本日最重大的資安事故,應該就屬資安業者CrowdStrike旗下的EDR系統更新出錯的情形,這樣的情況不僅有許多用戶上網抱怨電腦當機,也在全球造成災情,值得留意的是,國內也傳出桃園機場、臺大醫院、臺北榮總營運受到影響的情況,究竟有多少企業組織受害?有待進一步追蹤。

另一方面,國內外不少新聞媒體也指出,今天凌晨微軟的雲端服務出現異常,也與該資安業者有關。

 

【攻擊與威脅】

Windows電腦出現大量當機的情況,起因為CrowdStrike的EDR系統更新出錯所致

資安業者CrowdStrike傳出更新導致Windows電腦出現當機的現象。今天下午約1時開始,傳出有用戶在社群網站Reddit、X反應電腦當機的情況,並出現藍色當機(BSoD)的現象,發生原因與名為csagent.sys的系統檔案有關,而這個檔案就是EDR系統CrowdStrike Falcon的重要元件。

這樣的情況已在全球造成災情,例如:美國、印度多家航空公司營運出現影響,美國聯邦航空總署(FAA)對所有航班祭出停飛令;印度機場出現手寫登機證的情形。而在國內,也出現桃園機場8家航空公司緊急採取人工劃位作業、臺大醫院傳出部分系統發生短暫當機,而臺北榮總的急診、住院服務櫃臺、檢驗及配藥的部分受到影響。

針對這起事故,我們也詢問CrowdStrike臺灣總經理陳琤琤,她表示未被授權發言而無法說明。

中國駭客組織APT41滲透全球航運、物流、媒體及娛樂產業

近期中國駭客組織的攻擊行動頻頻,不少研究人員紛紛對於相關資安事故提出警告,其中惡名昭彰的駭客組織APT41動態尤其引人關注,有研究人員公布這些駭客的最新攻擊行為。

資安業者Mandiant、Google威脅分析團隊(TAG)聯手,揭露中國駭客組織APT41最新一波的攻擊行動,這些駭客主要的目標是全球的航運、物流、新聞媒體、娛樂、科技、汽車產業的企業組織,其中大部分位於臺灣、泰國、土耳其、英國、義大利、西班牙。駭客從2023年開始,成功滲透並長期持續對受害組織進行未經授權的存取,而能長時間收集內部機敏資料。

研究人員進一步指出,約有半數遭駭組織是航運及物流業,三分之一是媒體與娛樂產業。但他們也提到航運和物流受害組織幾乎都位於歐洲及中東,媒體與娛樂受害組織則位於亞洲。

印度加密貨幣交易平臺WazirX遭北韓駭客攻擊,損失2.3億美元

印度加密貨幣交易平臺WazirX周四(7月18日)指出,該平臺的某個多重簽名(Multisig)錢包遭到駭客入侵,因而暫停該平臺上的提款活動。隨後專門分析區塊鏈上金融犯罪行為的Elliptic即指出,來自北韓的駭客自WazirX上盜走了價值2.35億美元的加密貨幣。

WazirX成立於2018年,是印度少數的加密貨幣交易平臺之一,提供逾350種的加密貨幣與代幣交易服務,用戶數超過1,600萬。截至今年6月,WazirX的總儲備資產約為5億美元,此次的意外等同於有接近一半的資產被盜走。

現階段WazirX正努力追回遭竊的款項。在被盜的加密貨幣中,以柴犬幣(SHIB)占9,670萬美元最多,居次的是以太幣(ETH),金額為5,260萬美元。

Apache圖像資料庫HugeGraph重大層級漏洞出現攻擊行動

今年4月Apache基金會針對圖像資料庫HugeGraph修補重大層級漏洞CVE-2024-27348,事隔一個多月,滲透測試業者SecureLayer7揭露相關細節,並指出這項漏洞相當危險,攻擊者一旦利用,就能夠繞過沙箱的限制,達到執行程式碼的目的,進一步控制HugeGraph伺服器,如今傳出有人將其用於攻擊行動的情況

本週Shadowserver基金會提出警告,他們察覺有多個攻擊來源,發出POST /gremlin請求,試圖觸發CVE-2024-27348的情況,呼籲IT人員必須儘速採取行動,套用新版軟體。不過,該基金會並未透露攻擊來源的數量,也沒有公布曝露風險的HugeGraph伺服器臺數。

惡意軟體DarkGate透過Samba檔案共用資料夾散布

資安業者Palo Alto Networks指出,他們在今年3月至4月,看到對方利用Excel檔案作為發起攻擊鏈的管道,接著,會去下載包含DarkGate的惡意軟體套件,來源是可透過網際網路存取的Samba(SMB)檔案共享資料夾。但為何駭客要使用檔案共享資料夾,研究人員並未說明。

研究人員看到駭客自今年3月發起新一波行動,初期北美洲是主要攻擊範圍,隨後逐漸蔓延到歐洲及亞洲地區。這起事故在4月9日達到高峰,當天他們偵測到近2千個惡意Excel檔案(XLSX)。

一旦使用者依照指示操作,駭客就會透過PowerShell指令碼下載3個作案工具,用來啟動以AutoHotKey打造的DarkGate。但在部分的事故當中,對方運用了少見的迴避偵測手法。在其中一起事故裡,PowerShell指令碼會檢查電腦是否存在特定的資料夾,來判斷有無安裝卡巴斯基防毒軟體,一旦確認電腦部署該廠牌防毒,就會下載正牌的AutoHotKey程式來迴避偵測。

義大利企業遭到中國駭客組織APT17鎖定,對方企圖散布惡意程式RAT 9002

上週義大利資安業者TG Soft表示,他們在6月24日、7月2日偵測到中國駭客組織APT17的攻擊行動,對方針對當地企業及政府機關下手,意圖散布名為9002 RAT(也被稱做Hydraq、McRAT)的惡意程式。

研究人員指出,第一起攻擊駭客利用Office檔案啟動攻擊鏈,而第二起則是利用釣魚連結,但兩者的目的相同,都是透過類似義大利政府機關的網域,假借邀請使用者安裝Skype for Business,然而一旦照做,使用者的電腦就有可能被植入惡意程式。

對方向使用者提供MSI安裝檔SkypeMeeting.msi下載連結,一旦下載並執行安裝,此安裝程式便會在部署即時通訊軟體的過程裡,觸發VBS指令碼,啟動惡意Java套件(.JAR),解密Shell Code並執行,最終於受害電腦載入9002 RAT。

多家公司涉嫌不當蒐集使用104人力銀行的求職者個資,檢調接獲該業者通報而進行偵辦

根據聯合新聞網、中央社的報導,檢調單位接獲通報,有多間公司透過支付型購買手法,低價註冊104人力銀行的企業會員,收集求職者的履歷、工作經歷和教育背景等求職資訊,再用於不法。7月18日新北地檢署指揮調查局臺北市調處搜索涉案公司,查扣手機與電腦等物證,約談近10人到案說明,全案朝違反個資法罪嫌偵辦。

針對這起意圖竊取求職民眾個資的資安事故,我們今天上午向104人力銀行求證,中午他們回覆並發布新聞稿統一回應此事,他們表示,這起事件是該公司建置的AI資安異常偵測及管理系統偵測到異常,察覺特定徵才企業系統出現不尋常的使用情形,他們進行蒐證並向調查局臺北市調查處報案。104人力銀行表示,由於全案已進入司法程序,他們不對案件細節做出說明。

其他攻擊與威脅

Adobe、CISA針對Commerce及Magento重大漏洞提出警告,並指出已被用於攻擊行動

中國駭客組織GhostEmperor捲土重來,利用惡意程式Demodex從事攻擊行動

駭客組織TAG-100使用開源工具發動攻擊,鎖定包含臺灣在內的十多個國家政府機關及企業組織

北韓駭客利用竊資軟體BeaverTail鎖定macOS用戶

其他漏洞與修補

研究人員揭露人工智慧平臺SAP AI Core漏洞SAPwned,有可能被攻擊者存取帳密及客戶資料

 

近期資安日報

【7月18日】日本揭露新一波MirrorFace攻擊行動,對方鎖定防火牆、SSL VPN設備已知漏洞而來,散布後門程式

【7月17日】專案管理工具Trello逾1,500萬名使用者個資流入地下論壇,對方聲稱是透過公開的API取得

【7月16日】駭客組織NullBulge聲稱入侵迪士尼,從近萬個Slack頻道竊得超過1 TB內部檔案,但真實性有待進一步確認

熱門新聞

Advertisement