在2024年2月的資安新聞與事件中,我們最關注的威脅態勢,就是全球出現越來越多逼真的偽冒行徑。這些手法並非像普遍流行的網路攻擊與詐騙手法——只是單純開個網路假帳號,或是簡單的假冒寄件者或發話方,而是經過更精心設計的複雜行動,下列兩種類型的新聞事件都是典型的例子。
首先,今年出現使用Deepfake技術來實施傳統的商業電子郵件詐騙(BEC)詐騙的情形,因為駭客寄送釣魚郵件、假冒總部財務長召開視訊會議,導致一名跨國企業員工依照上級指示轉帳,被騙走2億港幣,等到事後向總公司確認才發現上當。
關於這起事件,我們找到更多資訊、試圖拼湊還原事發過程的細節。例如,據多家香港媒體報導,當地網路安全及科技罪案調查科的署理高級警司指出,報案人為一家跨國公司的香港分行員工,該職員收到一封據稱是該公司駐英國財務長的電子郵件,其內容聲稱與公司秘密交易有關。
雖然該員工當下曾經有所懷疑,但由於該會議邀請該公司數名財務職員進行多人視訊會議,該員工在加入視訊會議後,看到與會成員的影像都是他認識的同事,有著與現實相同的容貌,因此放下先前的疑慮,並依照會議中指示,陸續轉帳15次,將2億港幣轉帳到5個當地的銀行帳戶,等到後續向總部查詢,才知道受騙。
其實2019年已有類似攻擊手法,不過當時僅針對聲音的偽冒。當時的事件是怎麼發生的?有網路犯罪者假冒受害者的德國總公司執行長,用AI軟體模擬其聲音,打電話給英國子公司的執行長,要求緊急匯款。而今年這次案件,則是同時偽冒影像與聲音。
綜觀這次事件,突顯出Deepfake技術可能讓BEC威脅更升級。因為,以往的BEC詐騙中,欺騙受害者的管道幾乎都只是利用電子郵件,現在則是更進階,在發出召開視訊會議的網釣電子郵件後,還進一步透過Deepfake技術來偽冒老闆發出指令,在這樣的面對面溝通情況之下,讓受害者更不疑有他。
另一項精心設計的偽冒行徑,是由加拿大多倫多公民實驗室(Citizen Lab)揭露,他們發現一起假冒世界各地的地方新聞媒體網站的行動,背後是中國公關公司所為,目的是散播有利於中國政府的假資訊,研究人員將這起攻擊行動稱為PaperWall,意味「媒體長城」。
據Citizen Lab研究人員指出,這家中國公關公司至少架設了123個網站,以冒充歐洲、亞洲、拉丁美洲當地的新聞機構,從數量來看,單是這一起行動就冒充30國當地媒體,以南韓、日本、俄羅斯、英國、法國、巴西、土耳其、義大利、西班牙最多,偽冒當地媒體的數量都有5個以上。而且,這起活動不同於資安業者Mandiant在2022年揭露的事件,從兩起影響輿論行動的手法來看,背後是由不同組織發起。
之所以發現這起事件,Citizen Lab表示,是因為三個多月前,有不同國家揭露這樣的問題,像是義大利報紙 Il Foglio,揭露6個冒充義大利新聞媒體的網站,還有韓國國家網路安全中心(NCSC),揭露有18個冒充當地新聞媒體的網站,這也促使Citizen Lab進一步追查,進而發現整起冒充活動的關聯與結構。
值得我們注意的是,Citizen Lab不只在報告中出具證據,解析手法,其實也說明揭露這類偽冒事件的意義。
例如,研究人員強調為什麼曝光這類活動很重要,因為揭穿這些替政府做事的公司,揭穿他們的操作手法,可以讓全球更瞭解中國政府是如何利用這些公司當代理人來逃避責任。研究人員並指出,雖然目前這些網站的曝光率還低,但由於這些網站正快速增加,並且背後操控的人對於當地語言與內容,變得越來越熟悉,將存在被當地媒體引用或誤信,進而擴大報導的風險。
整體而言,對於這類逼真的冒用行徑,無論企業、民眾都該先要對這類情資有所了解。要知道,20年前的網路世界上,用戶設立不同帳號分身、使用暱稱,以及帳號被盜就已都是常態,大家不只要注意傳統手法,現在還有更多新的逼真偽冒方式要了解,並設想是否有更好的應對方式。
像是面對Deepfake技術的威脅,過去一年來已有專家指出,建立「通關密碼」來確認對方身分,或是須按照企業嚴格規定的匯款的內部流程來批准與審核;以及看到一些網路消息,個人應懂得自行查證以及蒐集多方資訊來邏輯思考與判斷,而臺灣面對的威脅更是嚴峻,中國輿論影響行動(IO)雖然被國際間一在強調與重視,但臺灣普遍民眾的現況是,通常缺乏關注這方面的資訊,而簡體中文要翻譯成臺灣使用的正體中文本來就容易,再加上有些人被逼真偽冒話術所騙,進一步將這些資訊轉貼到Line群組去擴散,這其實如同上述Citizen Lab對PaperWall事件的示警。無論如何,企業與民眾對於這些逼真的偽冒行徑時,需要先有認識,才能知道為何要防範。
【資安週報】2024年1月29日到2月2日
在漏洞利用相關消息中,這個星期最受關切的是,Ivanti再度成為駭客發動Zero-day攻擊的目標,該公司旗下SSL VPN、NAC產品線的零時差漏洞CVE-2024-21893已遭成功利用。這已是Ivanti本月要修補的第3個零時差漏洞。已知漏洞被成功利用的情形,同樣引發重視,最近有3起這樣的情形,而且駭客都是針對1月才剛釋出修補的漏洞。
首先,是持續整合開發工具Jenkins的重大漏洞CVE-2024-23897,開發團隊1月24日釋出修補,但駭客很快就鎖定這個漏洞,兩日後外部已有成功濫用情形。
另一是WordPress網域遷移輔助外掛程式Better Search Replace的重大漏洞CVE-2023-6933,開發商WP Engine在兩週前釋出1.4.5版修補,資安業者Wordfence則等到1月24日才揭露這個漏洞,但公布後就已偵測到2,500起漏洞利用攻擊。
最後,是蘋果在本月上旬修補的漏洞CVE-2022-48618,月底發現已遭成功利用,由於漏洞存在於WebKit,不只iPhone、iPad、Mac電腦Apple TV受影響,後續蘋果也針對最近剛出爐的混合實境裝置Vision Pro發布修補。
還有一個漏洞修補情形,其嚴重性我們認為也要多加留意,最近Fortra揭露GoAnywhere漏洞CVE-2024-0204,該公司表示,已在12月7日釋出新版修補,但一個月後的此刻才公告這項消息。
其他重要漏洞消息,包括:Juniper Networks修補網路設備作業系統高風險漏洞,Google Cloud修補GKE的重大漏洞,以及多個Linux發行版本修補glibc程式庫的3個漏洞。
在資安事件焦點上,這半個月來,所有資安媒體都在關注微軟公司電子郵件遭入侵的事故,因為該公司持續向外界揭露更多資訊。微軟自1月17日向美國證券交易所(SEC)提交資安事件報告後,19日更是明確指出攻擊者是Midnight Blizzard(APT29),25日他們公布更多細節,包括彙整出他們發現攻擊者的行動與手法,並說明攻擊者是如何避過偵測。
在資安威脅態勢上,這段期間以資料外洩與勒索軟體的消息最多,我們整理如下:
●被視為OpenAI有力競爭者的AI新創Anthropic,最近通知客戶坦承他們發生資料外洩,原因是外包商不慎將客戶資料傳給第三方組織。
●施耐德電機傳出遭勒索軟體Cactus攻擊,導致Resource Advisor能源監測雲端平臺服務中斷,數TB公司內部資料遭竊。該公司在網站公告發生資安事件,說明僅影響其永續發展業務部門,正採取復原的補救措施。
●英國美容保養品牌業者Lush在官方網站發布資安事件公告,先於1月11日揭露事件,30日證實成為勒索軟體受害者。另一方面,勒索軟體組織Akira宣稱是他們所為,並竊取了110 GB資料。
●有勒索軟體諮詢服務業者Coveware揭露最新勒索軟體的季度報告,我們看到幾個重點,例如,2023第四季前4大勒索軟體為Akira、BlackCat、Lockbit、Play,5到8名均為新入榜,分別是Silent、Medusa、NoEscape、Phobos。報告中也提到受害者付贖金的比例已不到3成,再創新低。
在資安防禦態勢上,有兩則新聞備受關注,分別是反制國家級駭客攻擊,以及車聯網安全的進展。
例如,針對去年攻擊美方關鍵基礎設施的中國駭客組織Volt Typhoon,最近美國司法部宣布已採取行動,成功破壞該組織打造的殭屍網路與掌控的網路設備,也就是針對受感染的網路裝置,刪除當中的KV Botnet殭屍網路病毒,並將通知裝置所有者,以及給予防護建議,另也針對SOHO裝置製造商給予Secure by Design的指引;第一屆Pwn2Own Automotive汽車駭客大賽在東京舉辦,透過獎勵機制,來鼓勵資安研究人員發現並且負責任地揭露安全漏洞,漏洞競賽類別涵蓋Tesla、車載資訊娛樂(IVI)系統、電動車充電器與作業系統,這場活動共找出49個漏洞。
【資安週報】2024年2月5日到2月17日
在2月農曆春節前後,剛好適逢多家廠商發布每月安全更新,包括微軟、Adobe、SAP等多家IT業者,在掌握這些漏洞修補動向之餘,這期間有不少漏洞利用情形,更是需要企業優先重視。我們整理如下:
有3個零時差漏洞已遭成功利用:
●Fortinet在2月8日修補已遭利用的零時差漏洞CVE-2024-21762,這是存在該公司SSL VPN元件的RCE漏洞。
●微軟在2月13日修補73項漏洞中,有兩個是已遭利用的零時差漏洞,分別是:可繞過網際網路捷徑檔安全功能的CVE-2024-21412,以及可繞過Windows SmartScreen安全功能的CVE-2024-21351。
還有4個已知漏洞,近期被發現遭攻擊者利用,首先是微軟修補Exchange伺服器重大漏洞CVE-2024-21410後,隔日該公司示警有攻擊利用,其他包括:Roundcube郵件伺服器去年9月修補的漏洞CVE-2023-43770、Google去年9月修補Chromium V8類型混淆漏洞,以及思科2020年5月修補防火牆產品的資訊洩漏漏洞CVE-2020-3259。
另外,有研究人員揭露名為EventLogCrasher的漏洞,需留意後續修補動向,還有要注意關於DNSSEC的漏洞揭露與修補。
在資安事件方面,有3項消息成為焦點,都與上櫃及興櫃公司有關,包括:
●2月5日,上櫃化學工業美琪瑪的部分資訊系統遭受網路攻擊。
●同樣2月5日,上櫃觀光富野說明旗下分公司的資訊系統遭網路攻擊。
●2月15日,興櫃瑩碩生技代子公司公告,揭露歐帕生技醫藥遭遇網路攻擊事件。
在這些公告之後,還有其他狀況發生,在此一併補充。關於上述美琪瑪遭網路攻擊,有駭客2月16日於論壇聲稱兜售該公司2TB資料;中華民國紡織業拓展會(紡拓會)也傳出可能遭駭,因為他們被一個勒索軟體組織列為受害者,這類法人協會被鎖定的狀況,可能同樣需要追蹤。
醫療健保相關產業也要注意,因為國際上最近有2起相關重大資安事故,例如,羅馬尼亞有1百多家醫院遭網路攻擊,當地網路安全局及衛生部已證實,是醫院服務供應商遭到Backmydata勒索軟體攻擊;法國健保業者客戶傳出資料外洩,由於事件恐波及該國近半數民眾,當地的資料保護機構CNIL針對提供第三方支付的兩家公司Viamedis與Almerys進行調查。
其他還有現代汽車歐洲分公司傳駭,傳出是遭勒索軟體Black Basta攻擊,以及美國銀行證實資料外洩,調查起因為供應商遭駭。
在威脅焦點方面,最近有相當多起資安威脅的揭露,都與中國駭客網路攻擊有關,我們整理如下:
●資安業者Trellix最近指出,臺灣總統大選投票前一天遭受網路攻擊出現大幅增加,根據他們的遙測資料顯示,部分惡意流量特別針對政府、執法與金融單位。
●資安業者SentinelOne揭露,中國當局在2022年宣傳美國對其發動駭客攻擊,調查其宣傳內容發現,中國的指控普遍缺乏相關的技術分析及證據。
●荷蘭軍事情報暨安全局(MIVD)、情報暨安全總局(AIVD)發布聯合公告,指出該國國防部去年遭中國網路間諜入侵,並被植入後門程式。
●關於LLM被國家級駭客惡意使用,微軟與OpenAI揭露濫用方式,包括查詢開源資訊、翻譯、找程式碼漏洞等,並指出中、俄、伊、北韓駭客組織都已這麼做。
特別的是,繼2023年11月義大利報紙 Il Foglio揭露6個冒充義大利新聞媒體的網站,以及韓國國家網路安全中心(NCSC)揭露18個冒充當地新聞媒體的網站,最近加拿大公民實驗室(Citizen Lab)發表名為Paperwall的報告,揭露至少有123個網站冒充歐洲、亞洲、拉丁美洲當地的新聞機構,目的是宣傳親中內容,經層層追蹤這些網站後發現,都與1家中國公關公司有關,並指出不同於Mandiant在2022年揭露的事件,背後是不同組織在發動影響輿論行動。本期的資安日報尚未提及,在此補上。
其他值得關注的威脅手法,我們認為有3項消息需要特別重視:
●香港警方表示,跨國企業員工因為駭客利用Deepfake技術假冒公司主管參加視訊會議,並指示員工轉帳2億港幣,等到事後向總公司確認才發現上當。
●關於QR Code網釣,有郵件安全業者研究多半是針對高階主管而來,比一般員工高出42倍。
●資安業者分析能迴避資安防護系統的惡意程式,發現有7成惡意程式會採用隱形(stealth-oriented)手法。
在資安防護方面,有兩個重要新聞,分別是對於勒索軟體與量子破密的因應。針對2023年下半造成重大災情的勒索軟體Rhysida,最近有南韓國民大學研究人員找出其實作漏洞進而破解,後續將提供免費解密工具;近年國際間持續看重後量子密碼學的發展,最近Linux基金會更是宣布,與AWS、Cisco、Google、IBM與Nvidia等11個組織成立後量子密碼學聯盟PQCA,希望透過建立開放與合作的環境,開發用於評估、原型設計與部署後量子演算法的軟體。
【資安週報】2024年2月19日到2月23日
這星期釋出的安全性漏洞消息,以ConnectWise在19日修補遠端桌面軟體ScreenConnect的漏洞CVE-2024-1709,最受關注,因為在公告的隔日,就發現有駭客開始鎖定利用,該業者也在20日示警、公布入侵威脅指標(IoC),並在21日針對已結束維護支援服務的用戶內部環境建置版本,提供最新升級。
在資安威脅焦點方面,最大消息就是勒索軟體LockBit組織的伺服器被攻破。在英、美等10國家聯合發起的打擊行動之下,已接管其技術基礎設施與資料外洩網站,並凍結相關加密貨幣帳戶,美方也拘留兩名利用LockBit服務的聯盟夥伴,並公布新起訴兩名發動攻擊的俄羅斯人。
由於全球已有上千家企業組織遭受LockBit的危害,因此這次國際查緝行動具有相當大的意義。我們也注意到,在此次行動成果公布後,在打擊勒索軟體網路犯罪的No More Ransom計畫網站,已釋出由日本警方打造的相關解密工具。
還有前陣子農曆過年期間,有南韓研究人員發表破解勒索軟體Rhysida的論文,如今在No More Ransom平臺上,也有資安業者Avast釋出的相關解密工具。
另一件大消息,是中國資安業者「安洵信息」傳出資料外洩,意外曝露該國政府對全球各國發動網路間諜行動的情況,引發國際關注。研究人員指出,這些資料很有可能來自該公司專門研發間諜軟體的部門。根據外洩資料的內容顯示,該公司替客戶(中國政府)滲透印度、泰國、越南、韓國、臺灣、馬來西亞、北約組織的政府機關,曾開發攻擊工具RAT木馬程式Hector,以及外觀與行動電源相似的「Wi-Fi 抵近攻擊系統」,同時也經營DDoS攻擊業務,還有APT攻擊與間諜行動業務。日後是否有更進一步的研究分析,值得持續追蹤。
關於最新威脅態勢的揭露上,我們注意到4個值得留意的技術手法與狀況:
●資安業者揭露網釣簡訊攻擊背後的新手法Smishing,他們發現濫用AWS SNS簡訊服務的惡意Python腳本,並指出這是雲端攻擊工具中前所未見的技術。
●駭客不斷挖掘出Ivanti Connect Secure的零時差漏洞並成功利用,因此有研究人員針對這樣的狀況進行分析,發現其系統採用許多老舊、已終止支援的元件。
●關於網路犯罪組織在臉書投放詐騙廣告,資安業者揭露使用竊資軟體VietCredCare的攻擊者,正鎖定大量越南企業臉書帳號,並在接管帳號後用以實施臉書詐騙。
●網路拓樸架構呈現工具SSH-Snake被駭客濫用於攻擊行動,資安業者指出,這是竊取SSH金鑰的新手法,該工具還具有主動修改和無檔案的特性,若採用靜態偵測的作法,會不容易找到。
還有多個惡意威脅的最新動向,源自不同資安業者的揭露,包括勒索軟體RansomHouse組織使用新的自動化工具MrAgent,來鎖定虛擬化平臺VMware ESXi平臺,以及惡意程式TicTacToe Dropper,殭屍網路病毒Glupteba,還有商業間諜公司掌握「多媒體簡訊指紋(MMS Fingerprint)」技術的細節。
最後值得一提的是,國內再傳上市櫃公司遭遇資安事件,已是今年第7起上市櫃公司因資安事件發布重大訊息。以散熱風扇聞名的上市大廠建準,19日公告當天凌晨遭遇加密攻擊。該公司表示,已確認公司資料沒有外流,資訊系統當日可修復。
【資安週報】2024年2月26日到3月1日
告別2月,迎接3月,我們要提醒大家注意的資安消息,包括兆勤、Canon、思科的漏洞修補消息,以及開源軟體存在Wi-Fi身分驗證繞過漏洞的相關修補,需要企業著手因應之外,特別的是,還有兩個與微軟有關的漏洞利用,這些問題都必須重視,請用戶及早修補或實施緩解機制。
(一)微軟在2月修補的漏洞CVE-2024-21338,通報此漏洞的資安業者Avast最近指出,發現修補前已有北韓駭客組織Lazarus利用,以關閉特定的防護處理程序、迴避偵測。由於上述狀況的發生,也表示此弱點已導致零時差漏洞攻擊。
(二)去年6月微軟修補微軟Streaming Service相關漏洞CVE-2023-29360,這是存在於驅動程式mskssrv.sys的權限提升漏洞,近日發現鎖定利用的情形。這段時間的iThome資安日報尚未提及,在此補上。
另外,前幾期週報我們已提醒的Ivanti Connect Secure漏洞,以及ScreenConnect漏洞,如今傳出中國駭客與多個駭客團體正鎖定攻擊的情形,尚未因應的企業需要趕緊行動。
在資安事件方面,國內有3項消息受到矚目,都與上市公司有關,包括:
●2月26日,上市綠能環保、PCB廢液處理業者昶昕公告,部份資訊系統遭受駭客網路攻擊事件。
●2月29日,中華電信因媒體報導有人在暗網兜售該公司的內部資料,發布重大訊息,表明資安團隊查知疑似資料外流的情況,正展開調查。
●2月27日,散熱風扇廠商建準在一星期前已公告發生網路資安事件,但這天再次發布新的重訊,說明該事件的後續處理情形。
在資安威脅焦點方面,上星期發生的兩起重大事件,都有後續消息傳出。例如,才被11個國家執法單位圍剿的勒索軟體駭客組織LockBit,已傳出重起爐灶的消息;關於中國資安業者「安洵信息」的資料外洩,曝露該國政府對全球20國發動網路間諜行動的情況,後續有更多與臺灣資安現況有關的內容被分析出來,像是國外研究人員指出,當中蒐集了臺灣道路地圖檔案的情資,已竊取495 GB的相關檔案,臺灣資安業者TeamT5亦指出,當中透露該公司與中國政府打交道的情形,產品細節與財務,以及上報RAT木馬程式ShadowPad開發的細節,顯示這批資料的可信度相當高。
其他最新威脅態勢的揭露上,我們注意到5個值得留意的狀況,其中有3則是多國網路安全機構的示警:
●AI開發者與用戶要當心!近日有兩起資安新聞,一是機器學習模型共享平臺Hugging Face出現100個惡意模型,不慎下載恐將被安裝後門程式,另一是AI影片編輯平臺Cutout.Pro傳出資料外洩,2千萬名會員個資流入駭客論壇。
●電信業者注意!有研究人員揭露駭客近期使用的後門程式Gtpdoor,主要針對鄰近GPRS交換網路(GRX)的電信網路環境入侵,並將攻擊流量混入合法流量,隱匿攻擊行動。
●德國BfV、韓國NIS提出警告,北韓駭客針對全球國防單位從事網路間諜行動,這份警告也揭露當中存在供應鏈攻擊的狀況:對方入侵維護廠商竊取SSH帳密,從而存取海事及航運研究中心的Linux網頁伺服器主機。
●10國執法機關聯手針對俄羅斯駭客組織APT28的攻擊行動提出警告,指出攻擊者正鎖定Ubiquiti路由器入侵,並濫用EdgeRouter迴避偵測、建置殭屍網路,以隱匿攻擊行動。
●美國CISA與英國NCSC示警,俄羅斯駭客組織APT29(亦稱Midnight Blizzard)是俄羅斯情報部門SVR的一部分,近期經常針對服務帳戶使用密碼噴灑攻擊,以取得對雲端環境的初始存取權限。本週刊出的資安日報尚未提及,在此補上。
還有一個威脅態勢,我們認為也相當值得企業警惕,是棄用的子網域名稱遭濫用,有攻擊者正進行這方面的大規模網路掃描,以奪取控制權,進而盜用企業身分發動網路釣魚攻擊。近期已有MSN、VMware、eBay等多家企業的網域遭利用,這也突顯即使大型知名企業,仍可能在這方面產生疏忽。
至於防禦態勢上,最大焦點就是美國NIST正式發布了網路安全框架CSF 2.0,新版不僅加入治理功能,還有一系列的資源與工具,讓企業更容易去實踐。例如,在5種快速入門指南中,有小型企業(SMB)適用的快速入門指南,在CPRT工具中則針對各項子類別,提供了易於理解的實踐範例。
2024年1月資安月報
2023年12月資安月報
2023年11月資安月報
2023年10月資安月報
2023年9月資安月報
2023年8月資安月報
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-11-20