本星期國內有多家上市公司遭駭的消息,首先20日,雄獅旅遊與中石化相繼公告遭受黑客網絡攻擊事件,一日兩起格外引人注目,23日訊連其產品“Promeo”的安裝程序中被發現惡意軟件,遭朝鮮黑客Lazarus發動供應鏈攻擊。上週我們報導大江生醫傳出遭勒索軟件組織列為受害者,該公司24日發布重訊證實遇網絡信息
在這一週的漏洞訊息中,有兩大漏洞修補需重視,包括江森自控修補旗下工業冷凍系統重大漏洞、Fortinet修補旗下FortiSIEM重大漏洞,此外,還有視頻監控影像錄製設備(NVR)與路由器被駭客發現新零時差漏洞、並利用於散佈米爾ai變種病毒JenX的嚴重威脅,目前揭露此事的Akamai先示警並通知相關製造商,預計12月有新版修補釋放。
另外,10月初我們曾報導GNU C函式庫緩衝區溢位漏洞CVE-2023-4911(Looney Tunables),近日發現攻擊者開始利用這個已知漏洞的跡象,這週資安日報新聞尚未提及,我們在此補上。
國內方面,有多起資安事件成為焦點,都與上市公司有關,我們整理如下:
(一)首度出現一日內兩起資安事件重訊:在11月20日,旅遊業「雄獅」與塑膠工業「中石化」先後發布資安事件重大訊息,說明遭受駭客網絡攻擊事件。其中雄獅提及提醒旅客反詐騙警語,可能有顧客資料外洩情事發生,並是該公司是這兩年來第二次公告遭駭,中石化的揭露相當有限,對於企業與組織聯防,無法提供具體有用的情報。
(二)大江生物醫學發布資安事件重大訊息,證實資訊系統遭受網路攻擊:上期資安週報於20日發布之際,我們率先報導了生物科技業「大江」疑似傳出在15日被Hunters International勒索軟件組織列為受害者的消息,其他媒體22日跟進新聞,我們也無法跟進大江。
(三)訊連科技被微軟揭露遭駭,朝鮮黑客Lazarus對這家公司發動供應鏈攻擊,他們的Promeo產品新用戶遭鎖定:此事曝光的同一天,訊連在網站發佈公告,說明其產品“Promeo”的安裝程序中發現惡意軟件,他們已經移除體格問題,後續並將更新軟件安全憑證。
此外,這週國內還有中心綜合醫院傳出掛號系統無法使用、預約資料消失,疑遭網路攻擊的消息,以及司法院針對判決資料外洩事故做出新的說明。
在資安威脅與事件方面,勒索軟件的威脅與動向最值得關注,有4項訊息揭露,我們整理如下:
●對於Rhysida勒索軟件的危害,美國CISA、FBI與MS-ISAC聯合發布警告,說明其攻擊主要鎖定教育、醫療、製造、資訊業與政府部門。這份公開消息揭露該勒索軟件採用的TTP與IoC,供企業了解其攻擊策略與手法,以及各種緩解措施。
●關於勒索軟件BlackCat的新動向,有資安業者指出近期新手段是在Google刊登廣告,假借提供知名的應用(如Advanced IP Scanner、Slack、WinSCP),引誘網路使用者連到釣魚網站,下載被植入惡意程式Nitrogen的軟件。
●勒索軟件Phobos再度出沒,資安研究人員揭露近期出現他們鎖定資安社群VX-Underground的情形。
●勒索軟件黑客組織Play威脅加劇,近日有資安人員揭露該組織打出將其工具提供出租的旗號,欲吸引更多打手加入的狀況。
在新興攻擊手法與其他重要威脅態勢方面,我們認為竊資軟件Lumma的新手法,利用壓縮檔發動攻擊的現狀,最值得留意。
●竊資軟件Lumma為了規避檢測,利用測量鼠標軌跡來識別真人操作,才執行該竊資軟件;另一資安研究人員更是揭露,Lumma開發者聲稱能復原Google帳號的連線階段,挾持受害者帳號。
●關於利用壓縮檔散佈惡意的態勢需要留意,本周有三起相關事件,首先是大使館人員要注意,俄羅斯黑客APT29鎖定歐洲多國大使館網攻,發動WinRAR漏洞攻擊,接著是加密貨幣用戶要注意,黑客組織DarkCasino針對這些用戶利用WinRAR漏洞發動攻擊,還有竊資軟件Agent Tesla新利用ZPAQ格式,將1 GB的大型檔案縮為僅有6 KB的壓縮檔,可能是要規避防毒掃描。
●Python開發人員也要注意,有資安業者揭露近半年有駭客上架了模仿知名套件的27個PyPI套件,同時還會利用PNG圖檔埋藏攻擊意圖。
最後,還有兩個國家級黑客攻擊動向的揭露,值得曉,包括:中國黑客組織Mustang Panda鎖定東南亞國家軍事單位下手,黑客假借提供Solid PDF Creator、印尼防毒軟體Smadav的名義,藉由這些應用程式來側載惡意軟體;以及俄羅斯駭客Gamaredon鎖定烏克蘭組織,散佈USB蠕蟲LitterDrifter。
【11月20日】黑客近半年散佈逾30款惡意PyPI套件,利用PNG圖檔埋藏攻擊意圖,美國、中國、法國皆有開發者受害
近期針對開發人員的攻擊行動相當頻繁,也出現越來越隱密的手段,例如,將攻擊代碼埋藏在惡意套件的特定模組,一旦開發人員依照指示安裝套件,惡意程式碼不會馬上執行,而是等到呼叫特定功能才會一併載入。
而類似的手法,近期也出現其他新的手段,例如,資安業者Checkmarx揭露的惡意PyPI套件攻擊行動。攻擊者嘗試將惡意程式碼埋藏在外部的PNG圖檔,使得PyPI套件本身看似無害。
【11月21日】中國黑客組織Mustang Panda鎖定東南亞發動數起網釣攻擊,起因疑與8月發生的菲律賓海上軍事衝突有關
今年上半,中國黑客組織Mustang Panda的攻擊行動頻傳,這些黑客著眼的目標與烏克蘭戰爭有關,大多是對於曾經協助該國的歐洲國家下手。
但到了下半年,這些駭客開始轉換目標,再度把攻擊聚焦在先前鎖定的東南亞國家。例如,發生在8月的攻擊行動,就是針對東南亞國家而來,研究人員推測,這波攻擊主要是與菲律賓之間的衝突有關。
【11月22日】勒索軟件Phobos打著資安社群的名義,鎖定Windows電腦發動攻擊,宣稱受害者復原檔案要找社群
勒索軟件攻擊事故頻傳,在本日的新聞當中,就有3起這種形態的資安事故,其中,最值得留意的部分,是黑客聲稱自己是某個知名信息安全組織的情況,顯然是為了抹黑他們,意圖挑撥、分化整個社群,削弱整體防禦力量。
值得留意的是,在這些駭客犯案的過程中,不僅盜用該組織的名稱,還大肆透過勒索訊息進行嘲笑,甚至是要求受害者購買該資安組織撰寫的書籍。
【11月23日】訊連科技遭北韓駭客發動供應鏈攻擊,駭客於該公司更新伺服器部署惡意軟件,臺灣及多個國家出現受害者
針對臺灣廠商的供應鏈攻擊事故,4年前華碩更新服務器遭駭的事故曾引起高度關注,供應鏈攻擊成為臺灣IT製造廠商不能忽視的資安威脅,而最近,又有其他軟件供應商遭遇類似攻擊,黑客利用其更新基礎設施,散佈惡意程式。
微軟威脅情報團隊揭露自10月底針對臺灣多媒體應用開發商訊連科技而來的攻擊行動,駭客篡改該公司的軟件安裝檔案,並上傳到訊連的更新服務器,至於攻擊者的目的,仍有待進一步澄清。
[11月24日]米爾ai殭屍網絡變種感染路由器、NVR網絡視頻監控裝置,攻擊者利用的零時差漏洞,疑涉及預設的弱密碼
殭屍網路米爾ai鎖定物聯網(IoT)裝置的攻擊行動,不時有事故傳出,但最近研究人員披露的資安事故相當引人注目,因為,他們並未透露黑客針對的設備型號,僅公佈類型是網絡視頻監控裝置(NVR)、小型路由器。
值得留意的是,上述設備皆存在零時差漏洞,而且,研究人員透露攻擊者所使用的惡意代碼,包含了這些設備的預設帳號及密碼。而這些跡像也顯示,攻擊者有可能利用這些管道取得控制權。
