利用恶意广告宣称提供实用的应用程式,借此来散布恶意软体的情况,不时有事故传出,但最近一起恶意软体攻击行动相当特别,因为这些骇客也同时利用Telegram频道来进行。
比较特别的是,由于透过即时通讯软体的频道来从事攻击行动,这些骇客不只散布常见的应用程式,还散布能用于犯罪的Deepfake脱衣软体,以及变脸、变声工具。
【攻击与威胁】
骇客组织Void Arachne锁定中国用户,假借提供VPN软体、Deepfake人工智慧工具散布恶意程式Winos
资安业者趋势科技在今年4月初发现骇客组织Void Arachne的攻击行动,对方的目标主要是使用中文的用户,假借提供简体中文版Chrome,以及当地的VPN软体LetsVPN、QuickVPN(快连VPN),甚至是使用Deepfake技术脱衣、变脸、变声的人工智慧工具,或是Telegram简体中文介面套件,目的是在使用者电脑植入后门程式Winos 4.0。
值得留意的是,这些骇客同时借由购买搜寻引擎广告进行SEO中毒攻击,或是透过简体中文Telegram频道,来散布恶意软体。
研究人员指出,这些骇客犯案的共通点,在于他们都向使用者提供MSI安装程式,开启、执行之后,确实会安装对方宣称的应用程式,但在此同时,也在用户不知情的状况下,部署恶意软体,并向攻击者的C2伺服器进行连线。
巴基斯坦骇客组织Cosmic Leopard锁定Windows、macOS、安卓装置散布恶意程式
思科旗下威胁情报团队Talos揭露攻击行动Operation Celestial Force,从2018年起,巴基斯坦骇客组织Cosmic Leopard锁定印度政府机关、国防单位,以及相关技术领域的组织。值得留意的是,时至今日这项攻击行动仍在持维进行,并未出现缓和的迹象。
针对这波为期长达6年的攻击行动,研究人员指出,对方起初使用RAT木马程式GravityRAT锁定Windows用户,接著,为了扩大攻击规模,他们也开发安卓版本,并在2019年针对行动装置而来。再来,为了散布上述木马程式,对方开发了名为HeavyLift的恶意程式载入工具,并将其用于攻击行动。
值得留意的是,HeavyLift不光能在Windows上执行,若是侦测到在macOS作业系统环境,并未取得root权限,他们就会下达特定命令取得管理权限,然后下载ZIP压缩档并植入有效酬载。
骇客锁定WordPress网站下手,目的是要胁浏览网站的使用者浏览器过旧,借此散布恶意程式
资安业者Sucuri揭露最近一波从今年4月下旬出现的攻击行动,过程中攻击者滥用名为Hustle的WordPress外挂程式,该外挂主要用途是电子邮件市场行销,或是产生弹出式广告视窗,从而经营客户。
然而,对方利用这款外挂程式对WordPress网站下手,将恶意程式码注入,使用者只要浏览网站,就会看到弹出式视窗,「警告」已侦测到有漏洞的Chrome,要求更新浏览器。一旦使用者按下弹出式视窗上的按钮,就会被重新导向恶意网址,下载恶意软体(大部分被命名为GoogleChrome-x86.msix)。但值得留意的是,使用者就算是使用Firefox、Opera、Edge浏览网站,同样会看到上述的弹式视窗。
其他攻击与威胁
◆恶意软体载入工具SquidLoader锁定中国企业组织而来
◆Rust窃资软体Fickle Stealer利用PowerShell绕过使用者帐号控制防护机制
◆SolarWinds档案伺服器软体Serv-U路径穿越漏洞传出遭到积极利用
【漏洞与修补】
研究人员针对Wget漏洞提出警告,呼吁用户近期应留意相关资安公告
德国研究人员Günter Born指出,6月17日德国电脑紧急应变团队(CERT-Bund)针对CVE-2024-38428提出警告值得留意,因为,这项存在于下载工具Wget的漏洞相当危险,CVSS风险评分达到10分,1.24.5版及之前版本都受到影响,攻击者可远端利用。
值得留意的是,在大部分的Unix与Linux系统当中,都可以用Wget来下载档案,后续也被移植到Windows、macOS等多种应用系统,使得这套工具的存在相当普遍,以这次被找出的漏洞而言,无论是Linux还是Windows版本,都存在这项漏洞。
不过,事隔2天,CERT-Bund下修CVE-2024-38428的CVSS分数为6.3,列为中等风险漏洞,但为何大幅调整风险评分,他们并未进一步说明。
【资安防御措施】
生成式人工智慧拜ChatGPT之赐,不到一年就窜升为家户喻晓的人工智慧代名词,而在各行各业积极探索新兴应用商机之际,对于生成式人工智慧(Generative AI)潜在的资安顾虑也随之涌现。
亚马逊(Amazon)安全长Steve Schmidt在re:Inforce 2024的演讲中指出,生成式人工智慧并非横空出世,而是承袭机器学习与人工智慧技术数十年发展脉络的最新阶段,因此资安的基本原则与人工智慧安全防护经验都仍适用,他也公开亚马逊的人工智慧安全团队成立的经验,包括资安组织的定位如何不会限制人工智慧的创新可能性、如何协助开发团队做出正确的安全决策,以及在安全检验方面有别于传统资安测试之处。
打诈是台湾政府新内阁首要任务,也是民众生活最大痛点之一。为了解决这个问题,数发部数位产业署委托资通安全研究院研发,他们期盼透过运用AI技术,从源头做到「识诈」、「防诈」以遏止诈骗横行。资安院副院长林盈达表示,从今年1月开始执行的广告自动化巡检技术,每个月可以检测超过50万笔广告,一旦侦测到诈骗广告,会进行后续通报。
他表示,今年五月诈骗广告数量超过20万笔创下新高,资安院采用AI侦测诈骗广告的准确度达93%,而在这个巡检的过程中,他们也发现97%诈骗广告刊登不到两天,显示相关的阻挡机制必须跟时间赛跑,因为处理时机稍纵即逝。
美国商务部(Department of Commerce,DoC)旗下的工业及安全局(Bureau of Industry and Security,BIS)于6月20日宣布了一项最终裁决(Final Determination),自今年7月20日起,将禁止卡巴斯基(Kaspersky)于美国销售网路安全产品/服务及防毒软体,自9月29日起禁止提供相关产品的更新,原因是担心总部位于俄罗斯的卡巴斯基,会因美、俄之间的紧张关系,危害美国的国家安全。
值得留意的是,这样的政策并非空穴来风,2017年7月美国便限制政府采购卡巴斯基产品,9月要求政府机关全面移除卡巴斯基产品,更在2022年将卡巴斯基列入国家安全威胁名单,现在则全面扩大至美国一般个人用户及组织。
其他资安产业动态
◆Google资安证书课程大公开,在台合作计划锁定跨域转职与大学生
【资安关键人物】
资讯安全在当今社会日益受到重视,成为众多产业和政府机构关注的焦点之一。然而,资安的发展过程中也面临著各种挑战,而这些挑战往往不只是技术,更牵涉到人、政策和社会等多个层面。台湾科技大学资讯管理系特聘教授吴宗成对于资安领域的发展和挑战有著深刻的见解,他指出,资安产业的发展需要适当的热度,但又不能过热,以免阻碍未来的发展。
吴宗成用「变形金刚」来比喻,他说资安人就要像博派机器人,不能只活在自己的世界,要懂人民生活感受并能提出对策,不能只懂学理、固守自己观点、活在象牙塔。
近期资安日报
【6月20日】中国骇客UNC3886利用多项防火墙及虚拟化平台的零时差漏洞隐匿行踪,并部署后门程式持续存取网路环境