骇客近期在地下论坛4chan公布知名企业组织的内部资料的情况,已有数起,其中最近一起是知名媒体纽约时报的资安事故。骇客声称,他们手上握有270 GB资料,其中包含约5千个GitHub储存库,但仅有少部分采取加密保护处理。
对此,纽约时报证实有资料外流的情况,并指出这批资料流出的原因,是他们今年1月程式码储存库GitHub的帐密资料遭窃引起。
【攻击与威胁】
纽约时报270 GB资料流入地下论坛4chan,起因疑为GitHub帐密资料外泄
根据资安新闻网站Bleeping Computer报导,知名新闻媒体纽约时报因今年稍早GitHub凭证外泄,骇客窃走包括程式码在内的270 GB资料。纽约时报也证实资料外泄一事。
此事是由资安研究团队VX-underground最早披露,有人地下论坛4chan张贴讯息,声称握有窃自纽约时报的资料。这名人士描述,外泄的270 GB资料内容,共360万个档案,其中包含约5,000个GitHub储存库,其中不到30个经过加密保护处理。
纽约时报证实此事,并说是今年一月该公司GitHub凭证外泄有关,他们已于第一时间已采取缓解行动,但没有证据显示公司内部系统遭非法存取,或影响公司营运。
密码管理解决方案LastPass传出服务中断,起因是浏览器外挂更新出错酿祸
6月6日密码管理服务LastPass用户反映无法使用的情况,促使该公司启动调查,并于周末公告说明。事件大约发生在协调时间6日下午5时,当时用户若是尝试登入帐号,会出现登入逾时的讯息。而对于这起事故发生的原因,LastPass直到6月7日凌晨零时才公布,起因是Chrome浏览器外挂更新出错,不慎造成后端基础架构的载入问题,该公司开始著手修复。距首次公告超过8小时后,LastPass宣布服务效能已回到正常。
此起事故引发用户不满。有用户反映无法离线登入,也有人不满LastPass基础架构没有备用机制,导致他所有网站都被锁住。而这是2022年8月LastPass遭骇后,再度发生服务异常的事故。
勒索软体攻击盯上GitHub用户储存库!骇客冒充GitHub资安团队发起Gitloker行动
根据资安新闻网站Bleeping Computer的报导,自称是Gitlokers的人士假冒GitHub资安及人力资源团队,透过恶意OAuth应用程式挟持程式码储存库并进行破坏。
自今年2月,部分开发人员收到由[email protected]的电子邮件,这些信件的内容多半提及工作职缺,或者是资安警示。而在此之前,开发者会面临储存库的垃圾评论被标注,或是收到遭窃GitHub帐号的拉取请求等状况。有受害用户证实,他们的GitHub帐号疑似遭到投诉而被停用,并失去所有储存库的存取权限。
值得留意的是,一旦开发人员上当,他们的储存库会遭到抹除,对方将其重新命名并留下勒索讯息README.me,要受害者依照指示透过Telegram来谈判、复原档案。
Apache RocketMQ已知弱点遭滥用,僵尸网路Muhstik借此绑架未修补漏洞的分散式讯息串流系统,扩大DDoS攻击规模
资安业者Aqua Security揭露最新一波的僵尸网路Muhstik攻击行动,骇客这次锁定的目标,是包含Apache RocketMQ在内的分散式讯息串流资料平台,并利用已知漏洞将僵尸网路病毒植入目标伺服器,目的是将其用来发动DDoS攻击。
研究人员透过蜜罐陷阱(Hoenypot)侦测到数十起锁定RocketMQ的攻击行为,对方利用重大层级的远端程式码执行漏洞CVE-2023-33246(CVSS风险评为9.8分),一旦成功利用,就能得到初期的存取权限,然后执行远端IP位址代管的Shell指令码,下载僵尸网路病毒档案。
窃资软体Lumma Stealer、BitRAT透过冒牌浏览器更新网站散布
资安业者eSentire针对窃资软体Lumma Stealer、BitRAT的攻击行动提出警告,对方在今年5月,透过冒牌Chrome更新网站散布上述恶意程式,该网站被注入了恶意JavaScript程式码。
一旦电脑载入上述网页,就会触发JavaScript指令码,将使用者重新导向到另一个网页。接著,骇客借由chatgpt-app[.]cloud网站,在受害电脑自动下载名为Update.zip的压缩档,最终部署窃资软体Lumma Stealer、BitRAT,并让攻击者能持续在受害电脑活动。
为平息外界的隐私疑虑,微软宣布预设关闭AI笔电的Recall功能
5月20日微软偕高通与宏碁、华硕等OEM厂商,公布内建AI功能的Copilot+ PC,其中名为回顾(Recall)的功能最具代表性,但也由于该功能仰赖电脑持续搜集各式资料,引发资安专家隐私疑虑。对此,上周微软宣布,此功能将预设改为自愿加入(opt-in)。
该公司表示,这项功能预设关闭,用户若要开启,必须要注册Windows Hello身分验证机制才能完成启用,未来用户要检视Recall时间轴或是搜寻,也要进行Windows Hello生物验证。此外,他们将为Recall新增进阶防护机制,加密索引资料库。
其他攻击与威胁
◆Arm针对显示晶片Mali GPU核心驱动程式漏洞提出警告,指出已被用于攻击行动
◆冒牌PyPI套件Crytic-Compilers锁定开发人员,意图散布窃资软体Lumma Stealer
◆有人假借提供网路工具Advanced IP Scanner,目的是散布Cobalt Strike充当后门
◆研究人员上传Visual Studio Code布景主题扩充套件调查市集安全,结果有超过100家企业组织上当
【资安关键人物】
过去十年,台湾资安业界发生的事情很多,TeamT5杜浦数位安全创办人兼执行长蔡松廷表示,最重要的关键有两件事情。
首先,就是蔡英文总统于2016年就任以来,率先制定「资安即国安」的政府资安核心战略方针。这个「资安即国安」战略带出来的结果,是政府资源的投入,以及各界的重视;另外,这个战略同时影响台湾产业对资安的态度,包括民间企业、CI(关键基础设施)对资安的重视大于以往,产业的需求也对资安产业带来直接影响。
其次,就是各种法规对资安的要求,都会是滋养台湾资安产业环境的土壤,也是推动台湾产业资安的基础,从资通安全管理法到相关细则的实施,以及金管会对于上市柜公司各种资安要求都包含在内。「内在资安战略政策,驱动外在产业资安的需求。」他说。
近期资安日报
【6月7日】勒索软体骇客RansomHub声称入侵老牌笔电制造厂蓝天电脑,引起国际资安媒体高度关注