文/周峻佑 | 2024-04-22發表

一月份Ivanti針對Connect Secure公布兩個零時差漏洞,當時通報此事的資安業者Volexity就表示,這些漏洞自去年底就被中國駭客用於攻擊行動,但迄今鮮少有組織出面證實受害。

但諷刺的是,傳出受害的組織,竟然都是引領全球資安防禦的機構。上個月,美國網路安全暨基礎設施安全局(CISA)傳出遭到攻擊,而到了最近,維護資安防護框架的資安研究機構MITRE,也證實受害。

 

【攻擊與威脅】

Ivanti零時差漏洞又出現新的受害組織,這次是資安研究機構MITRE

資安業者Ivanti自今年1月開始公布多個Connect Secure、Policy Secure零時差漏洞,且陸續被研究人員證實用於攻擊行動。繼美國網路安全暨基礎設施安全局(CISA)傳出遭遇相關攻擊,又有資安機構也證實受害。

4月19日MITRE指出他們用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境(NERVE)」遭到外國駭客入侵,該機構察覺後即切斷駭客存取的管道,其資安團隊尋求外部數位鑑識團隊合作,對此事故進行調查。

攻擊者在今年1月對MITRE的網路進行偵察,透過2個Connect Secure漏洞存取其中一個VPN網路系統,並挾持連線階段(Session)繞過雙因素驗證流程。接著,對方進行橫向移動,利用外流的管理者帳號挖掘他們的VMware虛擬化環境基礎設施。

駭客組織BlackTech鎖定科技、研究、政府部門而來,利用新的後門程式Deuterbear發動攻擊

趨勢科技針對中國駭客組織BlackTech(他們將稱為Earth Hundun)提出警告,指出近期針對科技業、研究機構、政府機關的網路攻擊,出現顯著增加的現象,而且,這些攻擊行動運用名為Waterbear的後門程式,其中最新版本的變種程式特別獲得獨立命名,稱為Deuterbear。

研究人員發現Deuterbear解密流程與配置的結構出現重大變化,其下載、載入惡意程式的功能有明顯不同。以下載模組的部分為例,攻擊者導入HTTPS隧道來處理流量,並利用處理程序執行時間檢查除錯模式、透過API及睡眠模式來偵察是否於沙箱環境。此外,該模組也具備反記憶體掃描的偵測功能。

竊資軟體RedLine藉由遊戲作弊軟體為誘餌,引誘玩家上當

資安業者McAfee揭露竊資軟體RedLine最新一波的攻擊行動,對方假借提供名為Cheat Lab的遊戲作弊程式,來散布上述竊資軟體,一旦玩家依照指示下載、安裝,電腦就會被感染,攻擊者得以收集用戶資料。

特別的是,為了誘騙受害者向其他人散布,駭客宣稱用戶只要分享給朋友,該展示版(Demo)程式便會自動解鎖,升級為完整版本。為了取信受害者,對方還附上了升級金鑰。

電腦周邊產品大廠群光電子傳出遭駭,勒索軟體駭客Hunters International聲稱竊得1.2 TB資料

4月15日勒索軟體駭客組織Hunters International聲稱攻擊臺灣電腦周邊產品大廠群光電子(Chicony Electronics),竊得1.2 TB內部資料,檔案數量有4,140,652個。由於不久之前才傳出日本光學設備製造商Hoya遭遇該組織攻擊,這起事故也引起國內媒體關注。

對此,21日群光發布重大訊息針對此事提出說明。該公司指出,他們的資安單位發現駭客攻擊行動時,就啟動相關防禦機制及復原作業,但這起事故對方並未影響公司核心資通訊系統、網站運作,且並無個資及機密文件資料外洩,這起事故並未對他們造成重大損害或是影響,亦未對營運產生重大影響。

我們也向群光進一步確認,該公司表示這起事故的確是勒索軟體攻擊,駭客發動攻擊的當下他們就著手進行回應、處理,並指出由於遭到攻擊的範圍與公司的核心資通訊系統、公司網站無關,也並未對營運造成影響。

勒索軟體是一般製造業首要風險,釣魚網站、社交工程、BEC也不能掉以輕心

連續四年,勒索軟體資安事件是一般製造業威脅最大的資安風險項目,而且發生風險連年提高。根據iThome 2024資安大調查,超過5成一般製造業者認為,未來一年極可能遭遇這類事件,擔心這項威脅的企業,比去年多了5%。過半一般製造業者尤其擔心,因為一旦發生,就會帶來重大的衝擊。這項威脅也是對一般製造業衝擊程度最高的項目。

除了防範勒索軟體的威脅之外,一般製造業未來一年還得留意四項次要資安風險,包括了來自釣魚網站、社交工程手段、商業郵件詐騙這三個攻擊途徑的威脅,以及來自駭客發動的攻擊。

其他攻擊與威脅

勒索軟體駭客HelloKitty公布CD Projekt、思科外流資料,並更名企圖東山再起

FTP伺服器軟體CrushFTP存在零時差漏洞,攻擊者可逃脫虛擬檔案系統下載伺服器的系統檔案

中東政府遭到後門程式CR4T鎖定,駭客發起DuneQuixote攻擊行動

GitHub評論也能被濫用於散布惡意程式!駭客利用微軟的儲存庫URL推送作案工具

其他漏洞與修補

WordPress表單建立外掛Forminator存在危急漏洞,攻擊者可用來對伺服器隨意上傳檔案

 

【資安防禦措施】

執法單位攻陷網釣服務平臺Labhost,逮捕37名嫌犯

4月18日歐洲刑警組織(Europol)、英國、澳洲等十多個國家聯手,宣布破獲大型網釣服務(PhaaS)平臺LabHost,這些國家的執法單位在14日至17日之間展開行動,總共搜索70個地址、逮捕37名嫌犯。其中,英國逮捕4名經營團隊成員,包括該平臺的原始開發者。該組織全球網站也遭到警方接管並關閉。

協助調查的趨勢科技指出,此網釣服務平臺於2021年底設定,標榜提供對手中間人攻擊(AiTM)所需工具,而能讓買家繞過雙因素驗證(MFA)。賣家不只提供國家知名銀行、Spotify、DHL、郵政服務、汽車收費服務、保險服務的網釣頁面範本,並提供客製化服務。

經營LabHost的團隊已設置逾4萬個網釣網站,替買家盜走48萬張金融卡、6.4萬個PIN碼、逾100萬個網路服務的密碼,不法收入約117.3萬美元。

 

近期資安日報

【4月19日】全球超過8萬臺Palo Alto Networks防火牆曝露GlobalProtect危急漏洞

【4月18日】DevOps協作平臺Confluence已知漏洞被用於散布勒索軟體Cerber

【4月17日】多個廠牌的VPN系統、網路設備遭到鎖定,攻擊者對其發動暴力破解攻擊

iThome Security

熱門新聞

Advertisement