Google发布了新的电脑版Chrome 125,增加不少新功能,其中,与资安防护有关的部分,包含了新的隐私控制选项,来避免攻击者挟持,而对于Windows版用户,他们将网路服务放在沙箱执行。
但在此同时,本次Google也修补9个弱点,当中包含了JavaScript引擎V8的高风险漏洞CVE-2024-4947,而这是该公司在最近一周修补的第3个零时差漏洞。
【攻击与威胁】
Windows远端协助工具「快速助手」遭到滥用,骇客从事勒索软体Black Basta攻击行动
5月10日资安业者Rapid7揭露一项社交工程攻击行动,骇客锁定采用威胁侦测与应变代管服务(Managed Detection and Response,MDR)的企业组织而来,利用垃圾邮件轰炸目标用户的电子邮件信箱,然后拨打电话表示能提供协助,引诱用户下载远端管理软体,其中一种是Windows作业系统内建的「快速助手(Quick Assist)」,攻击者的身分很可能与勒索软体骇客组织Black Basta有关。而相关的攻击行动,最近有了新的发现。
微软也针对这项社交工程攻击著手调查,并指出攻击者的身分是出于经济动机的骇客组织Storm-1811,而这个组织经常会在攻击行动部署勒索软体Black Basta。他们从4月中旬看到对方从事攻击行动,先是透过语音网路钓鱼(Vishing)来引诱目标用户上当,然后启动快速助手控制目标电脑,从而散布ScreenConnect、NetSupport Manager等远端管理工具,以及恶意程式QBot、渗透测试工具Cobalt Strike,最终达到部署勒索软体的目的。
其他攻击与威胁
◆欧洲外交机关遭俄罗斯骇客Turla锁定,植入后门程式LunarWeb、LunarMail
◆桑坦德银行传出资料外泄,影响智利、西班牙、乌拉圭客户,起因是第三方供应商遭骇
【漏洞与修补】
Google发布Chrome 125新版,一周内修补3个零时差漏洞受到关注
5月15日Google发布Chrome 125新版本(125.0.6422.60、61),当中总共修补9个漏洞,值得留意的是高风险漏洞CVE-2024-4947,Google指出已被用于实际攻击行动,而这是自5月9日以来,该公司修补的第3个零时差漏洞。
这项漏洞存在于JavaScript引擎V8,为类型混淆弱点,由资安业者卡巴斯基13日通报。Google并未进一步说明细节,而对于提供研究人员的奖励,他们表示有待进一步决定。
Adobe发布5月例行更新,修补PDF编辑工具、检视器,以及FrameMaker、Animate等多项应用程式漏洞
本周二Adobe发布5月份例行修补,针对旗下的Acrobat及Acrobat Reader、Illustrator、Substance 3D Painter、Substance 3D Designer、Animate、FrameMaker、Dreamweaver、Aero等多项产品发布更新,总共修补35个漏洞,这些漏洞多数同时影响Windows版及macOS版用户,该公司表示,截至发布公告为止,他们尚未发现漏洞遭到利用的迹象。
其他漏洞与修补
◆VMware修补虚拟化平台在Pwn2Own 2024揭露的高风险漏洞
◆西门子、三菱电机、江森自控、Rockwell发布5月份工控系统资安公告
【资安产业动态】
下周一(5月20日)台湾第16任、新任总统赖清德即将走马上任,此次他率领未新内阁中与资安发展相关的主管,一同莅临CYBERSEC 2024台湾资安大会,包括:现任青平台基金会董事长、候任行政院副院长兼资安长郑丽君,中研院资创中心研究员、候任国安会咨询委员李育杰,以及中研院资创中心特聘研究员、候任数位发展部部长黄彦男等人,共同关心台湾资安产业的发展。
赖清德致词表示,未来新政府也会延续蔡英文总统「资安即国安」的政策继续推动资安,并公开承诺,将会继续支持台湾资安产业的发展,推动产业更上一层楼。
他也提及,台湾是全球假讯息被攻击最严重的国家,如果将这个视为可以磨练、锻炼台湾资安产业的场域时,就会是台湾资安产业发展的契机。
【资安防御措施】
行政院通过打诈专法,Google、Meta等网路广告平台未尽防诈义务最高开罚2,500万元,严重者可限制流量或阻挡连结
行政院5月9日通过外界期待的「诈欺犯罪危害防治条例」,也就是俗称的打诈专法,未来将连同其他法规,包括洗钱防制法、科技侦查及保障法、通讯保障及监察法,合称打诈新四法,一起送到立法院审议。
在新的打诈专法中,明订金融、电信、数位产业的打诈义务,其中在数位产业方面,要求Google、Meta等网路广告平台业者在台设立法律代表,依法配合防诈,若情节严重者最高可罚2,500万元,未改正者由专家审议,祭出停止解析或限制接取等重罚。
美国联邦通讯委员会揭露机器人电话骇客组织Royal Tiger,意图打击当地报税季语音网钓泛滥的现象
5月13日美国联邦通讯委员会(FCC)揭露名为Royal Tiger的骇客组织,该组织专门透过机器人拨打电话(Robocall)犯案,他们经常假冒政府机关、银行、企业组织,利用伪冒的电话号码拨打电话,声称提供信用卡低利分期优惠,来引诱受害者上当,过程中滥用生成式AI复制的声音来进行。
为何公布此骇客组织的相关细节?主要与美国执法单位4月进行的「春季扫荡(Spring Cleaning)」执法行动有关,该行动的主要目的,就是打击在该国报税季当中,以电话拨打机器人(Robocaller)宣称能提供纳税人减税的网钓攻击。
FCC将Royal Tiger归于消费者通讯资讯服务威胁(Consumer Communications Information Services Threat,C-CIST),并公布该组织的相关细节,以便地方政府与国内外执法单位,识别、调查其攻击行动及攻击基础设施。
近期资安日报
【5月15日】微软发布5月份例行更新,公告3个零时差漏洞受到各界关注