去年互动式BI系统Qlik Sense修补多个已知漏洞CVE-2023-41265、CVE-2023-41266、CVE-2023-48365,事隔2个月传出骇客组织锁定尚未修补的伺服器下手,对其植入勒索软体Cactus加密档案。事隔5个月,这波攻击的态势并未趋缓,但仍有不少伺服器仍未套用更新软体而曝险。
资安业者Fox-IT指出,截至今年4月17日,曝露于网际网路上的Qlik Sense伺服器超过6成存在前述漏洞,且已有超过100台伺服器遭到入侵。
【攻击与威胁】
互动式BI系统Qlik Sense遭勒索软体Cactus攻击,3千多台伺服器曝险
去年8月底互动式BI系统Qlik Sense修补被称为ZeroQlik的两项漏洞,分别是HTTP隧道漏洞CVE-2023-41265,以及路径穿越漏洞CVE-2023-41266,CVSS风险评分为9.6、8.2分。
隔月,该公司再度公布名为DoubleQlik的漏洞,此为绕过针对上述漏洞修补程式的弱点,并被登记CVE-2023-48365,CVSS风险评为9.6。近日研究人员提出警告,自11月勒索软体骇客Cactus利用上述漏洞发动攻击,迄今至少已有100台伺服器被攻入,但令人忧心的是,这些漏洞仍有超过3千台伺服器尚未修补,而可能成为对方下手的对象。
上周资安业者Fox-IT指出,他们在4月17日于网际网路上找到5,205台Qlik Sense伺服器,其中有3,143台尚未修补上述漏洞而曝险,这些伺服器位于美国的数量最多,有396台,其次是义大利、巴西、荷兰,分别有260台、244台、241台。
研究人员揭露PlugX恶意程式攻击行动,半年针对170个国家、近250万台电脑下手
去年3月资安业者Sophos发现专门锁定USB装置的恶意程式PlugX变种,有其他研究人员进一步进行追踪,并公布相关细节。资安业者Sekoia根据上述的调查结果,买下对方曾经使用的C2网域进行研究,结果发现他们每天会从超过170个国家的受害电脑,收到约9万至10万次的请求。截至目前为止,他们总共看到2,495,297个试图与C2网域进行互动的IP位址。
研究人员指出,逾8成受害电脑集中于15个国家,其中最多的是奈及利亚、印度、中国、伊朗、印尼。根据受害的国家来看,有不少是发生在参与中国一带一路基础设施发展的合作国家,因此研究人员推测,这波攻击行动的目的,是在收集各国对于一带一路相关策略及安全相关的情资,主要是为了中国海洋及经济层面的利益。
中东政府遭到后门程式CR4T锁定,老牌档案管理共享软体Total Commander安装档遭改装夹带恶意程式下载器
资安业者卡巴斯基揭露名为DuneQuixote的攻击行动,他们在今年2月察觉此事,对方针对中东政府机关而来,意图于网路环境部署后门程式CR4T。
研究人员总共看到攻击者使用超过30个恶意程式下载工具,并指出而这些软体大致可区分两种类型,其中一种是透过老牌档案管理工具Total Commander的安装程式挟带,而引起研究人员的关注。
微软针对北韩骇客组织滥用大型语言模型(LLM)及生成式AI工具的情况提出警告,对方借此让攻击危害更为显著、效率更为提升。
该公司与OpenAI的研究人员发现,北韩骇客组织Kimsuky(亦称Emerald Sleet、TA427)在锁定韩国专家从事鱼叉式网路钓鱼攻击行动时,就利用LLM来强化效果。再者,他们也发现这些骇客利用LLM来研究漏洞,或是对于专门研究北韩事务的专家及组织从事侦察工作。
群光电子遭骇事故传出后续,对方声称取得SpaceX相关档案,该公司表示为非机密资料
4月15日勒索软体骇客组织Hunters International声称攻击台湾电脑周边产品大厂群光电子(Chicony Electronics),窃得1.2 TB内部资料,引起国内媒体广泛报导,21日群光发布重大讯息针对此事提出说明,强调这起事故无个资及机密文件资料外泄,事隔一周,又出现新的发展。
27日骇客释出窃得资料,当中包含运动摄影机厂商GoPro产品的资料,以及太空科技公司SpaceX的相关资料,资安专家Dominic Alvieri在社群网站X标注创办人马斯克,要让该公司留意此事。对此,群光再度发布重大讯息,指出骇客公布的都是已经量产、市面上可买得到的产品资料,并非机密。
今年1月鸿海集团旗下半导体设备大厂京鼎遭网路攻击,骇客当时曾罕见窜改该公司网站首页而引起轩然大波,近期出现新的进展。4月26日证券交易所指出,因该公司延迟发布重大讯息,他们根据相关规定开罚10万元。
证交所指出,他们发现京鼎的内部控制制度设计及执行,以及对子公司之监督与管理未依「公开发行公司建立内部控制制度处理准则」第5条、第11条、第38条规定办理的情况。再者,京鼎美国子公司于2024年1月8日,发生骇客攻击伺服器及加密文档事件,经查符合证交所「对有价证券上市公司重大讯息之查证暨公开处理程序」第4条第1项第26款之情事。证交所指出,京鼎公司延迟输入公开资讯观测站重大讯息画面。
员警涉嫌内神通外鬼,查询165反诈骗平台示警银行帐号,将相关资料泄露给诈骗集团
新北市警局传出有员警涉嫌查询特定帐户资讯,并提供犯罪集团滥用的情况。近期检警追查某起案件时,意外发现36岁新北市新庄分局丹凤派出所员警王晟育涉案,且疑似收贿。
这名员警于2021年7月至2022年12月底,利用派出所内公务电脑,登入内政部警政署警政知识联网系统,存取165反诈骗系统平台,查询警示帐户通报情形、受理案号,以及被害人姓名、银行帐号等资料。接著,该名员警利用即时通讯软体,将上述资料传送新庄裕民里前里长曾榆期,该名前里长再提供给诈骗集团,目的是让对方了解被害者是否报案,他们的银行帐号是否遭到警示或是冻结。这些被流出的个资,至少有24笔。
其他攻击与威胁
◆研究人员揭露佯称提供职缺的攻击行动Dev Popper,意图在开发人员电脑植入Python后门
其他漏洞与修补
◆逾1,400台CruchFTP档案共享伺服器尚未修补CVE-2024-4040
◆WordPress自动化内容汇入外挂程式存在危急漏洞,攻击者有机会得到管理者权限并植入后门
【资安产业动态】
Commvault并购云端灾难复原软体新创厂商Appranix
长期经营备份与灾难复原领域的厂商Commvault,宣布并购云端灾难复原软体厂商Appranix,借此更新云端服务基础架构。
Appranix是成立于2016年的云端原生复原软体厂商,可借由快照与公有云储存资源,为公有云平台应用程式提供保护,在云端应用程式遭遇灾害或攻击而中断时,帮助用户迅速恢复应用程式运行,可支援AWS、Azure与Google Cloud等主要公有云平台。
Commvault自身也有基于Commvault Cloud的云端灾难复原服务,而透过并购Appranix,将能借由整合后者的产品,扩展与更新Commvault Cloud的基础技术架构,强化灾难复原服务能力。
近期资安日报
【4月26日】骇客锁定网管人员散布后门程式MadMxShell,意图取得入侵企业组织的管道