本週芬蘭首都赫爾辛基證實教育部門的資料外洩事故,駭客藉由存在已知漏洞的遠端存取伺服器,成功入侵教育部門的網路磁碟,存取大量內部檔案。
至於為何該伺服器尚末修補?有待進一步釐清。對此,針對這起事故發生的原因,他們認為與漏洞修補與裝置管理不力有關。
【攻擊與威脅】
芬蘭首都赫爾辛基市教育部門傳出資料外洩,未經授權人士利用已知漏洞得到網路磁碟存取權限
芬蘭首都赫爾辛基市傳出教育部門遭到入侵的資料外洩事故,攻擊者能夠得逞的原因,竟是存在已知漏洞的遠端存取伺服器,因尚未修補而釀禍。
5月13日赫爾辛基市政府指出,他們在4月30日察覺資料外洩的跡象,隨即展開調查並採取相關防護措施,同時他們也通報了資料外洩監察員、警方,以及隸屬於芬蘭運輸和通訊局(Traficom)的國家網路安全中心。而對於這起事故的受害規模,很有可能影響逾8萬名學生及家長。
除了上述個資,市府人員還發現駭客取得教育部門網路磁碟的存取權限,當中存放了數千萬個檔案,有少部分含有機密資訊,以及敏感的個人資訊。而對於攻擊者入侵的管道,赫爾辛基市表示,是透過遠端存取伺服器的已知漏洞,但為何沒有部署相關修補程式,原因仍不清楚。
波蘭針對俄羅斯駭客APT28的惡意軟體攻擊提出警告,對方濫用雲端測試服務Mocky、Webhook,企圖迴避偵測
上週波蘭電腦緊急應變小組CERT Polska(CSIRT NSK)與CSIRT MON聯手提出警告,俄羅斯駭客APT28針對該國政府機關從事大規模惡意軟體攻擊行動。
對方透過釣魚郵件吸引收信人注意,並點選信中的連結,一旦點選,收信人就會被先重新導向到API測試服務網站run.mocky[.]io,再被引導至Webhook[.]site雲端測試服務,下載ZIP壓縮檔,其內容含有檔名為IMG開頭的執行檔,以及設為隱藏的批次檔及DLL程式庫。
若是收信人啟動執行檔,電腦就會側載駭客的DLL檔案,從而執行批次檔。此批次檔會開啟Edge下載另一個存放在Webhook[.]site的批次檔案,最終擷取惡意酬載並收集受害電腦資訊。
經常協調各國打擊犯罪及網路攻擊行動的歐洲刑警組織(Europol),在上周也成為網路攻擊的受害者,駭客攻陷該組織供全球執法機構分享對抗犯罪的知識及最佳實踐的Europol Platform for Experts(EPE)網站,歐洲刑警組織證實此事。目前的EPE網站仍處於維護狀態。
針對這起事故的攻擊者身分,初始入侵管道掮客IntelBroker聲稱是他們所為,並在駭客論壇BreachForums透露取得多種類似的機密資料。對方宣稱,不只EPE,他們還攻陷歐洲安全聯合中心(CCSE)、網路犯罪專家認證平臺EC3、執法機構論壇Law Enforcement Form,以及供47個國家使用的跨境電子證據系統SIRIUS。
Google Cloud誤刪澳洲大型用戶雲端基礎架構,導致用戶資料遺失與服務中斷
旗下擁有61.5萬會員、負責管理1,240億澳幣(約820億美元)資金的澳洲退休基金Unisuper,於Google Cloud上的雲端基礎設施服務,5月2日因Google Cloud方面的錯誤操作,誤刪用戶的訂閱,導致用戶資料遭到刪除與服務中斷。但值得留意的是,Unisuper最後透過第三方雲端服務商的備份資料,才得以逐步恢復服務。
在雙方於5月7日共同發表的聲明中,Google Cloud執行長Thomas Kurian親自表示,這次服務中斷是一系列前所未有的事件引起,是全球Google Cloud用戶未曾發生過、一次孤立的「獨一無二事件」,這次事故並非惡意行為或網路攻擊造成,而是Google Cloud內部配置錯誤,引發未知的軟體錯誤導致。
其他攻擊與威脅
◆澳洲融資業者Firstmac資料外洩,傳出勒索軟體駭客組織Embargo對其出手
◆攻擊者藉由PyPI套件散布滲透測試框架Sliver,意圖在Mac電腦植入後門
【漏洞與修補】
蘋果針對舊版iOS、iPadOS、macOS作業系統,修補3月公布的零時差漏洞CVE-2024-23296
3月5日蘋果針對零時差漏洞CVE-2024-23296發布公告,並對於執行iOS 17、iPadOS 17、macOS Sonoma的行動裝置與電腦,以及tvOS、watchOS、visionOS等作業系統予以修補,現在該公司也對於執行舊版作業系統的裝置提供修補,並指出該漏洞疑似出現被駭客積極利用的現象。
5月13日他們發布本月份例行更新,並在iOS 16.7.8、iPadOS 16.7.8、macOS Ventura 13.6.7、macOS Monterey 12.7.5當中,納入對於CVE-2024-23296的修補。雖然蘋果並未說明如何發現這項漏洞,也沒有公布通報的研究人員身分,或是透露受害情形,但他們對於執行舊版作業系統的行動裝置與電腦提供修補,並表明他們得知漏洞遭到利用的情形,很有可能是這些裝置也遭到鎖定。
其他攻擊與威脅
◆Citrix針對PuTTY用戶端元件漏洞提出警告,攻擊者有可能竊取虛擬化平臺的SSH金鑰
【資安防禦措施】
今年大型企業的資安戰略開始不一樣,不只要做好資安、強化資安,還要更進一步推動資安轉型。
根據iThome 2024 CIO大調查,強化資安目標,依舊是優先度最高的CIO目標,但是,將這一項列為年度目標的CIO比例,從去年的81%,在今年下滑到72%。不是CIO對資安的重視度下滑了,而是CIO今年開始轉向更進階的資安戰略,也就是要推動資安轉型。今年高達49.8%的企業要推動資安轉型,比去年的3成比例,足足多了快2成。半數企業不再只想延續舊有思維來強化資安,而要更進一步改變資安思維,從過去的被動防禦作法,轉為主動防禦的資安思維,也比過去更積極擁抱零信任架構、推動資安左移等新一代資安作法。
從各產業來看,以政府學校(70.7%)金融業(61.1%)最積極推動資安轉型,這兩個產業對新一代零信任架構的採用意願也是各產業中最積極者。原因在於,行政院這兩年大舉推動政府機關擁抱零信任,金管會也開始鼓勵金融機構採用。
近期資安日報
【5月13日】韓國警方證實法院大量民眾個資遭北韓駭客竊取,近1 TB資料流出但僅有少部分能確認受害者身分
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29