這一週有兩個漏洞利用狀況要注意,首先,GitLab在2021年4月修補影響CE與EE版本的CVE-2021-22205重大漏洞,近期發現有鎖定未修補該漏洞系統的Labrat攻擊行動;第二,關於Adobe旗下的Magento Open Source在去年2月修補的CVE-2022-24086漏洞,發現今年1月有駭客針對未修補該漏洞的電子商務網站下手。

其他漏洞消息方面,重要的包括:CyberPower資料中心基礎設施管理平臺的多項漏洞揭露與修補,視訊會議Zoom零接觸設定功能漏洞的揭露與緩解,以及軟體開發套件Codesys V3高風險漏洞恐影響全球PLC安全的揭露。關於於微軟PowerShell Gallery存在3個缺陷的揭露也不容輕忽,恐引發供應鏈攻擊。

在防禦發展態勢上,有兩大重要消息,除了NIST網路安全框架(NIST CSF)近期有2.0版草案發布的消息,關於及早啟動PQC轉換的最新進展,亦受極大重視,Google去年底部署PQC演算法於其雲端內部後,最近他們宣布新進展,那就是針對3年前開源的FIDO實體安全金鑰OpenSK,以及Chrome瀏覽器116版,採混合方式導入PQC演算法。而在iThome最新一期GovTech月報,也提到臺灣政府發布公務人員安全使用ChatGPT指引草案,及政府為提升官網韌性如今正擴大採用雲原生技術的消息。

在攻擊事件焦點方面,我們看到有4起事件需關切,尤其是企業組織面對零時差漏洞攻擊,除了修補因應,同時也該清查入侵狀況。從最新研究來看,出現已修補漏洞,卻嚴重疏於確認伺服器是否已遭入侵的事故,以下是本週重大攻擊事件:

●關於上個月出現鎖定Citrix NetScaler伺服器零時差漏洞的攻擊活動,儘管後續廠商修補釋出、多數企業組織著手修補,但有研究人員從這場攻擊行動使用的Web Shell來追蹤,發現有6成8比例已安裝更新的伺服器上仍存在該攻擊留下的後門程式,顯示有修補卻未清查的問題。
●今年5月開始出現對於利用QRcode的大型網釣活動,有一美國大型能源公司在1千多封電子郵件中,有近3成比例的郵件包含惡意QRcode,而當中的釣魚連結是採用Bing重導URL所組成。
●中國政府支持的國家級駭客組織RedHotel近年攻擊活動被揭露,主要鎖定臺、美、捷克及東南亞多國的政府、學術、航太、媒體、電信與研發中心,臺灣也是目標之一,包括工研院與一家國內遊戲公司。
●勒索軟體BlackCat更名升級為Sphynx後,近期發現新納入駭客工具Remcom,並開始聚焦橫向感染能力,整合網路通訊框架Impacket針對NTLM Relay攻擊。

至於其他可留意的威脅態勢,包括:DNS中毒攻擊手法MaginotDNS的揭露,近半年駭客濫用Cloudflare R2代管釣魚網頁的狀況出現暴增61倍的態勢,還有美國新發布駭客組織Lapsus$攻擊報告,呼籲企業組織應強化雙因素驗證。

在臺灣方面,資安相關活動接連舉辦,像是臺灣駭客年會HITCON Community 2023登場,以及TWCERT/CC舉辦企業資安演練,邀集國內高科技與電信業,但也有5起消息引起大眾關心:

●門諾公益捐款公告資料外洩,說明去年5月中國駭客攻擊導致均款人資料疑遭竊
●Google今年3月推出的Dark Web Report功能,最近臺灣用戶可以開始使用
●國內資安業者發布網域檢測報告,全臺7成五星飯店未妥善管理電子郵件安全
●發生警員將帳密資料張貼公務電腦,其他警員濫用其帳密查詢女藝人個資的事件,兩人分別因違反資通安全被懲處,及妨害電腦使用、違反個資法被起訴。
●我們在週末盤點相關消息時,新發現一起先前資安日報尚未提及的事件:專注於自行車傳動器組件製造的上市公司日馳企業,在8月19日傍晚6時發布資安事件重大訊息,說明部份資訊系統遭受網路攻擊事件。

 

【8月14日】DEF CON搶旗攻防賽臺灣勇奪第3

國際資安大會DEF CON 31於8月10日至13日於美國拉斯維加斯登場,搶旗攻防賽(CTF)也在本週末如火如荼地舉行,臺灣CTF戰隊TWN 48也參與其中,並從12個參賽隊伍當中獲得第3名的優異成績,是臺灣第10次組隊參加此項競賽。

另一個也幾乎同時進行的搶旗攻防賽也相當引人關注,那就是針對太空安全的Hack-A-Sat,因為,這次5組參賽隊伍的攻防標的,是實際於太空運作的衛星Moonlighter。

【8月15日】臺灣等17個國家遭中國駭客RedHotel鎖定,進行網路攻擊行動長達3年

隨著國際局勢日趨緊張,不時傳出中國駭客發動攻擊的情況。其中,資安業者Recorded Future公布一起為期長達3年的網路間諜攻擊行動,由政府資助的中國駭客RedHotel發起,值得留意的是,受害組織的基礎設施、簽章,有可能被這些駭客拿去攻擊其他目標。

關於臺灣遭遇相關攻擊的部分,該公司表示,駭客竊得臺灣電玩公司的簽章,並將其用於簽署惡意DLL檔案,最終還以此在其他目標組織側載惡意軟體。

【8月16日】Citrix NetScaler零時差漏洞攻擊受害範圍再度擴大,近2千臺伺服器遭挾持

一個月前Citrix修補NetScaler零時差漏洞CVE-2023-3519,並透露當時已出現攻擊行動,但究竟有多少伺服器受害?繼Shadowserver基金會本月初找到有640臺伺服器被入侵之後,最近這幾天有研究人員公布新的調查結果,遭駭伺服器數量逼近2千臺。

值得留意的是,雖然有很多IT人員套用了更新程式,但並未檢查伺服器是否在尚未修補的時候就被入侵,而使得這些系統仍然受到攻擊者的擺布。

【8月17日】Cloudflare物件儲存服務成駭客寄放釣魚網頁的溫床,半年內相關的攻擊流量暴增60倍

為了避免被資安系統察覺異狀,駭客使用合法雲端服務來「代管」釣魚網站的情況,算是相當常見,有不少是利用Google Drive、微軟OneDrive、Dropbox等檔案共用服務來進行。而最近一波網釣攻擊引起研究人員關注,因為今年有越來越多駭客運用Cloudflare物件儲存服務R2存放釣魚網頁內容,以此企圖蒙混過關,企圖竊取使用者的微軟帳號,以及Adobe、Dropbox等雲端服務的帳密資料。

另一起由駭客組織MoustachedBouncer發起的網路釣魚攻擊行動,也相當特別,因為目標竟然是特定國家的網際網路服務供應商(ISP)。

【8月18日】駭客針對GitLab重大漏洞下手,將其容器環境用於挖礦及盜取網路頻寬

駭客剝削電腦資源並用來獲利的情況,除了挖取加密貨幣,將受害電腦當作代理伺服器轉賣頻寬的手法(Proxyjacking)也不時傳出,但過往這類攻擊大多是針對個人電腦而來,現在有人鎖定企業組織的開發環境下手。資安業者Sysdig揭露名為Labrat的攻擊行動,攻擊者就是鎖定尚未修補重大漏洞CVE-2021-22205的GitLab伺服器下手,進而在容器部署挖礦軟體、代理伺服器軟體(Proxyware)。

此外,許多流量挾持攻擊是針對Windows電腦而來,但近期也有鎖定Mac電腦的惡意軟體攻擊行動AdLoad,每週有數千個IP位址與代理伺服器連線。

熱門新聞

Advertisement