一月份Ivanti针对Connect Secure公布两个零时差漏洞,当时通报此事的资安业者Volexity就表示,这些漏洞自去年底就被中国骇客用于攻击行动,但迄今鲜少有组织出面证实受害。
但讽刺的是,传出受害的组织,竟然都是引领全球资安防御的机构。上个月,美国网路安全暨基础设施安全局(CISA)传出遭到攻击,而到了最近,维护资安防护框架的资安研究机构MITRE,也证实受害。
【攻击与威胁】
Ivanti零时差漏洞又出现新的受害组织,这次是资安研究机构MITRE
资安业者Ivanti自今年1月开始公布多个Connect Secure、Policy Secure零时差漏洞,且陆续被研究人员证实用于攻击行动。继美国网路安全暨基础设施安全局(CISA)传出遭遇相关攻击,又有资安机构也证实受害。
4月19日MITRE指出他们用于研究、开发、原型设计的协作网路环境「网路实验、研究及虚拟化环境(NERVE)」遭到外国骇客入侵,该机构察觉后即切断骇客存取的管道,其资安团队寻求外部数位鉴识团队合作,对此事故进行调查。
攻击者在今年1月对MITRE的网路进行侦察,透过2个Connect Secure漏洞存取其中一个VPN网路系统,并挟持连线阶段(Session)绕过双因素验证流程。接著,对方进行横向移动,利用外流的管理者帐号挖掘他们的VMware虚拟化环境基础设施。
骇客组织BlackTech锁定科技、研究、政府部门而来,利用新的后门程式Deuterbear发动攻击
趋势科技针对中国骇客组织BlackTech(他们将称为Earth Hundun)提出警告,指出近期针对科技业、研究机构、政府机关的网路攻击,出现显著增加的现象,而且,这些攻击行动运用名为Waterbear的后门程式,其中最新版本的变种程式特别获得独立命名,称为Deuterbear。
研究人员发现Deuterbear解密流程与配置的结构出现重大变化,其下载、载入恶意程式的功能有明显不同。以下载模组的部分为例,攻击者导入HTTPS隧道来处理流量,并利用处理程序执行时间检查除错模式、透过API及睡眠模式来侦察是否于沙箱环境。此外,该模组也具备反记忆体扫描的侦测功能。
资安业者McAfee揭露窃资软体RedLine最新一波的攻击行动,对方假借提供名为Cheat Lab的游戏作弊程式,来散布上述窃资软体,一旦玩家依照指示下载、安装,电脑就会被感染,攻击者得以收集用户资料。
特别的是,为了诱骗受害者向其他人散布,骇客宣称用户只要分享给朋友,该展示版(Demo)程式便会自动解锁,升级为完整版本。为了取信受害者,对方还附上了升级金钥。
电脑周边产品大厂群光电子传出遭骇,勒索软体骇客Hunters International声称窃得1.2 TB资料
4月15日勒索软体骇客组织Hunters International声称攻击台湾电脑周边产品大厂群光电子(Chicony Electronics),窃得1.2 TB内部资料,档案数量有4,140,652个。由于不久之前才传出日本光学设备制造商Hoya遭遇该组织攻击,这起事故也引起国内媒体关注。
对此,21日群光发布重大讯息针对此事提出说明。该公司指出,他们的资安单位发现骇客攻击行动时,就启动相关防御机制及复原作业,但这起事故对方并未影响公司核心资通讯系统、网站运作,且并无个资及机密文件资料外泄,这起事故并未对他们造成重大损害或是影响,亦未对营运产生重大影响。
我们也向群光进一步确认,该公司表示这起事故的确是勒索软体攻击,骇客发动攻击的当下他们就著手进行回应、处理,并指出由于遭到攻击的范围与公司的核心资通讯系统、公司网站无关,也并未对营运造成影响。
勒索软体是一般制造业首要风险,钓鱼网站、社交工程、BEC也不能掉以轻心
连续四年,勒索软体资安事件是一般制造业威胁最大的资安风险项目,而且发生风险连年提高。根据iThome 2024资安大调查,超过5成一般制造业者认为,未来一年极可能遭遇这类事件,担心这项威胁的企业,比去年多了5%。过半一般制造业者尤其担心,因为一旦发生,就会带来重大的冲击。这项威胁也是对一般制造业冲击程度最高的项目。
除了防范勒索软体的威胁之外,一般制造业未来一年还得留意四项次要资安风险,包括了来自钓鱼网站、社交工程手段、商业邮件诈骗这三个攻击途径的威胁,以及来自骇客发动的攻击。
其他攻击与威胁
◆勒索软体骇客HelloKitty公布CD Projekt、思科外流资料,并更名企图东山再起
◆FTP伺服器软体CrushFTP存在零时差漏洞,攻击者可逃脱虚拟档案系统下载伺服器的系统档案
◆中东政府遭到后门程式CR4T锁定,骇客发起DuneQuixote攻击行动
◆GitHub评论也能被滥用于散布恶意程式!骇客利用微软的储存库URL推送作案工具
其他漏洞与修补
◆WordPress表单建立外挂Forminator存在危急漏洞,攻击者可用来对伺服器随意上传档案
【资安防御措施】
4月18日欧洲刑警组织(Europol)、英国、澳洲等十多个国家联手,宣布破获大型网钓服务(PhaaS)平台LabHost,这些国家的执法单位在14日至17日之间展开行动,总共搜索70个地址、逮捕37名嫌犯。其中,英国逮捕4名经营团队成员,包括该平台的原始开发者。该组织全球网站也遭到警方接管并关闭。
协助调查的趋势科技指出,此网钓服务平台于2021年底设定,标榜提供对手中间人攻击(AiTM)所需工具,而能让买家绕过双因素验证(MFA)。卖家不只提供国家知名银行、Spotify、DHL、邮政服务、汽车收费服务、保险服务的网钓页面范本,并提供客制化服务。
经营LabHost的团队已设置逾4万个网钓网站,替买家盗走48万张金融卡、6.4万个PIN码、逾100万个网路服务的密码,不法收入约117.3万美元。
近期资安日报
【4月19日】全球超过8万台Palo Alto Networks防火墙曝露GlobalProtect危急漏洞