近期俄罗斯骇客APT29的动作频频,多国政府与资安专家接连对其攻击行动提出警告,呼吁各界强化防御措施,以防对方从事网路间谍活动、窃取组织内部机密的情况。
但近期有一起攻击冲著德国政党而来,揭露此事的资安业者Mandiant认为对方别有目的,很有可能是为了影响该国政治情势。
【攻击与威胁】
德国政党团体遭到俄罗斯骇客APT29锁定,散布恶意软体WineLoader
俄罗斯骇客过往针对欧美政府机关攻击的情况不时发生,如今也转移目标,瞄准特定政党而来。
资安业者Mandiant揭露俄罗斯骇客组织APT29(亦称Midnight Blizzard、Nobelium、Cozy Bear)的攻击行动,对方从今年2月下午,假借基督民主联盟(CDU)的名义寄送钓鱼邮件,锁定德国联邦议会Bundestag的第二大政党而来。
研究人员看到骇客声称邀请参加晚宴为诱饵,内容包含URL,收信人一旦依照指示操作,电脑就有可能下载ZIP压缩档,植入恶意程式载入工具Rootsaw,随后攻击者可借此在电脑部署名为WineLoader的后门程式。研究人员表示,这是他们首度看到APT29针对政治团体的攻击行动。
资安业者卡巴斯基公布调查2023年安卓恶意程式的情况,他们发现2021、2022年趋缓,但2023年出现恶意程式大幅增加的情况,他们阻止了近3,380万次对行动装置的恶意软体、广告软体、具潜在风险的软体攻击,较2022年多出50%。
研究人员公布3款去年特别值得留意的恶意程式,分别是锁定土耳其、伪装成IPTV应用程式的间谍软体Tambir,以及针对中国OEM制造、销往俄罗斯的手机而来的Dwphon。第3个恶意程式Gigabud,则是假冒泰国及秘鲁公司的名义,以提供贷款来散布,攻击者可透过其萤幕录影及模仿使用者点选的能力,绕过双因素验证(2FA)。
【漏洞与修补】
苹果M系列处理器存在微架构旁路弱点GoFetch,恐被用于窃取加密演算法金钥
伊利诺大学、德州大学、柏克莱加州大学、华盛顿大学、卡内基美隆大学、乔治亚理工学院的研究人员联手,公布能针对苹果M系列处理器的旁路攻击手法GoFetch,他们透过「记忆体相依的资料预先读取机制(Data Memory-dependent Prefetcher,DMP)」,从而在以常数时间为基础的加密演算法撷取金钥,这项弱点影响的范围,涵盖M1至最新的M3,并研判Pro、Max、Ultra版本的处理器也可能曝险。
研究人员指出,虽然Intel的Raptor Lake微架构也具备DMP,但由于其启动要求较为严格,而具备抵御相关攻击的能力。
值得留意的是,他们在去年12月5日向苹果通报此事,迄今尚未得到回应,对此,研究人员表示,他们接下来会公布概念性验证(PoC)程式码。
研究人员揭露电子门锁漏洞Unsaflok,影响1.3万家旅馆、300万把门锁
一群研究人员公布在2022年下旬找到的电子门锁漏洞Unsaflok,攻击者可利用一组伪造的房卡,来解开Dormakaba制造的Saflok门锁,估计影响131个国家、1.3万套系统、超过300万扇门。他们在2022年9月通报此事后,该门锁制造商著手处理,并于2023年11月开始对部分旅馆进行处理,截至今年3月,约有36%完成软体更新或是更换设备处理。
研究人员指出,攻击者只需从旅馆取得其中1张RFID房卡,并搭配MIFARE Classic卡片及写入资料的工具,就可能发动Unsaflok攻击。虽然研究人员尚未发现漏洞被实际利用的迹象,但由于这种电子门锁已销售长达36年,他们不排除已出现遭到利用的情况。
微软三月例行更新导致Windows Server当机,22日发布紧急更新
3月12日微软发布例行更新(Patch Tuesday),传出IT人员为Windows Server 2022、2016部署修补程式KB5035857、KB5035855之后,造成伺服器当机及服务停摆的情形,经调查是本机安全认证子系统服务(LSASS)占用大量记忆体所致,当时微软承认获报并著手处理,现在提供修补程式。
22日微软针对Windows Server 2022、2016、2012 R2发布多个系统更新公告,分别是KB5037422、KB5037423、KB5037426,并指出这次的更新程式,主要是因应安装12日发布的修补软体后,影响LSASS的情况,若不处理,将有可能导致网域控制器(DC)的记忆体泄露。
资料来源
1. https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
2. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037422-os-build-20348-2342-out-of-band-e8f5bf56-c7cb-4051-bd5c-cc35963b18f3
3. https://support.microsoft.com/en-us/topic/march-22-2024-kb5037423-os-build-14393-6799-out-of-band-1775cda2-4bb6-43a9-9fd4-ddc3528d3408
4. https://support.microsoft.com/en-us/topic/kb5037426-update-to-address-a-known-issue-that-affects-lsass-in-windows-server-2012-r2-eda1002a-4b4d-4c99-8383-b0e2bab5c1d0
【资安产业动态】
DEVCORE资安研讨会登场,揭露最新攻击技术手法与企业资安破口
以红队演练闻名的台湾资安业者DEVCORE戴夫寇尔,于3月16日举行年度研讨会DEVCORE Conference 2024,探讨骇客创新攻击技术和手法,以及他们所看到的实际企业资安风险,吸引近400名来自资安业界、学界人士参与。
本次戴夫寇尔探讨的议题,涵盖AD CS凭证服务(Active Directory Certificate Services)配置不当带来的危害、网页应用程式防火墙(WAF)的深度解析、旁路攻击新型态手法、红队工具开发的心法等。
特别的是,这次也透露他们去年参与Pwn2Own 2023的心路历程,而且,该公司首度特别邀请其他研究人员,由奥义智慧的专家来从蓝队身分、红队视角,提供不同的攻击思路的探讨。
专门探讨网路及电信安全的资安会议Prague Cyber Security Conference 2024于3月19、20日举行,数位发展部次长阙河鸣与资通安全署副署长郑欣明率团参加,并拜会捷克国家网路及资讯安全局(NÚKIB),就台捷资安合作议题进行交流。
阙河鸣表示,海底电缆对于国内外通讯、安全、经济至关重要,近年来遭受越来越多破坏、干扰与网攻威胁,数位部将持续盘点不同情境对通讯网路造成的风险,规画多种异质通讯备援网路因应。他举出去年3月马祖连接台湾的海缆中断为例,当时数位部随即切换为卫星通讯,以确保通讯韧性。
【其他新闻】
窃资软体StrelaStealer透网路钓鱼攻击欧洲、美国超过一百个组织
Mozilla发布Firefox 124.0.1、115.9.1,修补Pwn2Own揭露的零时差漏洞
近期资安日报
【3月22日】研究人员公布无限循环的阻断服务攻击手法Loop DoS