在今年5月的資安新聞中,CYBERSEC 2024臺灣資安大會的舉行是最大焦點,這項邁入第10周年的資安盛會,今年規模不僅再次擴大,首度南港展覽二館全館使用,現場還有集結超過400家國內外資安品牌的CYBERSEC EXPO展區,並有超過300場專業資安演講,都是歷年之最。連續三天的活動更是吸引超過1萬8名資安專業人士與會。

這樣的規模,不僅顯現更多國內企業組織對於資安是越來越重視,也顯示相當多不同資安議題,其實都是大家想要關注並發展的面向,無論是最新的AI資安應用、CMMC國防產業安全供應鏈、PET隱私強化科技的新進展,CISO、藍隊專屬資安議程,還有應用後量子密碼學應對量子破密威脅的未來趨勢。

同時,大會現場還有多個主題活動,不論是這幾年持續協助國內資安產業鏈結亞洲市場與商機的Asia Cyber Channel Summit,以及已經連續多年舉行的臺灣資安館、Cyber Talent資安人才專區,特別的是,今年還增設了全新的AIoT & Hardware Security Summit與展區,呈現出產業資安的另一種層面,帶大家一窺智慧聯網與硬體安全的重要發展。此外,今年還有發起CyberSec Arena資安競技場的活動,讓與會者企業資安人員體驗攻防實戰演練。

資安十年牆,是今年臺灣資安大會的另一賣點,雖然只是擺設在現場一隅,但相當吸引會眾的目光,因為iThome我們整理了最近10年來重要的資安態勢與變化,不只是每年漏洞數量的持續增加,也涵蓋臺灣資安大會本身的演進,以及資安政策標準、資安威脅事件、資安技術發展,臺灣資安產業脈動等各個層面,讓大家可以更清楚我們面對的威脅環境,以及我們在資安上的努力。同時還有資安領域的重量級專家,現身說出這十年來的心得與經驗。

無論如何,資安威脅隨新興技術持續演變,我們的資安防護也必須時時跟上,當然更重要的是,每年有越來越多企業、個人以及政府組織來共同參與,才能讓國內整體資安氛圍變得更加成熟。

特別的是,今年臺灣資安大會上,還有一項令我們印象深刻的網路威脅議題,是關於國家級駭客發動的資訊作戰(Information operations),也就是輿論操弄的網路影響行動(Influence operation),被資安業者掌握證據並揭露

在今年臺灣資安大會舉行首日,第一場主題演說,就是Google Cloud Mandiant專家登場並揭露了中國對臺灣的資訊作戰行動,難得的是,這是該公司副總裁Sandra Joyce親自在臺揭露這方面的最新消息。

由於過往這方面的威脅態勢,資安日報往常多是間接透過研究報告發布取得並匯整,因此這次Sandra Joyce在臺分享這方面的威脅態勢,讓國內的參與者可以更深刻感受到,中共發動大規模資訊作戰的嚴重性。我們也在會後報導本場演說的重點。

之所以需要大家特別重視,這是因為,這些涉及資訊操弄的網路攻擊消息,反映出國際間對於此類網路威脅的重視程度,並且實際將這些網路行動的研究報告與證據公諸於外界,但回過來看看臺灣自身,對於這些網路攻擊帶來的危害,國內在意識與認知上,仍然有很大的落差。

例如,對於國內民眾而言,雖然大家早已體認到網傳不實資訊所帶來的問題,但國人對於網路資訊的分辨能力,仍有待提升,尤其是對於中俄政府資助的駭客組織、行銷公司發動這類網路攻擊的實際威脅態勢,依然有著這方面的資訊斷層,這也就成為一大挑戰。

Google在臺揭露中國對臺發動資訊作戰

關於網路影響行動(Influence operation)的威脅,近年越來越受到資安領域的重視,尤其是不少資安業者提出證據,指出由國家支持的駭客組織,持續對境外發起這些網路行動。

在這次Google Cloud Mandiant副總裁Sandra Joyce的主題演說中,她不只是介紹最新網路威脅態勢,包括零時差利用攻擊、寄生攻擊手法(Living Off-the-Land)的態勢,他更強調國家級駭客的資訊作戰威脅,是許多國家都在面對的嚴峻挑戰,不只是美國成為攻擊目標,臺灣也是。

Sandra Joyce特別以5年前就密切追蹤中國駭客組織Dragonbridge為例,說明已被實際確認的網路攻擊活動。以該組織針對臺灣的最新一起行動而言,就是針對我國年初2024總統大選而來,Dragonbridge在網路上試圖汙名化一些公眾人物,指控美國與臺灣串通灌票,還有針對年輕人投票並夾帶批評特定政黨的內容,利用許多不同議題來發動資訊作戰。Sandra Joyce指出,單以污衊臺灣總統蔡英文的行動而言,就有散布蔡英文秘史的內容、接著散布私生子相關消息, 然後再散布政府告密者的消息。

而在此之前,該組織還發動了多項行動,例如,2019年Dragonbridge針對香港社會議題,在網路上大量污衊香港抗議者的名譽,並批評民主支持者;2022年7月底,該組織針對美國聯邦眾議院議長裴洛西可能訪臺消息,在網路上散布裴洛西與其家人及財物批評的消息;2022年8月,該組織又針對中國人民解放軍在臺灣周邊演習,在網路上發布解放軍形象宣傳片,以及呼籲臺灣總統與其政治盟友投降的影片。

上述這些,還只是中國政府支持單一個組織的活動,就有如此多項行動在試圖干擾著臺灣,吸引好事之徒支持並轉傳。

事實上,近年來我們不只Google強調這樣的網路威脅,需要全球重視,需要臺灣重視,還有微軟,他們也近年時常揭露這方面的報告,指出這類網路影響行動的威脅態勢加劇。

今年初我們也有看到,包括南韓國家網路安全中心(NCSC)、義大利媒體Il Foglio、加拿大公民實驗室,曾揭露有冒充當地新聞媒體的網站,會特意宣傳親中內容,最後發現,這些網站都與一家中國政府支持的公關公司有關。

多國駭客試圖濫用OpenAI服務來協助網路影響行動

接著,5月底還有一則關於網路影響行動的重要新聞,是OpenAI揭露俄羅斯、中國、伊朗、以色列駭客試圖濫用該公司服務,目的是利用生成式AI技術來提升網路影響行動的內容,包括產生多種語言的簡短評論與長篇內容,為社交媒體編造姓名與簡介帳戶,以及翻譯與校對文字,還有開源研究、程式碼調校等。這些網路攻擊所針對的主題包括:涉及烏克蘭戰爭、加薩衝突、印度選舉、歐美政治,以及異議人士對中國政府的批評等議題。

這項消息,雖然資安日報已有整理概況,但從OpenAI報告中我們可以看到更多細節資訊,以下舉出兩例:

例如,他們命名為Bad Grammar的俄羅斯駭客,主要散布管道是在Telegram,攻擊目標為烏克蘭、摩爾多瓦、波羅的海國家和美國。這群駭客會使用OpenAI服務來調校Telegram機器人的程式碼,也會用於產生俄語、英語簡短的政治評論,並在Telegram上發布這些內容。

另一個被命名為Spamouflage的中國駭客組織,則是使用OpenAI服務來言就公共社交媒體活動,並產生中文、英文、日文、韓文等內容,並將這些內容發布在社群平臺X,以及部落格平臺Medium、Blogspot,同時也會用於調校資料庫與網站程式碼。

這也顯示發動這些網路影響行動的攻擊者,已在積極利用生成式AI技術,以產生更適應當地民情、語言習慣的內容,以變更輕易地在網路世界的另一端對其他國家發起輿論操弄。

需要每個人、企業、政府共同來面對,個人對於網路資訊必須更有零信任的態度

基本上,關於輿論操弄的網路影響行動,是指通過欺騙與操弄方式,利用資訊來影響人們的信念或行為的一系列網路行動。如今,網路影響行動和網路行動之間的界線可能模糊,因為這兩者經常重疊。

這就有如網路詐騙問題一般,國人知道問題嚴重,雖然十多年前至今持續有相關宣導與剖析,但實際現況就是,仍有一些人不會直接去關注相關消息,通常看過電影小說情節、聽過朋友的經歷,甚至是被詐騙過才知道網路上早就很多人分享。

但現在的好處是,有越來越多人勇於分享經驗,讓更多還不知道的人,可以意識到自己尚未注意的最新情資或歷史教訓。

綜觀上述兩起新聞,其實也反映資安界在看待網路威脅態勢時,如今對於這類網路影響行動是更加重視,因為,這影響者現代經常瀏覽網路資訊的每個人。

以臺灣民眾而言,在國人常用的即時通訊LINE與社交平臺臉書上,大家可能也會有所感受,像是突然冒出的YT頻道、FB粉專,突然同時會散布一樣論調、抹黑或不站在我國立場的影片或文字內容,還有一個大家可能忽略的是,影片與貼文底下的留言可能也是網路影響行動的目標,混雜在一般民眾公開自由討論的內容中,推波助瀾的挑起對立讓大家不去思考與查證。

當然,個人如何應對是一個面向,國家如何應對也是一個面向,近期臺灣也有人在呼籲要重視此一議題。

例如,今年5月資安大會期間,身為臺灣駭客協會理事、同時也是元智大學資訊管理學系助理教授王仁甫,他在臺灣資安大會期間分享資安十年的感想與建議中,就特別強調:「隨著境外敵對勢力運用AI技術,將網路戰升級為資訊混合戰,資安防守範圍,也擴展至防詐騙及阻擋認知作戰,故台灣仍須要立資訊服務法、AI 法規、6G應用法規,及修調資安管理法、個資法等相關法規,加大給予大學研究經費支持,連結資安產業技術,共同培育資安跨領域人才量能,及提供國內自主研發資安產業發展基金,加速該產業研發量能,以擴展國際品牌及通路,故期待政府盡速研擬資安即國安3.0戰略,提出防護智慧台灣的完整資安藍圖。」

因此我們可以想見的是,這樣的威脅,其實是需要我們每個人、企業、政府都來共同來面對,光靠政府、光靠每個人都並不足夠。

這是因為,在民主開放世界,攻擊者卻是大量濫用合法的管道在發起網路影響行動。我們日常使用的通訊軟體、社群平臺來分享資訊,還有閱讀影音平臺、部落格網站的資訊,現在攻擊者就在全球另一端去利用這些合法管道,來試圖達到操弄與影響的目的。

因此大家可以想像,身為全球性平臺的企業要如何因應,限制太鬆被大加抨擊詐騙、不實訊息氾濫,限制太嚴被民眾抨擊共產專制,從現況來看,頂多兒少保護方面會以最嚴苛的方式來審核,或是證據十足的集體串聯網路行動會被下架。

目前全球政府同樣面對這樣的問題,我們也沒有看到更好的因應做法,即便是各國政府想要監管網路世界,同樣會受到不同意見的討論,不過大家也都在設法防範問題擴大,試圖緩解。

也就是說,大家或許也要清楚一件事,在開放的環境下,不可能會有百分百乾淨的網路空間,因此,每個人對於網路資訊的真偽、網路身分的真偽,應該也都要有零信任的態度。然後大家才能共同面對,不論是每個人、企業、政府都有自己該努力的面向。

 

【資安週報】2024年4月29日到5月3日

這一星期的漏洞消息中,GitLab在1月初修補的已知漏洞CVE-2023-7028最要留意,因為近期確定了攻擊者正開始鎖定利用的情況。

還有WordPress Automatic Plugin在兩個月前修補CVSS風險評分9.9分的漏洞CVE-2024-27956,由於近期發現攻擊者正試圖積極利用這項漏洞接管網站,也引發研究人員示警。

關於其他重要漏洞修補,包括:HPE Aruba Networking的4月資安公告中修補了4個重大漏洞,Brocade修補SAN管理軟體多個漏洞,以及程式語言R開發團隊修補1項高風險漏洞。

在資安事件方面,這一星期有多起資安事故成為焦點,不只Dropbox向美國證交所(SEC)通報重大資安事故受關注,還有加拿大藥局與瑞典物流業者遭勒索攻擊,導致服務或供應中斷的事件。
●Dropbox揭露旗下Dropbox Sign數位簽章方案(原為HelloSign)遭駭,有部分用戶的金鑰及MFA驗證資訊遭存取,曾接收簽章文件的電子郵件信箱恐也外洩。
●加拿大連鎖藥局London Drugs遭遇網路攻擊,導致門市被迫暫停營業。新的後續是,當地80多家門市受影響,並在關閉6天後正逐步開放重新營業
●瑞典物流業者Skanlog傳出遭遇勒索軟體攻擊,由於該物流與當地國營酒類專賣局Systembolaget合作,因此衝擊到當地酒品的供應,預估影響15%銷售額。
●福斯汽車傳出資料外洩,駭客疑似竊得逾1.9萬份涉及智慧財產權的機密資料。

在威脅態勢上,我們認為有2項消息需要特別重視,當中涉及了關鍵CI的攻擊態勢,以及網釣威脅的現況。我們整理如下:

(一)前幾個月美國各地不時傳出水力設施等關鍵CI遭攻擊的情況,最近美、加、英等7國網路安全機構聯手發布這方面的警告,當中說明駭客使用3種技術手法以遠端存取HMI,並對底層OT進行更改,例如:透過VNC通訊協定,濫用VNC的RFB遠端框架緩衝協定登入,以及利用5900埠的VNC。另也呼籲這些關鍵CI組織,應限制OT系統曝光於網際網路,並對所有存取OT網路的途徑實施MFA。

(二)近期有資安業者揭露,近半年來假冒美國郵局的詐騙簡訊不斷,研究人員進而盤查仿冒美國郵件的網站,發現有68萬個網站帶有USPS字樣,顯然是為了混淆用戶而來,他們並從用戶的DNS查詢量發現,竟有49%都被導向釣魚網站,這突顯了網域名稱搶註、網釣攻擊仍泛濫的現象。

另一值得注意的是,思科一個多月前指出,發現7個廠牌的設備或服務遭大規模暴力破解攻擊,如今Okta也表示,發現針對客戶的帳號填充攻擊在4月底呈現大幅增加的情況,並且都是濫用基於合法裝置而成的代理伺服器來發起攻擊。

至於其他最新惡意活動的揭露,本星期的焦點還包括:殭屍網路Goldoon持續鎖定老舊無線路由器,惡意程式Cuttlefish鎖定小型路由器並具備零點擊攻擊能力,以及攻擊者濫用Docker Hub映像檔儲存庫出現新手法。

在資安防護方面,國際間有一個重要新聞,英國產品安全暨電信基礎設施法PSTI Act於4月29日正式施行,當中明訂消費性IoT產品在出廠時,不得採用弱密碼或常見預設密碼,此舉也使英國成為全球首個強制在全國境內推動這項要求的國家。

國內也有兩則消息,分別是:GiCS尋找資安女婕思的資安競賽活動今年第四度舉辦,以及金管會宣布對於設置資安長的要求將擴及電支機構,預計街口支付、一卡通、全支付、悠遊卡這4大業者將在首波範圍之內。

至於技術層面,誘餌檔案的應用也越來越常見於資安防護,最近也有儲存系統廠商宣布,針對勒索軟體保護功能新增誘餌檔案(Decoy files)方式,以偵測攻擊者的非法存取行為。

 

【資安週報】2024年5月6日到5月10日

這一星期的漏洞消息,以Google接獲匿名研究人員通報,緊急修補Chrome已遭利用零時差漏洞CVE-2024-4671最受關注,該漏洞可讓遠端攻擊者透過特製的HTML頁面來規避沙箱偵測。

其他重要漏洞修補動向,包括特權管理系統Delinea Secret Server的漏洞修補,F5針對BIG-IP Next集中控管系統的漏洞修補,以及Google發布5月Android例行更新。

此外,還有兩項涉及VPN與CPU的漏洞與攻擊手法揭露,包括:可迫使用戶流量離開VPN通道保護的漏洞攻擊手法TunnelVision,以及CPU推測執行漏洞攻擊新手法Pathfinder。

在資安事件焦點方面,國際間有多起攻擊事件揭露,當中不少是涉及政府與醫療單位,格外引發關注。我們整理如下:
●最近波蘭政府機關遭惡意軟體攻擊,荷蘭國家研究院近日指出,比對過往的資安事故,是受到俄羅斯駭客APT28攻擊。
●德國政府、捷克外交部5月初相繼發布公告,指出去年有駭客利用Outlook漏洞對他們兩國企業組織下手,其攻擊者是俄羅斯駭客APT28所為。
●美國非營利醫療保健系統之一Ascension遭網路攻擊,將部分系統關閉因應。
●多明尼加傳出資料外洩,82萬人COVID-19疫苗接種資訊被兜售於駭客論壇。

此外,這幾年來臺灣民眾經常遭受詐騙簡訊,國際間同樣也持續傳出遭遇這類問題。例如,近日荷蘭政府示警,有當地民眾接獲詐騙簡訊,假冒金融業者名義向銀行用戶聲稱帳號異常或債務繳款,再向回應的民眾騙稱這是詐騙,需下載防毒App,以在安卓手機植入惡意程式,進而洗劫用戶網路銀行帳戶。

在威脅態勢上,我們認為,針對API的濫用行為最需要重視,這星期有兩起事件與API濫用相關。

(一)Dell資安事件疑外洩近5千萬用戶資訊,後續傳出攻擊者是藉由Dell提供的合作夥伴入口網站,濫用Dell網站API,加上Dell 系統未設定流量限制,進而得以蒐集網站回傳的用戶資料。

(二)有資安業者指出越來越多駭客在攻擊行動中,不只濫用微軟合法服務如OneDrive來架設C2伺服器,也利用微軟圖學資料分析服務Graph的API來進行惡意通訊。

還有上述提及Delinea的漏洞修補,涉及的是PAM產品Secret Server的SOAP API漏洞。

至於防禦態勢上,5月有不少國際級資安會展,除了美國RSA大會在5月6日到9日舉行,在國內,也有臺灣資安大會將於5月14日到16日於南港展覽館二館登場。

還有一個DNS層面的資安技術趨勢,是微軟最近宣布推出零信任DNS(ZTDNS)技術私人預覽版,目標是讓Windows電腦只能連結受信任的網域。

 

【資安週報】2024年5月13日到5月17日

在這一星期的漏洞消息中,以微軟與Google的5個零時差漏洞修補最受關注,並有4個是修補釋出前已發現遭鎖定利用。

(一)微軟發布5月例行安全更新,修補60個漏洞中有3個零時差漏洞,其中MSHTML平臺安全功能繞過的CVE-2024-30040,以及涉及桌面視窗管理員(DWM)核心程式庫權限提升的CVE-2024-30051,這兩個漏洞已被用於攻擊行動。

(二)Google這一周又再修補兩個已遭利用、存在於JavaScript引擎V8的零時差漏洞,分別是:記憶體越界寫入漏洞CVE-2024-4761以及,類型混淆漏洞CVE-2024-4947。短短7天內,Google已修補3個零時差漏洞。

(三)D-Link旗下老舊路由器有兩個漏洞CVE-2021-40655、CVE-2014-100005,被美國CISA在5月16日列入已知漏洞利用清單,這也顯示產品壽命結束的產品仍持續遭攻擊者鎖定利用。

還有多家IT廠商的每月例行安全更新修補發布,包括微軟、SAP、Adobe,Intel,以及西門子、施耐德電機、三菱電機、江森自控、Rockwell等,其他重要漏洞修補動向,包括:開源網路效能及配置管理框架Cacti,以及VMware、HP Aruba Networking、Cinterion。

在資安新聞焦點方面,本周適逢2024 CYBERSEC臺灣資安大會舉行,今年是第十屆,舉辦規模更盛大,持續成為企業增進攻防新知,資安產業技術交流、拓展商機的專業平臺,受到政府、資安產業與廣泛企業的重視。

例如,總統蔡英文第6度出席大會並在開幕典禮致詞,說明政府將持續建立防禦機制、加強研發能量、積極培育人才,以提升國家數位韌性,並感謝長期對資安領域用心付出的大家。

在520接任總統的賴清德,也在2024臺灣資安大會的第二天,率領新政府與資安發展相關的主管一同到場,共同關心臺灣資安產業的發展,他向大家承諾,新政府仍將繼續支持資安產業發展。

此外,為了加速因應量子破密威脅,數位發展部數位產業署也在2024臺灣資安大會第三天的活動,宣布「後量子資安產業聯盟」成立,希望建立強健的公私夥伴關係,加速我國後量子資安產業的發展,並確保臺灣具有後量子密碼準備能力。

在資安威脅態勢方面,國際上有不少政府遭受網路攻擊的揭露,並有多起涉及半導體、金融、醫藥產業的企業資安事件,受到資安界重視。我們整理如下:

●韓國警察廳國家搜查本部在13日發出聲明,指出發現北韓駭客曾入侵該國法院長達兩年,大量民眾個資與詳細金融資料竊取,因為這些文件包含自述書、破產報告、結婚證書、醫療證明文件等。
●Google Cloud Mandiant Intelligence副總裁Sandra Joyce在臺灣資安大會主題演說中指出,中國駭客Dragonbridge對臺發起最新一波的Information Operations網路攻擊,是圍繞2024年1月臺灣總統大選而來。
●歐洲刑警組織證實入口網站遭駭,對方聲稱竊得員工資訊、原始碼、內部機密文件,由於該組織經常協調各國打擊網路犯罪,此事件也突顯駭客越來越囂張。
●芬蘭首都赫爾辛基市公布教育部門因存在已知漏洞未修補而遭入侵,導致上萬學生家長發生個資外洩事故。

●國內又有半導體產業遭網路攻擊,臺灣上櫃公司逸昌科技發布資安事件重大訊息,說明發現網路傳輸異常,部份伺服器遭受駭客攻擊。
●金融領域在全球有兩大事件發生,一是桑坦德銀行因第三方供應商遭駭的資料外洩事件,由於影響智利、西班牙、烏拉圭客戶而備受關注;另一是匯豐、巴克萊銀行傳出遭初始入侵管道掮客聲稱竊得其資料庫、原始碼等敏感資料。
●澳洲電子處方箋業者MediSecure遭遇供應鏈攻擊,駭客加密檔案導致網站服務與電話中斷。

此外,還有一個值得關注的威脅態勢,是Black Basta勒索軟體攻擊者近期發起的社交工程攻擊活動,正鎖定採用MDR的客戶而來,攻擊者先是利用寄發大量垃圾信件讓郵件安全防護方案失靈,然後再假冒技術人員致電表明提供協助,要求使用者部署遠端管理工具,或啟動Windows內建遠端協助工具「快速助手(Quick Assist)」,進而對目標電腦進行控制。

在資安防禦動向上,還有我國行政院5月9日通過打詐專法「詐欺犯罪危害防制條例」的消息,這是針對網路廣告平臺應盡防詐義務的重要規範,涵蓋對象包括網路廣告平臺、電商業者、第三方支付業者、網路連線遊戲業者,當中並有5大重點,包括:境外業者提報法律代表,廣告中應揭露必要資訊,建立防詐管理措施,處理與通報詐欺廣告,以及配合檢警調或目的事業主管機關下架詐欺資訊。

 

【資安週報】2024年5月20日到5月24日

在這一星期漏洞消息中,有兩個已知漏洞利用情形需優先關注,包括2021年初修補的Apache Flink漏洞CVE-2020-17519,以及2023年修補的NextGen Healthcare Mirth Connect(醫療保健資料整合平臺)漏洞CVE-2023-43208,最近美CISA已確認有攻擊者鎖定利用的情形。

本期日報提及的重要漏洞修補動向,包括Git、GitLab、GitHub,以及Veeam與威聯通NAS的漏洞修補。特別的是,還有兩項修補與AI相關,包括Python套件llama_cpp_python修補一重大漏洞,研究人員揭露此一名為Llama Drama的漏洞恐導致系統資料外流,而在Intel的5月例行安全更新中,亦修補一項存在於AI模型壓縮工具Neural Compressor的重大漏洞。

在威脅態勢焦點上,這一星期有多起網路攻擊事件揭露與中國駭客鎖定攻擊有關,攻擊目標涵蓋歐洲、美洲與南海多國,我們整理如下:

●南海各國政府高層接連遭中國駭客組織Unfading Sea Haze鎖定攻擊,資安業者Bitdefender已確認至少有8個軍事單位與政府機關受害,而調查相關攻擊行動顯示駭客已暗中活動超過5年。
●義大利企業遭中國駭客組織APT41鎖定,被部署名為KeyPlug的後門程式,資安業者將其手法與今年2月中國資安業者安洵流出資料比對,發現文件所提Hector的RAT木馬程式,很可能就是本次調查的KeyPlug。
●美國AI專家遭鎖定,攻擊者對其散布惡意程式SugarGh0st RAT,資安業者Proofpoint指出這起攻擊行動鎖定目標不到10人,極具針對性。由於5月初傳出美國政府有意限制中國存取生成式AI服務,不排除攻擊者與中國有所關連。

其他攻擊手法與態勢,我們認為近期有2類型的攻擊活動可多加留意,包括利用非法代理伺服器、濫用Foxit PDF Reader與PuTTY等多款知名工具的現況。

●駭客藉由代理伺服器服務(Residential Proxy)從事攻擊的情況增加,最新發現是中國駭客利用非法代理伺服器ORB網路隱藏連線行蹤。
●Foxit PDF Reader用戶近期遭攻擊行動鎖定,駭客是利用使用者經常未詳細檢視彈出式對話框內容等方式,針對其用戶散布包含惡意的PDF文件。
●又有攻擊者透過惡意廣告聲稱提供PuTTY、WinSCP等知名工具,顯然這樣的攻擊行動是鎖定企業對企業組織的系統管理員而來。

在資安防禦態勢上,臺灣資安大會的新聞仍是最大焦點,不僅揭露國內最新發展,像是我國金管會資安推動與政府零信任架構推動現況,也有最新國際動向解析,包括最新歐盟重要資安法規(NIS 2、DORA、網路韌性法)趨勢,荷蘭網路威脅態勢與防護經驗等。

另外,在打擊網路詐騙領域最近一連有兩起重要消息,一是Tinder母公司Match Group,社交平臺Meta與Coinbase等多家加密貨幣交易平臺連首宣布成立Tech Against Scams聯盟,聚焦打擊網路愛情詐騙與殺豬騙局;一是臺灣防詐及資安公司Gogolook(走著瞧-創)舉行重大訊息記者會,宣布董事會通過1.56億元併購荷蘭的數位防詐服務商ScamAdviser,期待進一步深入走進企業防詐服務,以及跨入歐美市場。

 

【資安週報】2024年5月27日到5月31日

這一星期有4個漏洞利用狀況需特別關注,其中有3個是零時差漏洞利用,包括包括Check Point修補旗下Quantum Security Gateway的CVE-2024-24919,以及Google修補5月第四個已遭利用的Chrome漏洞CVE-2024-5274,還有一個較為特別,是JAVS法庭錄影軟體被揭露遭遇供應鏈攻擊,隨後該產品的漏洞CVE-2024-4978也被美CISA列入已知漏洞利用清單。

此外,另一個今年初已修補的Linux Kernel漏洞CVE-2024-1086,美CISA最近也確認出現遭鎖定利用的情形。

其他重要漏洞修補消息,包括Mozilla基金會修補Firefox中PDF檢視元件(PDF.js)的漏洞,TP-Link修補C5400X路由器重大層級漏洞,近期還有9個WordPress外掛程式的漏洞修補要注意,新加坡網路安全局特別對此提出警告。

在資安事件焦點方面,國內外各有兩則重要消息,均與個資外洩有關,我們整理如下:
●臺灣電腦硬體製造商「Cooler Master」傳出50萬會員個資外洩的消息,有駭客向國外媒體聲稱竊得該公司103 GB的內部資料。
●台名保險經紀人公司發布重大訊息,公布遭遇供應鏈攻擊及資料竊取的資安事件,導致發生個資外洩。
●美國售票平臺Ticketmaster遭駭客入侵,5.6億客戶資料流入暗網,駭客集團Shiny Hunters宣稱是他們所為。
●英國精品拍賣業者佳士得(Christie's)遭勒索軟體駭客組織RansomHub攻擊,50萬筆客戶個資可能外流。

以臺灣本身這一星期的資安事件而言,我們還發現關於Hunters International勒索軟體攻擊臺灣企業的情資,與國內上市電子零組件業佳必琪(JPC Connectivity)有關,攻擊者在5月下旬聲稱取得439.5 GB資料,但該公司至今尚未回應我們的詢問,因此仍有待該公司說明。

在威脅態勢上,我們認為2項消息需要特別重視,包括鎖定政府的網路間諜攻擊,鎖定網路設備的殭屍網路攻擊。
●中國APT駭客TGR-STA-0043這一年半鎖定中東、非洲、亞洲政府組織下手被資安業者Palo Alto Networks揭露,至少7個政府單位被長期滲透,其後門程式包括用Gh0st RAT打造的TunnelSpecter、SweetSpecter。
●殭屍網路CatDDoS鎖定思科、D-Link、居易、華為、瑞昱、Totolink、TP-Link、中興、Zyxel等多家網路設備商,中國資安業者奇安信警告,攻擊者除了利用80多個已知漏洞,並推測可能有零時差漏洞。

其他可留意的威脅活動,包括:身分驗證解決方案業者Okta針對帳號填充攻擊提出警告,以及Chalubo遠端存取木馬攻擊活動的揭露,造成一家美國ISP業者提供的路由器在去年被攻擊而無法使用,逾60萬裝置受影響。

至於防護態勢方面,國內有一個重要新聞,近日臺灣證券交易所針對資安重訊發布規範有新調整,在5月24日已放寬「重大性標準」,擴大揭露範圍,對於上市公司而言,現在遭駭後,不論是否涉及核心、機密都要發布重訊。

還有一個國內企業可省思的議題,是關於郵件社交工程演練,Google專家近期撰文指出,這類演練的負面效果可能多過好處,而且實施多年來,會上當的人仍然持續上當。因此他們認為,教育員工辨識與主動回報更重要,而演練也應預先公告,如防災演練一般,而不是突襲測試,如此的長期效果可能會更好。

 

2024年4月資安月報

2024年3月資安月報

2024年2月資安月報

2024年1月資安月報

2023年12月資安月報

2023年11月資安月報

 

熱門新聞

Advertisement