今年3月台湾邦交国帛琉遭遇网路攻击,导致数周后2万份遭窃政府文件流入暗网,而这起事故直到昨日(6月3日)纽约时报报导,此事才曝光,并引起全球各界关注。
值得留意的是,虽然这起事故有勒索软体骇客坦承犯行,声称目的是牟取经济利益,但有帛琉官员表示,这些骇客并未对于赎金进行谈判,认为如此说法显然与事实不符。
【攻击与威胁】
台湾邦交国帛琉遭骇,2万份政府文件流入暗网,疑为中国政府意图孤立台湾
根据纽约时报报导,台湾友邦帛琉3月遭遇网路攻击,次月遭窃资料公布于暗网,当中包含注明仅供政府官方单位使用的资料,涉及美国于当地部署雷达、日本海军造访该国的成员名单,以及台湾与帛琉关系的数百份文件,而有可能左右台海安全。
而对于攻击者的身分,帛琉共和国总统惠恕仁(Surangel S. Whipps, Jr.)指控,这起攻击行动是中国政府策画,目的是进行威吓,想要胁迫其他国家与台湾断绝往来。惠恕仁指出相关迹证都指向于此,并表示帛琉与台湾之间的关系,将比以往都更加牢固。
对此,中国政府反驳,认为帛琉并未取得相关证据。而在此同时,名为DragonForce的勒索软体骇客组织声称是他们所为,攻击动机单纯是为了经济利益,并扬言要对帛琉造成更多伤害,但帛琉官员指出,这些骇客并未对索讨赎金进行谈判。
俄罗斯、中国、伊朗、以色列骇客滥用OpenAI的生成式AI技术,意图操纵全球舆论
人工智慧聊天机器人ChatGPT开发商OpenAI指出,他们在最近3个月里,破坏了5起企图滥用该公司语言模型操纵社会舆论或是左右地缘政治的影响力攻击行动(Influence Operations),这些攻击行动来自俄罗斯、中国、伊朗、以色列,涉及乌克兰战争、加萨冲突、印度选举、欧美政治,以及异议人士对中国政府的批评等。
这些骇客试图滥用OpenAI的语言模型,产生文章、评论、社群网站个人档案、网站程式码,甚至是用来进行除错。
北韩骇客组织Andariel锁定虚拟化平台VMware Horizon的Log4Shell漏洞下手,意图散布后门程式Dora RAT
资安业者AhnLab揭露北韩骇客Andariel近期锁定韩国教育机构、制造业、营造业而来的攻击行动,攻击者利用后门程式来执行键盘侧录工具、窃资软体、代理伺服器工具,借此控制受害电脑并窃取机密资料。
研究人员并未透露这些骇客如何入侵受害电脑,但指出这些攻击行动的共通点,就是借由Log4Shell漏洞(CVE-2021-44228)来部署恶意程式,而之所以能运用这个管道,主要是因为受害组织使用桌面虚拟化平台VMware Horizon,且当中搭配的Tomcat元件具有这个弱点。
到了最近,这些骇客也开始利用Go语言开发的恶意软体Dora RAT。值得留意的是,骇客滥用有效凭证签署Dora RAT,其中有些凭证的拥有者是英国软体开发业者。
自动化流程处理工具Gulp.js用户遭到锁定,骇客上传NPM套件散布恶意程式
5月24日资安业者Phylum侦测到名为glup-debugger-log的可疑NPM套件,该套件搭载2个经过混淆处理的指令码档案,一旦启动,这些档案将会协同运作,最终在所用的电脑部署恶意酬载。截至目前为止,此恶意套件已被下载180次。
研究人员指出,攻击者的目标,主要是针对自动化流程处理工具Gulp.js的用户,声称他们的套件能够保存Gulp及其外挂程式事件记录。然而,实际使用后并非如此,一旦有开发人员下载、安装此套件,执行其中的1个指令码play.js,就会成为恶意软体载入工具,检查目标电脑环境是否符合特定条件,然后下载其他恶意软体的元件。
3.6亿帐密资料惊传外泄,骇客疑似利用窃资软体取得,并透过Telegram频道兜售
维护密码外泄查询网站Have I Been Pwned(HIBP)的资安专家Troy Hunt表示,一名不愿具名的研究人员从518个骇客兜售个资的Telegram频道里,抓取122 GB资料,当中包含1,748个档案、20亿笔资料,经过整理,这些资料涉及3.61亿个电子邮件帐号。
值得留意的是,上述资料有近半数(1.51亿个)并未收录于HIBP的资料库。而对于这些资料的内容,Troy Hunt指出,除了电子邮件,还包含了密码,以及来源的网站,一旦骇客取得,很有可能用于发动帐号填充(Credential Stuffing)攻击。究竟卖家如何取得这些资料?他认为极有可能是透过窃资软体搜括而得。
其他攻击与威胁
◆欧洲各地遭到俄罗斯骇客APT28锁定,利用恶意程式HeadLace发动攻击
◆窃资软体Lumma Stealer、BitRAT透过冒牌浏览器更新网站散布
◆美国证实7年前Oracle WebLogic Server作业系统命令注入漏洞被用于攻击行动
◆网路钓鱼工具包V3B锁定欧洲国家银行而来,企图窃取用户登入资料及OTP动态密码
◆骇客发起Cloud#Reverser攻击行动,滥用云端服务及Unicode字元散布恶意软体
【资安防御措施】
上市公司资安事件揭露范围扩大,现在不论是否涉及核心、机密都要发布重讯
上市公司资安重讯发布「重大性标准」有新变化,台湾证券交易所(证交所)新修订重大讯息问答集第26款的内容,要求上市公司只要发现遭骇客攻击或入侵,现在不论是否涉及核心资讯系统、机密文件,都属于对公司造成重大损害或影响,需发布重大讯息对外揭露。
由于证交所于今年1月,才开始明确规范资安事件的「重大性」标准,针对过去两年多来有些企业不清楚何谓「重大」的问题,以此提出说明,没想到才相隔四个月,又有新的调整。
关于这次新的规定,证交所是在5月28日宣布,他们表示日前已修订重大讯息问答集第26款,呼吁上市公司在发生资安事件时,应依规定评估造成损害或影响的范围,并切实依重讯处理程序发布重大讯息。至于柜买中心是否也会跟著修订,有待密切关注。
近期资安日报
【6月3日】美国证实Linux核心的网路元件Netfilter高风险漏洞已被用于攻击行动
【5月31日】欧洲刑警组织与十多个国家执法单位联手,扫荡数个用于散布恶意程式的僵尸网路
【5月30日】锁定Check Point VPN的攻击行动出现新的发展,两家资安业者透露对方利用零时差漏洞挖掘AD帐密资料