企业部署但最终并未正式采用、而遗留在网路环境的IT系统,很有可能会遭到攻击者滥用。
最近资安业者Sygnia揭露的一起事故,就是这样的例子,骇客维持于受害企业活动的管道,就是该公司曾打算建置的灾难复原系统当中,所使用的F5 BIG-IP设备。而这些设备不仅直接曝露在网际网路上,还执行存在弱点的作业系统,而让对方有利用的机会。
【攻击与威胁】
未补漏洞且暴露在外网的旧款F5 BIG-IP设备遭中国骇客Velvet Ant攻破,潜入受害组织内部长达3年,暗中窃取敏感客户资料
资安业者Sygnia指出,他们去年底针对一起锁定大型组织的网路攻击行动进行调查,结果发现,中国骇客组织Velvet Ant已于该企业从事间谍活动长达3年,值得留意的是,其中一种维持存取内部网路环境的管道,竟是借由曝露在网际网路上、已弃用的老旧F5 BIG-IP设备,并将其当作C2伺服器滥用。
在鉴识人员介入后,他们发现骇客再度散布恶意软体时,这些PlugX虽然会触发资安系统的警报,但骇客并未像之前的攻击行动,透过外部的C2来从事相关攻击,这样的作法极不寻常。
在受害组织全面采取补救措施的情况下,究竟骇客如何远端对执行老旧作业系统的Windows档案伺服器进行控制?鉴识人员进一步监控网路流量发现,PlugX于受害主机建立新的防火墙规则,并监听特定的网路连接埠,他们看到其中一台伺服器开放13742埠,并与F5 BIG-IP负载平衡设备进行连线。这些负载平衡设备曾是该企业灾难复原计划的规画内容,但该专案最后并未采用,这些设备后续就一直留在主要使用的网路环境上,使得骇客有机可乘,将其当作存取内部网路的管道。
资安业者Infoblox揭露中国骇客SecShow的攻击行动,这些骇客自去年6月开始,利用中国政府营运的教育和科研电脑网路(CERNET)的网域名称伺服器(DNS server),在全球进行大规模DNS探测行为,借此识别公开的DNS解析器,并试图收集这些解析器回应的内容。究竟这些骇客的目的为何?研究人员表示尚无法确认,但对方收集到的资料,可用于网路犯罪,并让攻击者谋取利益。
研究人员指出,这些骇客向世界各地的IPv4、IPv6的IP位址发送DNS查询,他们在去年7月首度察觉该组织的活动,同年秋季相关的查询量急速增加。
骇客制造假应用程式错误讯息引诱用户上当,执行PowerShell指令码植入恶意程式
资安业者Proofpoint揭露新型态的社交工程攻击手法,骇客组织ClearFake、TA571声称Chrome、Word、OneDrive等应用程式出错为由,引诱使用者依照指示,复制、贴上并执行PowerShell指令码,从而导致电脑感染恶意软体。
研究人员从今年3月、4月,以及6月初,看到上述两组人马运用相关手法从事攻击行动,但无法确认这些骇客是否有所关连。
业务范围扩及全球多国的台湾制药公司永信药品工业,昨日传出遭遇资安事故,上市生技医疗业永信投控在6月17日下午4时32分率先揭露此事,于证交所公开资讯观测站发布资安重讯,代重要子公司永信药品工业公告部分资讯系统遭受骇客攻击,同日傍晚6时,身为公开发行公司的永信药品工业也发布重讯,公开这起资安事故。
他们并表示,目前正对所有网域、网页及相关档案做全面彻底的扫描检测,待确保资讯安全后,会陆续恢复资讯系统运作。而我们在17日早上11时实际连至永信药品与永信国际投资控股的官方网站,仍是无法存取的情况,可能他们还在进行相关调查,所以网站未开放。
其他攻击与威胁
◆北韩骇客Moonstone Sleet散布恶意NPM套件,锁定开发人员下手
◆骇客假借提供破解软体,意图对韩国用户散布恶意程式NiceRAT
◆骇客组织Arid Viper锁定行动装置从事网路间谍活动,散布恶意程式AridSpy
◆勒索软体骇客组织Cactus声称攻击光纤网路设备供应商康联讯
【漏洞与修补】
华硕7款家用及消费性路由器产品传出重大验证绕过漏洞,可让未经授权的攻击者远端登入装置。华硕及资安专家呼吁,用户应尽早安装新版软体。这项验证绕过漏洞为CVE-2024-3080,发生在华硕家用及消费性路由器产品的韧体,影响ZenWiFi XT8、ZenWiFi XT8 V2、RT-AX88U、RT-AX58U、RT-AX57、RT-AC86U及RT-AC68U。
根据台湾电脑网路危机处理暨协调中心(TWCERT/CC)的资安公告,此为身分验证绕过漏洞,而有可能允许未经验证的攻击者存取,CVSS风险评分达9.8。
其他漏洞与修补
◆CISA针对AutomationDirect旗下的可程式化逻辑控制器漏洞提出警告
【资安产业动态】
国内加密货币交易所XREX打造威胁引擎,快一步揪出诈骗、洗钱帐户
在加密货币交易所中,用户随时都能进行交易,这样的特性虽然带来便利,却也被诈骗组织用来快速转移非法资金。除了设置基础安全机制增加防御,交易所主要透过KYC和链上分析工具,来确认用户真实性和分析资金流向,抵御诈欺洗钱犯罪。但是,随著诈骗和洗钱手法不断升级,既有工具的功能有限,难以因应趋势变化,成为交易所侦测诈骗和洗钱行为的一大挑战。
在2024台湾资安大会上,国内加密货币交易所XREX分享自家的风控机制。他们开发了一套威胁引擎,整合了用户交易前、交易中、和交易后的资讯,并提供风险评估,协助内部团队更快速针对犯罪行为做出应变。这款威胁引擎包含多个模组,能分析KYC、交易行为等资讯,并进行交易监控与性质分析等。引擎在每个阶段搜集的资讯都会分为多个属性,并针对各别属性进行风险评估。
其他资安产业动态
◆Google宣布启动台湾资安人才培育计划,目标在明年底培育2千名人才
【资安关键人物】
近年来资安成为全球关注焦点,对于台湾,资安更是不可或缺。过去十年台湾历经不同政党的执政,中研院院士、也曾担任蔡英文总统第一任总统任期内的国安会咨询委员李德财表示,「资安即国安」政策在这段时期,得到前瞻性的进步及实质性推动。
李德财深信:「资安等于国家安全是大家的共识,不应该有蓝绿党派的差异,这是一件跨党派要做的事情。」
近期资安日报
【6月17日】日本影音共享平台Niconico、角川书店传出服务中断近一周,起因是资料中心遭勒索软体攻击