10月最後一星期的資安消息中,在國家級駭客威脅態勢上,有3起關於中國駭客組織攻擊的重要消息,其中兩起備受重視,一是中國駭客組織Evasive Panda打造惡意軟體工具包CloudScout的情形被資安業者揭露,而且已被用於針對臺灣政府機關和宗教團體的實際攻擊行動,由於該工具包可攔截Session及Cookie,將能存取Google Drive、Gmail、Outlook等公有雲服務;另一是資安業者Sophos揭露有駭客在四川地區從事漏洞的研究、利用與開發,再提供給中國政府資助的多個駭客組織進行使用,除此之外,中國政府支持的攻擊者也針對其他品牌的網路與資安設備,同樣是近年多家資安業者不斷警告的嚴重威脅。

●中國駭客Evasive Panda開發可攔截Session及Cookie的惡意軟體工具包,資安業者ESET發現臺灣政府機關與宗教團體在前兩年成為其攻擊目標。
●中國駭客近5年鎖定多家廠牌的網路設備、資安設備,挖掘零時差漏洞從事攻擊行動,資安業者Sophos揭露最新研究報告Pacific Rim。
●前兩個月殭屍網路Quad7的威脅大幅提升,微軟揭露最新調查結果,指出中國駭客Storm-0940所為,並有多組中國駭客使用該殭屍網路所竊得的帳密資料。

還有俄羅斯駭客Midnight Blizzard(APT29)的威脅,需關注其大規模攻擊活動,因為根據微軟威脅情報中心釋出的最新消息顯示,APT29正寄送內含惡意RDP組態檔案且高度針對性的釣魚郵件,英國、歐洲、澳洲、日本等數十國的政府、學術界、國防、非政府組織都是目標。

勒索軟體也是主要的威脅焦點,有多家資安業者揭露不同勒索軟體的最新動向。例如,SonicWall在8月下旬修補的SonicOS漏洞CVE-2024-40766,如今有資安業者指出勒索軟體Fog、Akira的攻擊行動在初期入侵時,就是利用SonicWall防火牆設備的SSL VPN帳號;10月底資安研究人員發現Cyber​​Panel伺服器管理平臺存在3種弱點,後續發現已有攻擊者鎖定可公開存取的CyberPanel發動攻擊,並部署勒索軟體Psaux;有資安業者揭露勒索軟體駭客Black Basta使用新的戰術,先透過網釣郵件,再透過微軟Teams進行社交工程攻擊引誘使用者上當。

還有兩個威脅態勢同樣值得留意,包括有研究人員展示新的Windows安全降級手法,可在Windows核心植入Rootkit,以及有資安業者揭露香港、巴基斯坦關鍵基礎設施遭遇Cobalt Whisper攻擊,發現濫用紅隊演練工具Cobalt Strike並使用超過30個誘餌檔案。

在資安事件方面,當中許多是先前公眾已知事故的後續消息,涵蓋國內外的紡織業、電信與ISP業者、醫療業。

●臺灣上市紡織纖維業力鵬在28日發布重訊,說明楊梅廠部分主機於凌晨遭受加密攻擊,本地備份資料亦遭刪除,現正自異地備援資料還原中。
●美國多家ISP業者先前傳出中國駭客Salt Typhoon入侵,美國FBI與CISA證實這項消息,說明已通知受影響的公司,並鼓勵潛在受害者與政府機關共同應對。
●法國大型ISP業者Free先前傳出資料被兜售於駭客論壇,該公司證實資料遭到外流,並說明是管理工具被鎖定而遇害,導致部分個資遭到未經授權存取。
●美國醫療服務供應商UnitedHealth今年2月遭勒索軟體攻擊,該公司半年多後通報美國衛生及公共服務部的資料顯示新的消息,外洩的用戶資料高達1億筆。

在資安防護上,我們認為有3個消息最要注意,分別是:找出產品未知漏洞的競賽、攻破駭客網路基礎設施的行動,以及面對AI時代發展的國安政策。首先,Pwn2Own Ireland 2024幫助提前找出逾70個零時差漏洞,其次歐盟與荷蘭執法單位搗毀竊資軟體RedLine、Meta的基礎設施,第三是美國政府發布首個AI國家安全備忘錄。

 

【10月28日】上周四勒索軟體RansomHub聲稱攻擊臺灣被動元件製造廠

過去一週以來,有5家上市櫃公司發布資安重大訊息,證實遭遇資安事故,其中一起被動元件製造商華新科技公告的網路攻擊事件,有資安業者透露很有可能是勒索軟體攻擊。

值得留意的是,勒索軟體駭客組織RansomHub對臺灣企業下手的情況並非首例,今年6月,這些駭客聲稱從老牌筆電廠藍天電腦竊得200 GB內部資料。

【10月29日】中國駭客開發專偷雲端資料的惡意軟體工具包並用於實際攻擊行動

中國駭客組織Evasive Panda最近動作頻頻,先是使用後門程式Macma攻擊臺灣及美國的macOS用戶,後來對網際網路服務供應商(ISP)發動DNS中毒攻擊,再對不安全的軟體更新機制下手,最近有研究人員指出,這些駭客最近2年開發了惡意軟體工具包,專門偷取企業組織的雲端資料。

值得留意的是,這款工具包在駭客從事攻擊行動2年後才被發現、揭露,且有部分元件用途仍不明朗,代表相關行蹤可能相當不易察覺。

【10月30日】竊資軟體RedLine遭到執法單位查封擊

近期歐洲及美國跨國打擊網路犯罪的情況,有不少新的斬獲,本週有參與執法行動Operation Magnus的執法機構表示,他們已成功破壞惡名昭彰的竊資軟體RedLine、Meta的基礎設施,並將循線追查買家。

特別的是,這次執法單位特別製作影片並透過駭客論壇嗆聲,警告罪犯已被嚴密監控,表明能夠控制基礎設施並取得他們的顧客資料,並將採取法律活動。

【11月01日】中國駭客鎖定各家廠牌的網路設備下手,挖掘零時差漏洞並用於攻擊行動

先前美國政府與微軟聯手提出警告,中國駭客Volt Typhoon鎖定SOHO網路設備而來,架設殭屍網路KV Botnet用於攻擊關鍵基礎設施,但如今有資安業者指出,中國駭客濫用SOHO網路發動攻擊的情況,背後存在更為龐大的網路犯罪生態。

資安業者Sophos表示,針對這些設備的中國駭客組織還有APT31、APT41等多組人馬,而且,在找出漏洞後,會交由其他中國資助的駭客運用。

 

 

熱門新聞

Advertisement