在9月最後一星期的資安新聞中,在威脅態勢上,有兩則鎖定開發人員的網路威脅消息值得關切。
一是近期許多GitHub用戶反映收到電子郵件通知,聲稱用戶參與的專案有處理儲存庫的資安漏洞要處理,但該郵件內的連結是指向github-scanner[.]com,這根本不是GitHub的網域,目的就是欺騙不謹慎檢查網域的用戶,另一起是北韓駭客Citrine Sleet於PyPI上傳惡意Python套件,吸引開發人員上當的攻擊活動,研究人員指出很可能是為了發動供應鏈攻擊;還有鎖定雲端挖礦的威脅值得持續留意,有兩起鎖定不同系統的揭露。
●駭客網釣佯稱GitHub用戶自己的儲存庫有資安漏洞需要處理,目的是散布竊資軟體Lumma Stealer。
●北韓駭客Citrine Sleet上傳惡意Python套件,意圖散布RAT木馬PondRAT。
●Docker引擎API遭鎖定,有駭客發動大規模挖礦攻擊行動。
●資安業者針對駭客組織TeamTNT疑似重出江湖提出警告,並揭露近期鎖定CentOS的虛擬專屬伺服器。
●揭露新的安卓金融木馬Octo2,已發現歐洲國家出現受害裝置
在資安事件方面,在國內有3起新聞,都是上櫃公司發布資安事件重大訊息,包含知名IC設計的創惟,以及專注磁性元件與印刷電路板業務的松上,特別的是,松上在資訊揭露上相當主動,於官方網站也有同步發布消息;在國際間則有一起關於水利關鍵基礎遭遇網路攻擊的消息,所幸不影響其服務與用水。
●上櫃綠能環保「崑鼎」揭露部分資訊系統遭受駭客攻擊
●上櫃半導體業「創惟」說明部份伺服器遭受駭客攻擊
●上櫃電子零組件業「松上」揭露部分資訊系統遭受駭客攻擊
●美國堪薩斯州供水設施宣布遭遇網路安全事件,被迫切換手動操作因應。
在漏洞消息方面,本星期有一個漏洞利用需要優先注意,那就是8月初修補Ivanti的Virtual Traffic Manager漏洞CVE-2024-7593,如今發現已有攻擊者鎖定該漏洞利用。
特別的是,本週的重大漏洞修補新聞相當多,有3項涉及開源需儘速檢查因應,包括:圖像化資料分析系統Grafana開發團隊修補軟體開發套件,FreeBSD開發團隊針對Hypervisor元件的修補,資料庫管理工具pgAdmin開發團隊的修補;在產品面也有多個重大漏洞修補發布,需要用戶儘速處理,包括:臺廠Cellopoint針對郵件安全閘道的修補,Pure Storage針對旗下儲存系統FlashArray和FlashBlade的修補,Acronis備份軟體Plug-in程式的修補,以及晶片製造廠商Microchip針對ASF進階軟體框架的修補。
另外值得一提,8月初美國CISA警告臺廠陞泰科技(Avtech)旗下視訊監控攝影機AVM1203的重大漏洞被攻擊者散布Mirai變種,時隔近一個月陞泰科技終於回應,指出該產品停產近7年,但他們決定破例提供新版韌體予以修補。
在網路威脅防禦的面向,這一星期有兩大焦點,首先,是臺廠網擎資訊在Hello World Dev Conference的一場演說上,解析本土電子郵件系統防禦的演進與挑戰,當中並呼籲國內IT主管需改變思維:「千萬不要覺得一家公司的CVE(通用漏洞揭露)很多,就認為他們不安全」,這是廠商負責任的態度,勇於及時公布,並且分享情資讓大家趕快更新。
另一是Gogolook呼籲企業需負起責任應對網路詐騙,目前全球已有主要國家率先立法因應,包括臺灣、英國、歐盟、美國、新加坡等,也有少數企業已經強烈意識到企業要更主動保護消費者,不僅推動詐騙偵測阻擋及識詐教育,同時將「防詐政策與作為」納入永續報告書。
【9月23日】中國聲稱遭我國成立的駭客組織攻擊
近半個月來中國駭客鎖定臺灣的資安事故頻傳,然而今天中國卻聲稱,他們遭到我國成立的駭客組織「Anonymous64」攻擊的情況,並公布其中3名成員的姓名及照片。
然而從中國提出的指控,他們並未提出為何該組織與資通電軍有關?國防部發布的公開聲明當中,也僅有駁斥相關指控不實,後續的情況有待進一步觀察。
【9月24日】北韓駭客散布惡意PyPI套件,意圖發動供應鏈攻擊
北韓駭客針對開發人員從事攻擊行動的情況,不時傳出有關事故,其中一種攻擊類型,就是上架惡意NPM、PyPI套件,引誘開發人員上當而下載、安裝,於受害電腦植入惡意軟體。過往這種攻擊的目的,主要是為了洗劫開發人員的加密貨幣資產,如今駭客的目的出現變化。
本週資安業者Palo Alto Networks揭露的資安事故,就是這種例子,駭客真正的目的,是為了發動供應鏈攻擊。
駭客從事網路攻擊活動,朝向分工的方式進行可說是越來越普遍,其中一種是專門取得目標企業組織初始入侵管道的歹徒(Initial Access Broker,IAB),他們向其他網路罪犯兜售這種管道,如今國家級駭客也出現的類似的分工,有專門的組織從事類似IAB的行為。
資安業者Mandiant發現,伊朗駭客UNC1860在成功入侵目標組織後,會藉由惡意軟體控制工具,為接手從事攻擊行動的駭客,提供以遠端桌面連線存取目標網路環境的能力。
【9月26日】macOS版ChatGPT軟體存在可被竊密的漏洞SpAIware
生成式AI的應用當紅,相關應用系統的資安漏洞也隨之引起研究人員關注,本週有研究人員公布存在於ChatGPT的漏洞SpAIware,並指出攻擊者可對使用macOS版應用程式的使用者下手,從而側錄其對話內容。
值得留意的是,利用這項弱點的概念性驗證攻擊當中,其實串連了多個環節,其中之一就是ChatGPT的新功能「記憶(Memory)」機制,攻擊者藉此讓所有ChatGPT回覆的資訊都帶有惡意內容。
駭客濫用Docker、Kubernetes等環境從事挖礦的事故,接連有事故傳出,本週有研究人員公布最新一波的攻擊行動,並指出攻擊者發起攻擊的管道,是曝露在網際網路的Docker引擎API。
值得留意的是,駭客使用的惡意軟體具備類似蠕蟲的特性,會在成功入侵Docker端點後進行橫向移動,對其他的Docker Swarm、Kubernetes端點進行感染。
熱門新聞
2024-10-13
2024-10-14
2024-10-13
2024-10-11
2024-10-11
2024-10-12