近期俄羅斯駭客APT29的動作頻頻,多國政府與資安專家接連對其攻擊行動提出警告,呼籲各界強化防禦措施,以防對方從事網路間諜活動、竊取組織內部機密的情況。

但近期有一起攻擊衝著德國政黨而來,揭露此事的資安業者Mandiant認為對方別有目的,很有可能是為了影響該國政治情勢。

 

【攻擊與威脅】

德國政黨團體遭到俄羅斯駭客APT29鎖定,散布惡意軟體WineLoader

俄羅斯駭客過往針對歐美政府機關攻擊的情況不時發生,如今也轉移目標,瞄準特定政黨而來。

資安業者Mandiant揭露俄羅斯駭客組織APT29(亦稱Midnight Blizzard、Nobelium、Cozy Bear)的攻擊行動,對方從今年2月下午,假借基督民主聯盟(CDU)的名義寄送釣魚郵件,鎖定德國聯邦議會Bundestag的第二大政黨而來。

研究人員看到駭客聲稱邀請參加晚宴為誘餌,內容包含URL,收信人一旦依照指示操作,電腦就有可能下載ZIP壓縮檔,植入惡意程式載入工具Rootsaw,隨後攻擊者可藉此在電腦部署名為WineLoader的後門程式。研究人員表示,這是他們首度看到APT29針對政治團體的攻擊行動。

數款安卓惡意程式鎖定土耳其、俄羅斯,以及東南亞用戶而來

資安業者卡巴斯基公布調查2023年安卓惡意程式的情況,他們發現2021、2022年趨緩,但2023年出現惡意程式大幅增加的情況,他們阻止了近3,380萬次對行動裝置的惡意軟體、廣告軟體、具潛在風險的軟體攻擊,較2022年多出50%。

研究人員公布3款去年特別值得留意的惡意程式,分別是鎖定土耳其、偽裝成IPTV應用程式的間諜軟體Tambir,以及針對中國OEM製造、銷往俄羅斯的手機而來的Dwphon。第3個惡意程式Gigabud,則是假冒泰國及秘魯公司的名義,以提供貸款來散布,攻擊者可透過其螢幕錄影及模仿使用者點選的能力,繞過雙因素驗證(2FA)。

 

【漏洞與修補】

蘋果M系列處理器存在微架構旁路弱點GoFetch,恐被用於竊取加密演算法金鑰

伊利諾大學、德州大學、柏克萊加州大學、華盛頓大學、卡內基美隆大學、喬治亞理工學院的研究人員聯手,公布能針對蘋果M系列處理器的旁路攻擊手法GoFetch,他們透過「記憶體相依的資料預先讀取機制(Data Memory-dependent Prefetcher,DMP)」,從而在以常數時間為基礎的加密演算法擷取金鑰,這項弱點影響的範圍,涵蓋M1至最新的M3,並研判Pro、Max、Ultra版本的處理器也可能曝險。

研究人員指出,雖然Intel的Raptor Lake微架構也具備DMP,但由於其啟動要求較為嚴格,而具備抵禦相關攻擊的能力。

值得留意的是,他們在去年12月5日向蘋果通報此事,迄今尚未得到回應,對此,研究人員表示,他們接下來會公布概念性驗證(PoC)程式碼。

研究人員揭露電子門鎖漏洞Unsaflok,影響1.3萬家旅館、300萬把門鎖

一群研究人員公布在2022年下旬找到的電子門鎖漏洞Unsaflok,攻擊者可利用一組偽造的房卡,來解開Dormakaba製造的Saflok門鎖,估計影響131個國家、1.3萬套系統、超過300萬扇門。他們在2022年9月通報此事後,該門鎖製造商著手處理,並於2023年11月開始對部分旅館進行處理,截至今年3月,約有36%完成軟體更新或是更換設備處理。

研究人員指出,攻擊者只需從旅館取得其中1張RFID房卡,並搭配MIFARE Classic卡片及寫入資料的工具,就可能發動Unsaflok攻擊。雖然研究人員尚未發現漏洞被實際利用的跡象,但由於這種電子門鎖已銷售長達36年,他們不排除已出現遭到利用的情況。

微軟三月例行更新導致Windows Server當機,22日發布緊急更新

3月12日微軟發布例行更新(Patch Tuesday),傳出IT人員為Windows Server 2022、2016部署修補程式KB5035857、KB5035855之後,造成伺服器當機及服務停擺的情形,經調查是本機安全認證子系統服務(LSASS)占用大量記憶體所致,當時微軟承認獲報並著手處理,現在提供修補程式。

22日微軟針對Windows Server 2022、2016、2012 R2發布多個系統更新公告,分別是KB5037422、KB5037423、KB5037426,並指出這次的更新程式,主要是因應安裝12日發布的修補軟體後,影響LSASS的情況,若不處理,將有可能導致網域控制器(DC)的記憶體洩露。

資料來源

1. https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
2. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037422-os-build-20348-2342-out-of-band-e8f5bf56-c7cb-4051-bd5c-cc35963b18f3
3. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037423-os-build-14393-6799-out-of-band-1775cda2-4bb6-43a9-9fd4-ddc3528d3408
4. https://support.microsoft.com/en-us/topic/kb5037426-update-to-address-a-known-issue-that-affects-lsass-in-windows-server-2012-r2-eda1002a-4b4d-4c99-8383-b0e2bab5c1d0

 

【資安產業動態】

DEVCORE資安研討會登場,揭露最新攻擊技術手法與企業資安破口

以紅隊演練聞名的臺灣資安業者DEVCORE戴夫寇爾,於3月16日舉行年度研討會DEVCORE Conference 2024,探討駭客創新攻擊技術和手法,以及他們所看到的實際企業資安風險,吸引近400名來自資安業界、學界人士參與。

本次戴夫寇爾探討的議題,涵蓋AD CS憑證服務(Active Directory Certificate Services)配置不當帶來的危害、網頁應用程式防火牆(WAF)的深度解析、旁路攻擊新型態手法、紅隊工具開發的心法等。

特別的是,這次也透露他們去年參與Pwn2Own 2023的心路歷程,而且,該公司首度特別邀請其他研究人員,由奧義智慧的專家來從藍隊身分、紅隊視角,提供不同的攻擊思路的探討。

數位部出席布拉格資安會議,分享臺灣通訊韌性應變經驗

專門探討網路及電信安全的資安會議Prague Cyber Security Conference 2024於3月19、20日舉行,數位發展部次長闕河鳴與資通安全署副署長鄭欣明率團參加,並拜會捷克國家網路及資訊安全局(NÚKIB),就臺捷資安合作議題進行交流。

闕河鳴表示,海底電纜對於國內外通訊、安全、經濟至關重要,近年來遭受越來越多破壞、干擾與網攻威脅,數位部將持續盤點不同情境對通訊網路造成的風險,規畫多種異質通訊備援網路因應。他舉出去年3月馬祖連接臺灣的海纜中斷為例,當時數位部隨即切換為衛星通訊,以確保通訊韌性。

 

【其他新聞】

美國報稅季來臨,駭客假借提供表單從事網路釣魚

伊朗駭客組織假借徵才名義散布後門程式FalseFont

竊資軟體StrelaStealer透網路釣魚攻擊歐洲、美國超過一百個組織

Mozilla發布Firefox 124.0.1、115.9.1,修補Pwn2Own揭露的零時差漏洞

2024年Gics尋找資安女婕思競賽報名即將於3月底截止

 

近期資安日報

【3月22日】研究人員公布無限循環的阻斷服務攻擊手法Loop DoS

【3月21日】多組人馬鎖定TeamCity伺服器加密檔案、用於挖礦、部署後門程式

【3月20日】研究人員針對行動應用程式開發平臺Firebase配置不當氾濫的現象提出警告

熱門新聞

Advertisement