去年互動式BI系統Qlik Sense修補多個已知漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365,事隔2個月傳出駭客組織鎖定尚未修補的伺服器下手,對其植入勒索軟體Cactus加密檔案。事隔5個月,這波攻擊的態勢並未趨緩,但仍有不少伺服器仍未套用更新軟體而曝險。

資安業者Fox-IT指出,截至今年4月17日,曝露於網際網路上的Qlik Sense伺服器超過6成存在前述漏洞,且已有超過100臺伺服器遭到入侵。

 

【攻擊與威脅】

互動式BI系統Qlik Sense遭勒索軟體Cactus攻擊,3千多臺伺服器曝險

去年8月底互動式BI系統Qlik Sense修補被稱為ZeroQlik的兩項漏洞,分別是HTTP隧道漏洞CVE-2023-41265,以及路徑穿越漏洞CVE-2023-41266,CVSS風險評分為9.6、8.2分。

隔月,該公司再度公布名為DoubleQlik的漏洞,此為繞過針對上述漏洞修補程式的弱點,並被登記CVE-2023-48365,CVSS風險評為9.6。近日研究人員提出警告,自11月勒索軟體駭客Cactus利用上述漏洞發動攻擊,迄今至少已有100臺伺服器被攻入,但令人憂心的是,這些漏洞仍有超過3千臺伺服器尚未修補,而可能成為對方下手的對象。

上週資安業者Fox-IT指出,他們在4月17日於網際網路上找到5,205臺Qlik Sense伺服器,其中有3,143臺尚未修補上述漏洞而曝險,這些伺服器位於美國的數量最多,有396臺,其次是義大利、巴西、荷蘭,分別有260臺、244臺、241臺。

研究人員揭露PlugX惡意程式攻擊行動,半年針對170個國家、近250萬臺電腦下手

去年3月資安業者Sophos發現專門鎖定USB裝置的惡意程式PlugX變種,有其他研究人員進一步進行追蹤,並公布相關細節。資安業者Sekoia根據上述的調查結果,買下對方曾經使用的C2網域進行研究,結果發現他們每天會從超過170個國家的受害電腦,收到約9萬至10萬次的請求。截至目前為止,他們總共看到2,495,297個試圖與C2網域進行互動的IP位址。

研究人員指出,逾8成受害電腦集中於15個國家,其中最多的是奈及利亞、印度、中國、伊朗、印尼。根據受害的國家來看,有不少是發生在參與中國一帶一路基礎設施發展的合作國家,因此研究人員推測,這波攻擊行動的目的,是在收集各國對於一帶一路相關策略及安全相關的情資,主要是為了中國海洋及經濟層面的利益。

中東政府遭到後門程式CR4T鎖定,老牌檔案管理共享軟體Total Commander安裝檔遭改裝夾帶惡意程式下載器

資安業者卡巴斯基揭露名為DuneQuixote的攻擊行動,他們在今年2月察覺此事,對方針對中東政府機關而來,意圖於網路環境部署後門程式CR4T。

研究人員總共看到攻擊者使用超過30個惡意程式下載工具,並指出而這些軟體大致可區分兩種類型,其中一種是透過老牌檔案管理工具Total Commander的安裝程式挾帶,而引起研究人員的關注。

北韓駭客Kimsuky濫用生成式AI從事網路間諜行動

微軟針對北韓駭客組織濫用大型語言模型(LLM)及生成式AI工具的情況提出警告,對方藉此讓攻擊危害更為顯著、效率更為提升。

該公司與OpenAI的研究人員發現,北韓駭客組織Kimsuky(亦稱Emerald Sleet、TA427)在鎖定韓國專家從事魚叉式網路釣魚攻擊行動時,就利用LLM來強化效果。再者,他們也發現這些駭客利用LLM來研究漏洞,或是對於專門研究北韓事務的專家及組織從事偵察工作。

群光電子遭駭事故傳出後續,對方聲稱取得SpaceX相關檔案,該公司表示為非機密資料

4月15日勒索軟體駭客組織Hunters International聲稱攻擊臺灣電腦周邊產品大廠群光電子(Chicony Electronics),竊得1.2 TB內部資料,引起國內媒體廣泛報導,21日群光發布重大訊息針對此事提出說明,強調這起事故無個資及機密文件資料外洩,事隔一週,又出現新的發展。

27日駭客釋出竊得資料,當中包含運動攝影機廠商GoPro產品的資料,以及太空科技公司SpaceX的相關資料,資安專家Dominic Alvieri在社群網站X標註創辦人馬斯克,要讓該公司留意此事。對此,群光再度發布重大訊息,指出駭客公布的都是已經量產、市面上可買得到的產品資料,並非機密。

針對京鼎1月遭駭,證交所指出該公司延遲發布重大訊息開罰

今年1月鴻海集團旗下半導體設備大廠京鼎遭網路攻擊,駭客當時曾罕見竄改該公司網站首頁而引起軒然大波,近期出現新的進展。4月26日證券交易所指出,因該公司延遲發布重大訊息,他們根據相關規定開罰10萬元。

證交所指出,他們發現京鼎的內部控制制度設計及執行,以及對子公司之監督與管理未依「公開發行公司建立內部控制制度處理準則」第5條、第11條、第38條規定辦理的情況。再者,京鼎美國子公司於2024年1月8日,發生駭客攻擊伺服器及加密文檔事件,經查符合證交所「對有價證券上市公司重大訊息之查證暨公開處理程序」第4條第1項第26款之情事。證交所指出,京鼎公司延遲輸入公開資訊觀測站重大訊息畫面。

員警涉嫌內神通外鬼,查詢165反詐騙平臺示警銀行帳號,將相關資料洩露給詐騙集團

新北市警局傳出有員警涉嫌查詢特定帳戶資訊,並提供犯罪集團濫用的情況。近期檢警追查某起案件時,意外發現36歲新北市新莊分局丹鳳派出所員警王晟育涉案,且疑似收賄。

這名員警於2021年7月至2022年12月底,利用派出所內公務電腦,登入內政部警政署警政知識聯網系統,存取165反詐騙系統平臺,查詢警示帳戶通報情形、受理案號,以及被害人姓名、銀行帳號等資料。接著,該名員警利用即時通訊軟體,將上述資料傳送新莊裕民里前里長曾榆期,該名前里長再提供給詐騙集團,目的是讓對方了解被害者是否報案,他們的銀行帳號是否遭到警示或是凍結。這些被流出的個資,至少有24筆。

其他攻擊與威脅

鎖定Okta用戶的帳號填充攻擊爆增

金融木馬Brokewell挾持安卓裝置,從而竊取機敏資料

研究人員揭露佯稱提供職缺的攻擊行動Dev Popper,意圖在開發人員電腦植入Python後門

其他漏洞與修補

逾1,400臺CruchFTP檔案共享伺服器尚未修補CVE-2024-4040

WordPress自動化內容匯入外掛程式存在危急漏洞,攻擊者有機會得到管理者權限並植入後門

 

【資安產業動態】

Commvault併購雲端災難復原軟體新創廠商Appranix

長期經營備份與災難復原領域的廠商Commvault,宣布併購雲端災難復原軟體廠商Appranix,藉此更新雲端服務基礎架構。

Appranix是成立於2016年的雲端原生復原軟體廠商,可藉由快照與公有雲儲存資源,為公有雲平臺應用程式提供保護,在雲端應用程式遭遇災害或攻擊而中斷時,幫助用戶迅速恢復應用程式運行,可支援AWS、Azure與Google Cloud等主要公有雲平臺。

Commvault自身也有基於Commvault Cloud的雲端災難復原服務,而透過併購Appranix,將能藉由整合後者的產品,擴展與更新Commvault Cloud的基礎技術架構,強化災難復原服務能力。

 

近期資安日報

【4月26日】駭客鎖定網管人員散布後門程式MadMxShell,意圖取得入侵企業組織的管道

【4月25日】思科證實防火牆零時差漏洞遭國家級駭客利用,於政府機關植入後門程式

【4月24日】北韓雲端伺服器傳出組態不當,曝露間接承攬美國多家影音平臺外包動畫製作的情況

熱門新聞

Advertisement