在這一星期的資安新聞中,有兩起資安事件引發關注,國內有華碩電腦發布資安重訊,說明因資訊系統的參數設定不當,使該公司產品資料發生不慎曝光的情況;國外則是勒索軟體LockBit聲稱入侵美國聯準會,不過,根據駭客目前釋出的資料,有資安業者指出這批資料實際應來自一家美國金融機構。

在資安威脅態勢上,中國駭客組織RedJuliett近期鎖定我國75個企業組織攻擊的消息,令人擔憂。資安業者Recorded Future指出,該組織主要從事情報蒐集行動,在去年11月至今年4月間,這群駭客針對的目標包括:臺灣的科技產業、外交機構,還有8所大學、11個政府機關,以及媒體、慈善機構、NGO等社會運動團體。該組織使用哪些攻擊手法?包含:以devilzShell、AntSword等開源Web Shell從事後期行動,以及利用SoftEther VPN存取目標基礎設施。

在其他威脅態勢上,我們認為有5個消息值得留意,包含軟體供應鏈攻擊、後門程式部署,以及勒索軟體與殭屍網路的最新動向,我們整理如下:
●前端開發人員注意!知名的Polyfill程式庫polyfill.io在今年2月賣給一家中國CDN業者後,有資安業者發現新版本已被嵌入惡意程式,需儘速移除。
●網站管理者請提高警覺!須留心駭客組織Boolka隨機對全球網站發動SQL注入攻擊的情形,目的是針對瀏覽這些網站的使用者電腦,植入木馬程式Bmanger。
●有資安業者揭露亞洲一國的多家電信業者遭植入後門,並說明該攻擊活動使用的工具與多個中國駭客組織有關,並表示這樁攻擊最早可追溯至2021年。
●今年新竄起的勒索軟體RansomHub,最近有研究人員指出該組織不只針對Windows、Linux電腦下手,也鎖定VMware ESXi虛擬化環境攻擊。
●對於去年7月興起的殭屍網路P2PInfect,最近研究人員發現駭客針對綁架電腦的病毒,增加勒索軟體功能。

在漏洞消息方面,這星期有3個已知漏洞被美國CISA列入已知漏洞利用清單,分別是2020年Roundcube Webmail修補的漏洞(CVE-2020-13965),以及2022年Linux Kernel修補的漏洞(CVE-2022-2586),GeoSolutionsGroup修補JAI-EXT的漏洞(CVE-2022-24816),需要限時確認修補。

其中的CVE-2022-24816漏洞不容小覷,因為它影響發布地理空間資訊的GeoServer開源專案,並顯示目前正被積極利用,這讓我們聯想到資安業者中芯數據今年5月示警,當時指出我國GIS系統與相關單位遭中國駭客組織攻擊,該公司研判攻擊目的是不斷試圖情搜本國地理資訊。雖然上述兩件事不一定彼此相關,但也突顯地理資訊系統已成為駭客攻擊的目標。

還有Phoenix UEFI韌體存在高風險漏洞(CVE-2024-0762)的消息,登上iThome網站當週最多瀏覽資安新聞之一。由於收到通知的Phoenix已在4月釋出緩解措施,5月中旬漏洞正式對外公布,如今研究人員則是進一步公布漏洞細節,並提醒用戶注意筆電廠商發布的韌體更新消息。

其他也可留意的漏洞修補動向,包括:Progress針對MOVEit產品線的修補、西門子針對工業控制系統SICAM產品線的修補,以及Zyxel Networks針對已終止支援的NAS產品,破例修補重大漏洞。

 

【6月24日】北美汽車經銷商軟體服務業者CDK Global遭攻擊而停擺,傳出是勒索軟體BlackSuit所為

上週北美汽車經銷商軟體服務業者CDK Global因網路攻擊而導致相關服務停擺的情況,多家汽車經銷商隨之業務受到影響,客戶被迫向其他經銷商購車而造成營業損失,如今出現新的進展。

根據多家媒體報導,攻擊者的身分疑為勒索軟體駭客組織BlackSuit,而且,這些駭客還假冒CDK Global客服打給汽車經銷商,使得情況更加嚴重。

【6月25日】中國駭客組織RedJuliett近半年鎖定臺灣高科技產業、外交經濟、社會運動團體從事網路間諜攻擊

中國駭客鎖定今年臺灣總統大選的網路攻擊,已有數家資安業者公布他們觀察到的攻擊行動,但最近研究人員揭露的最新發現,攻擊者從事相關活動的期間,從去年11月到今年4月,也就是自總統選舉的2個月前,到新任總統即將上任前夕,時間接近半年。

值得留意的是,這些駭客不僅針對外交經濟和社會運動團體而來,也鎖定高科技產業,企圖偷取相關機密。

【6月26日】惡意軟體沙箱服務業者Any.Run遭到網釣攻擊,所有員工收到內部人員寄來的釣魚信

身為資安業者卻遭到駭客入侵的情況,最近傳出新的資安事故。例如,有許多研究人員使用的雲端惡意軟體沙箱Any.Run,其服務供應商傳出遭到網路攻擊,公司所有的員工都收到來自內部人士寄送的釣魚郵件。

這起事故可追溯到一個月前有員工上當,雖然他嘗試利用沙箱環境檢查惡意連結,但並未做好相關設定,且依照對方指示提供自己的帳號密碼,導致帳號遭到對方挾持。

【6月27日】舊版瀏覽器網站相容套件Polyfill.io被中國公司買下,驚傳被植入惡意程式碼,恐影響逾10萬網站

鎖定網站而來的供應鏈攻擊頻傳,在昨天我們報導有人對上架到WordPress.org市集的外掛程式植入惡意程式碼後,有另一款熱門的網站程式庫Polyfill.io,也傳出更換經營團隊後,被植入惡意內容。

值得留意的是,這個程式庫在輾轉交給中國一家內容傳遞網路(CDN)業者經營後,該業者就開始隨意竄改回傳用戶端的檔案,使得研究人員呼籲網站管理者應儘速移除,並尋求替代方案。

【6月28日】前幾天Polyfill.io供應鏈攻擊事件曝光震撼整個IT界,後續傳出中國CDN業者另起爐灶,再度對10萬網站下手

知名的網站功能相容性程式庫polyfill.io本週傳出供應鏈攻擊,研究人員提出警告,他們發現程式碼在中國CDN業者今年初接手後,就開始植入惡意程式,由於採用這款程式庫的網站眾多,且不乏許多知名企業組織與政府單位,所以,這起供應鏈攻擊引發軟體開發與資安領域的密集關注,如今出現新的進展。

有研究人員發現,在Namecheap註銷polyfill.io之後,經營者透過新的polyfill[.]com提供服務,並聲稱相關服務透過Cloudflare快取未含供應鏈風險。

熱門新聞

Advertisement