资安业者赛门铁克近期针对勒索软体骇客Black Basta、RansomHub的攻击行动进行调查,并公布相关发现,其中,较为值得留意的是,Black Basta掌握了微软尚未修补的Windows系统弱点,而能在3个月的空窗期制作漏洞利用工具并用于攻击行动。
值得留意的是,微软在修补漏洞的当下,并未察觉漏洞遭到利用的迹象,而是直到最近,才有研究人员察觉,该漏洞已于去年被用于网路攻击。
【攻击与威胁】
勒索软体骇客Black Basta利用Windows零时差漏洞提升权限
今年3月微软修补Windows错误回报服务的漏洞CVE-2024-26169(CVSS风险评分为7.8),一旦攻击者利用这项漏洞,就有机会提升权限。但最近研究人员指出,有人在微软修补之前将其用于攻击行动。
资安业者赛门铁克调查一起勒索软体Black Basta攻击事故,骇客组织Cardinal(Storm-1811、UNC4394)成功在受害电脑植入恶意程式DarkGate的载入工具之后,接著就部署CVE-2024-26169的漏洞利用工具,值得留意的是,研究人员找到的两个恶意程式档案,皆在微软推出修补之前出现,其中一个是在今年2月27日制作,另一个则是在去年12月18日产生。这样的情况,代表骇客至少在3个月前,就将其当作零时差漏洞用于攻击行动。
研究人员针对新兴勒索软体骇客组织RansomHub进行调查,对方利用ZeroLogon入侵受害组织
近期不断登上新闻版面的新兴勒索软体骇客组织RansomHub,接连针对美国医疗集团Change Healthcare、英国精品拍卖业者佳士得(Christie's)、台湾电脑制造商蓝天(Clevo)出手,这个从今年2月才出现的骇客组织,已窜升至过去几个月第4大的勒索软体,其威胁态势也引起研究人员高度关注。
资安业者赛门铁克针对这个骇客组织著手进行身家调查,他们发现RansomHub的有效酬载与另一款名为Knight的勒索软体具有高度相似性,这两款恶意程式都是透过Go语言打造,而且,大部分的版本使用名为Gobfuscate的工具进行混淆处理。
而对于RansomHub的攻击流程,研究人员提及,他们看到这些骇客通常利用ZeroLogon(CVE-2020-1472)取得初始入侵的管道,对方借此得到网域管理员权限,从而控制整个网域。
网路钓鱼工具包V3B锁定欧洲国家银行而来,企图窃取用户登入资料及OTP
资安业者Resecurity揭露新的骇客组织,对方自今年3月,在加密通讯软体Telegram频道与暗网社群里,推广名为V3B的网钓工具包,并专注欧洲金融机构客户从事相关攻击。目前这些骇客的Telegram频道至少吸引了1,255名成员,他们专门从事社交工程攻击、SIM卡挟持(SIM Swapping)、金融卡诈欺等网路犯罪行为,估计已造成数百万欧元损失。
研究人员指出,这款网钓工具包锁定超过54个欧盟金融机构的用户而来,标榜提供专属的本地化范本,能模仿各家网路银行及电子商务系统的验证流程,该工具包攻击的范围,遍及爱乐兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡、义大利。
骇客借由Excel巨集进行多阶段恶意软体攻击,针对乌克兰电脑植入Cobalt Strike
资安业者Fortinet针对锁定乌克兰利用Excel巨集散布渗透测试工具Cobalt Strike的攻击行动提出警告,并指出对方在过程里采用各种规避手法,来确保有效酬载能够成功送达。
骇客先是传送内含乌克兰文字的Excel巨集,一旦使用者依照指示启用巨集,该档案就会切换成分配军事单位预算的工作表,而在此同时,巨集则会借由公用程式regsvr32,在后台部署DLL程式库,以便下载作案工具。
这个恶意程式下载工具在启动的过程当中,会检查目标电脑是否存在Avast防毒软体及Process Hacker的处理程序,并确认电脑的地理位置在乌克兰,然后从远端伺服器下载另一个经过编码处理的有效酬载,最终将Cobalt Strike的Beacon注入,并与C2伺服器建立连线。
不久前的5月21日,备份与资料保护软体厂商Veeam,发布Veeam Backup & Replication备份软体12.1.2.172更新版本,修补Veeam Backup Enterprise Manager(VBEM)集中管理控制台的4个漏洞,但只简略提及这些漏洞造成的影响,而未交代具体的技术细节。
最近资安研究人员Sina Kheirkha则针对严重程度最高的CVE-2024-29849,提出了他的分析结果,以及可行的利用漏洞方式。研究人员指出问题是出在Veeam API的SSO token验证程序并不完备,用于验证SSO token有效与否的STSService URL网址,本身并不会经过验证,所以攻击者可以将SSO token验证请求,导向到自己控制的恶意伺服器伺服器上,所以Veeam API向恶意伺服器询问攻击者的SSO token是否有效时,自然会得到「有效」的回应。
半导体矽晶圆厂环球晶圆发布重大讯息,部分资讯系统遭受攻击,恐有产线受到影响
6月13日傍晚5时半导体矽晶圆厂环球晶圆(环球晶)发布重大讯息,证实有部分资讯系统在12日晚间遭到骇客攻击。该公司资安单位在察觉异状后,随即启动相关防御及复原机制,并委请外部资安业者的技术专家协助处理。
而对于这起事故带来的影响,他们后来也向中央社透露后续确认的情况,指出有少数厂区的部分产线受到影响,对此,他们将会使用库存因应,若有部分无法及时供应,有可能延迟至第3季初出货。
其他攻击与威胁
◆研究人员揭露针对机器学习模型而来的攻击手法Sleepy Pickle
◆恶意程式载入工具PhantomLoader冒充中国防毒软体元件,被用于散布恶意软体SSLoad
其他漏洞与修补
◆苹果发布作业系统更新,首度修补Vision Pro独有的虚拟实境运算漏洞
◆Fortinet修补防火墙作业系统高风险层级的程式码执行漏洞
【资安产业动态】
资安自信心成为资安变革的动力,更多台湾大型企业,资安自信心比过去更高,也更想要改变资安战略的做法。根据iThome 2024资安大调查的分析结果显示,强化资安向来是企业资讯长排名第一的年度目标,但今年以此为目标的CIO减少了,转而代之的是,更多企业资讯长、资安长聚焦在资安转型,不只是做好,而要更积极展开资安变革。今年高达49.8%的企业资安长,将资安转型定为年度目标,远高于去年的30.8%比例。
高达46%的企业资讯长、资安长对企业资安能力有信心,这个比例远高于去年的28.7%。更多企业相信自己有足够的能力,因应层出不穷的资安风险和威胁,也更愿意做出改变。
其他资安产业动态
◆英国智库皇家国际事务研究所举办2024年网路安全会议,邀请数位发展部分享台湾防御策略
【资安关键人物】
资安政策制定和推动,对台湾资安发展扮演关键角色。趋势科技台湾区总经理洪伟淦表示,政府应该针对不断变化的威胁环境,制定相应的法规要求,以保护国家和民众的资讯安全,同时政府也为企业提供必要的政策支持和保护,以带动资安产业整体发展,例如政府提供企业资金支持和税收优惠等措施以促进资安产业发展。
洪伟淦坦言,资安不仅仅是企业面临的问题,也是国家面临的问题,因此,政府不只要积极推动资安产业的发展,也应该将资安转化为国家的竞争优势,像是政府可以通过制定相应的政策措施,促进资安产业的稳健发展,同时,还可以为保障国家的资讯安全,提供更加坚实的基础。
近期资安日报
【6月13日】荷兰针对中国骇客攻击Fortinet防火墙设备的网路间谍行动进行深度调查,骇客挟持全球逾2万台设备