologie與微軟。由於廠商們的修補時程未定,不確定是否修補相當棘手。
【資安週報】2024年1月22日到1月26日
這一星期的漏洞利用消息,分別是關於蘋果、VMware與Atlassian的三大漏洞。
(一)蘋果修補已遭成功利用的零時差漏洞CVE-2024-23222,該漏洞影響iPhone、Mac、iPad 與Apple TV,可能導致任意程式碼執行,這也是蘋果今年修補的第一個零時差漏洞。
(二)最近有駭客針對VMware去年10月修補vCenter伺服器的漏洞CVE-2023-34048攻擊。但Mandiant最新研究調查指出,這個漏洞至少從2021年開始就被利用,意味當時已有零時差漏洞攻擊存在,並指出攻擊者是中國駭客組織UNC3886。
(三)上週Atlassian才修補DevOps協作平臺Confluence的重大漏洞CVE-2023-22527,現在已經發現遭駭客鎖定利用,有資安研究團隊示警,他們指出發現逾600個IP位址嘗試利用該漏洞發動攻擊。
還有其他業者發布漏洞修補公告,也需要企業採取行動,包括持續整合工具Jenkins修補了12個Jenkins主程式及外掛程式漏洞,以及VMware修補雲端基礎架構自動化平臺Aria Automation重大漏洞。
在資安事件焦點方面,以微軟、HPE接連向美國證交所(SEC)提交8-K表單通報資安事故,引發外界重視。
因為兩家公司陸續公布的資訊顯示,其雲端電子郵件環境遭到俄羅斯駭客組織Midnight Blizzard入侵。目前不確定兩起事件是否有關,而且時間點也不同,微軟是在1月12日發現狀況,調查出駭客約從去年11月下旬開始攻擊;HPE是在去年12月12日收到通知,研判事故與另一起6月獲報的事件有關。
另外,還有大型服飾集團VF Corp針對去年12月資安事故,二度向SEC提交文件,補充說明該事故的最新消息。
在勒索軟體的威脅態勢上,2024年仍持續傳出有多家企業遇害,影響IT產業、服務業,以及水資源處理業者。例如,芬蘭IT服務與企業雲端代管業者Tietoevry,全球速食連鎖業者Subway,英國水資源處理業者Southern Water,以及水資源處理業者Veolia的北美分公司。
還有一項惡意活動情形,我們認為值得特別留意,是關於惡意流量系統的揭露,不僅是過去這類新聞較少,近期更是有兩家資安業者都發布這方面的研究內容。
一是駭客使用Parrot TDS植入合法網站的伺服器,將受害者帶往惡意網站,針對這些指令碼進行分析,根據資安廠商的研究人員的分析,可分成4個版本,並發現最新版本的混淆手法更進化,採用不同的陣列索引,可影響特徵碼偵測機制;另一是駭客使用VexTrio控制多個TDS網路,且運作方式都不一樣,資安研究人員認為,這是他們在一個月內首次發現基於DNS的新TDS,並指出攻擊者通常使用「atob()」與「String.fromCharCode()」的 JavaScript,目的是隱藏其程式碼。
2023年12月資安月報
2023年11月資安月報
2023年10月資安月報
2023年9月資安月報
2023年8月資安月報
2023年7月資安月報
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20