為了避免受害企業組織察覺異狀,導致攻擊行動東窗事發,駭客無不設法迴避資安系統的偵測,其中,在端點電腦當中,他們集中針對EDR系統而來,最常見的方式就是利用名為自帶驅動程式(BYOVD)的手法。
但最近保險業者怡安(Aon)發現一種相當特別的手法,駭客利用EDR本機安裝程式在更新電腦元件的過程裡,會停用相關服務的機制而得逞,是否會有其他人馬效仿有待觀察。
【攻擊與威脅】
勒索軟體Babuk繞過EDR防護出現新手法,利用本機安裝程式達到目的
為了讓攻擊行動能順利進行,不被受害企業組織察覺異狀,駭客通常會試圖左右防毒軟體及EDR系統的運作來達到目的,其中一種最常見的手法,是利用存在弱點的舊版驅動程式來進行,這種手法被稱為自帶驅動程式(BYOVD),如今駭客自行攜帶合法檔案的做法出現了變化。
保險業者怡安(Aon)旗下的事件回應服務團隊Stroz Friedberg近期觀察到一種運用於實際攻擊行動的新手法,駭客為了迴避SentinelOne端點代理程式的系統偵測與防竄改能力,他們竟濫用此EDR系統的端點代理程式安裝檔來達到目的,從而成功於受害電腦部署勒索軟體Babuk。研究人員將這種過往未曾出現過的手法,稱做「自帶安裝程式(Bring Your Own Installer)」。
對此,怡安向SentinelOne通報他們的發現,該資安業者迅速做出回應,向用戶發布緩解問題的指引。SentinelOne指出,針對本機代理程式升級或降級的作業,管理者可啟用通過線上批准(Online Authorization)的機制來進行審核,來防範相關攻擊。不過值得留意的是,這項政策並未預設啟用,管理者必須手動開啟。
資安業者Secureworks於4月下旬提出警告,勒索軟體駭客組織DragonForce改變經營策略,從原本提供作案工具的租用服務模式(Ransomware-as-a-Service),在3月19日之後開始改以勒索軟體「橫向聯盟(cartel)」名義找尋合作對象。最近兩週,傳出有駭客團體連續對英國零售業者下手,使用的犯案工具就是勒索軟體DragonForce。
根據英國廣播公司(BBC)、衛報(The Guardian)、 ITV News、資安新聞網站Bleeping Computer等多家媒體的報導,英國瑪莎百貨(Marks & Spencer,M&S)、連鎖超市Co-op、精品百貨公司哈洛德(Harrods)接連傳出遭到網路攻擊,背後的攻擊者身分,傳出很可能是被稱為Scattered Spider、0ktapus、Octo Tempest、UNC3944的駭客組織所為。
5月1日英國國家安全網路中心(NCSC)發布新聞稿證實,他們的確收到相關網路攻擊事故的通報,並與受害的零售業者進行合作,因應相關資安事故。NCSC也在4日二度發布公告,呼籲企業應參考他們提出的最佳實務指南,防範相關的攻擊行動。
其他攻擊與威脅
◆GeoVision物聯網裝置遭到鎖定,殭屍網路利用已知漏洞滲透
◆疑修補不全!針對Commvault修補的備份管理平臺滿分漏洞,研究人員發現仍然可被利用
◆駭客佯稱美國社會安全局,企圖散布ScreenConnect RAT並控制受害電腦
【漏洞與修補】
Elastic發布安全公告,指出其開源資料視覺化平臺Kibana存在CVSS風險評為9.1分的CVE-2025-25014,屬原型污染(Prototype Pollution)漏洞,攻擊者可藉由特製HTTP請求,針對啟用機器學習與報表功能的Kibana實例觸發任意程式碼執行,影響層面涵蓋自架環境與Elastic Cloud使用者。
根據Elastic說明,此漏洞影響Kibana 8.3.0至8.17.5、8.18.0以及9.0.0版本,在同時啟用機器學習與報表功能的條件便會產生攻擊面,攻擊者透過特製惡意載荷進行原型鏈(Prototype Chain)汙染後,最終得以控制執行流程。儘管漏洞需在通過Kibana內部權限驗證的前提下才能觸發,但由於攻擊可在無使用者互動的情況下實現遠端程式碼執行,Elastic仍將其評為重大等級。
Elastic推出8.17.6、8.18.1、9.0.1版修補,建議所有受影響部署儘速升級。若無法立即更新,該公司建議暫時停用特定功能來緩解這項弱點。
Google發布安卓5月例行更新,修補已被用於攻擊的零時差漏洞
5月5日Google發布安卓作業系統5月安全更新,修補45個安全漏洞,並警告其中的CVE-2025-27363可能已遭利用。
此漏洞存在於FreeType元件中。FreeType是個開源的字型引擎,可用來解析與呈現字型檔案內容,支援點陣字型及向量字型,它並非用來排版,而是專注於將字型資訊轉換成圖形輪廓或點陣圖,讓開發者可在螢幕或列印設備上正確顯示文字。
這是由Facebook安全團隊在3月所發現,當FreeType在解析TrueType GX與可變字型的子字型結構時,可能會觸發越界寫入漏洞,而允許駭客於系統上執行任意程式碼,波及採用FreeType 2.13.0及以下版本,當時Facebook研究人員便說該漏洞可能已遭到駭客利用。
其他漏洞與修補
◆AWS Amplify Studio存在重大漏洞,攻擊者有機會執行任意JavaScript指令碼
【資安防禦措施】
針對NSO Group濫用WhatsApp漏洞的判決出爐,需賠償1.6億美元
2019年Meta控告以色列間諜軟體開發商NSO Group,指控該公司濫用即時通訊通訊軟體WhatsApp零時差濁洞,於超過1,400臺行動裝置植入間諜軟體Pegasus,竊取裝置上的電子郵件、簡訊內容,甚至可自遠端啟用手機麥克風與攝影機。去年底法官做出裁決,認定NSO Group不光違反WhatApp的服務條款,也違反美國《電腦詐欺與濫用法案(Computer Fraud and Abuse Act,CFAA)》,加州《電腦資料存取與詐欺法案(Computer Data Access and Fraud Act,CDAFA)》,如今進一步的判決出爐。
本週二(5月6日)美國法院陪審團裁定,NSO Group必須支付逾1.6億美元的懲罰賠償,以及逾40萬美元的補償予Meta。儘管NSO Group執行長Yaron Shohat曾宣稱,該公司的財務困難而無力賠償,但Meta指出,陪審團強制NSO Group支付賠償金的決定,將對那些鎖定美國與全球使用者的非法行為及惡意產業帶來威懾效果。
【資安產業動態】
Meta開源多項Llama安全護欄工具,防範AI越獄、提示注入、不安全外掛
近期Meta公開Llama模型安全工具,可用於防範Llama模型越獄、提示注入攻擊,此外也發表SOC AI安全評估工具、以及供企業防止資料外洩、與deepfake詐騙的檢測工具。
最新的LlamaFirewall是LLM護欄工具,它作用於使用者和LLM模型、以及模型與代理人之間,可與Meta的防護模型像是Llama Guard、Prompt Guard,以及和CodeShield過濾工具、掃瞄工具協同,以偵測並防止提示注入、不安全程式碼,或是和可疑的LLM外掛互動。
Llama Guard 4為可客製化Llama Guard模型的最新版,為120億參數的多模態安全模型,能理解多模態包括文字和圖片輸入。Guard 4並提供多個模型檢查點及互動式notebook方便用戶微調。
為降低密碼洩露造成的資安風險,微軟持續推進無密碼(passwordless)登入機制,他們於5月1日宣布,未來新增的Microsoft帳戶將預設使用無密碼登入,也會改進介面提高使用簡便性。
微軟於2021年9月宣布Microsoft帳號全面支援無密碼登入,甚至提供用戶移除所設密碼,允許用戶以臉部、指紋辨識、通行密鑰(Passkey)、Microsoft Authenticator應用程式,以及USB硬體金鑰等機制進行身分驗證。去年,微軟進一步將通行密鑰導入消費性應用程式和服務,例如:Copilot及Xbox。該公司宣稱,超過99%的用戶利用Windows Hello登入Microsoft帳號。
此外,未來Windows將採無密碼優先的登入提示機制,而不會直接顯示所有可用登入方式,系統將會自動偵測最佳方法並設為預設。
近期資安日報
【5月6日】惡意軟體Phorpiex捲土重來,被用於散布LockBit 3.0及其他作案工具
熱門新聞
2025-06-18
2025-06-17
2025-06-16
2025-06-18
2025-06-16
2025-06-17