中国骇客锁定今年台湾总统大选的网路攻击,已有数家资安业者公布他们观察到的攻击行动,但最近研究人员揭露的最新发现,攻击者从事相关活动的期间,从去年11月到今年4月,也就是自总统选举的2个月前,到新任总统即将上任前夕,时间接近半年。
值得留意的是,这些骇客不仅针对外交经济和社会运动团体而来,也锁定高科技产业,企图偷取相关机密。
【攻击与威胁】
中国骇客组织RedJuliett近半年锁定台湾75个组织发动攻击,目标主要是高科技产业,但外交经济、社会运动团体也遭锁定
资安业者Recorded Future揭露为期近半年的网路间谍攻击行动,代号为Flax Typhoon、Ethereal Panda中国骇客组织RedJuliett,自去年11月自今年4月,针对台湾教育机构、政府机关、科技产业、外交机构而来,这些骇客利用防火墙、VPN、负载平衡设备等网路边界装置的已知漏洞,取得初始存取的管道,目的很有可能是为中国政府收集台湾经济、外交关系,以及关键技术研发的情报。
由于上述攻击发生的时间点,正好是今年台湾总统大选前至新政府上台的前夕,这起攻击行动的揭露,引起国内外媒体高度关注。
针对受害规模的部分,这些骇客入侵全球24个组织,其中包含了台湾、竂国、肯亚、卢安达的政府机构。而对于台湾的部分,该组织试图针对75个企业组织下手,当中有8所大学、11个政府机关,攻击范围相当广泛,涵盖高科技产业、外交经济,以及社会运动,但他们认为,骇客最主要的目标还是高科技产业相关组织。
资安业者赛门铁克揭露中国骇客组织锁定特定亚洲国家电信业者的网路间谍活动,这些骇客在受害公司的网路环境植入后门程式,并试图窃取各式帐密资料。
研究人员指出,对方的攻击行动至少可追溯至2021年,不过,他们掌握2020年已有部分活动的证据。而对于攻击目标的部分,虽然骇客主要是锁定电信业者,但是也有提供电信业者服务的公司,以及另一个国家的大学受害。
究竟对方的目的为何,研究人员表示并不清楚,但很有可能是为了收集特定国家的电信行业情报,甚至进行监听,也不排除对当地关键基础设施进行破坏;而对于攻击者的身分,他们也推测有几种可能,有可能是多组人马进行合作,或是不约而同发动攻击;也有可能是未被发现的骇客组织出手,并使用其他团队提供的作案工具犯案。
恶意软体载入工具SquidLoader锁定中国企业组织而来,企图透过伪装成Word档案的附件引诱员工上钩
今年4月下旬,电信业者AT&T旗下的资安威胁实验室LevelBlue发现具备高度回避侦测能力的恶意程式载入工具SquidLoader,使用此项工具的攻击者锁定使用简体中文的用户,受害者电脑会因此而载入Cobalt Strike。研究人员进一步调查指出,这些骇客在过去2年就曾发起了零星攻击,而且似乎专门针对国家而来。由于这样的攻击技术及手法有可能被复制,未来很有可能被其他恶意软体开发者如法炮制。
研究人员认为,攻击者的主要目标是员工,企图借由具有明确描述的名程引诱他们上当。值得留意的是,这些钓鱼邮件的附件档案虽然都带有Word文件图示,但实际上都是可执行档,一旦收信人开启附件,电脑就可能从远端下载SquidLoader。
YouTube直播平台出现马斯克Deepfake影片,对方企图诈骗加密货币
入侵知名企业或名人的网路服务帐号,对其支持者进行金融诈骗的手法频传,6月24日YouTube Live直播平台便出现马斯克的Deepfake影片,对方将特斯拉公司发布的公开影片透过Deepfake改造,企图诱骗支持者造访指定网站并转出数位货币,影片被检举下架前5个小时,曾吸引至少3万人同时观看。
根据科技新闻网站Engadget报导,这则诈骗影片看似马斯克在特斯拉公司活动中发表演说,马斯克指示用户点选造访某个网站网址,并将手上的比特币、以太币与狗狗币储存在该网站的电子钱包中。AI版「马斯克」声称,只要用户完成储存,就可获得存入金额2倍等值的加密货币作为回馈。
值得留意的是,该影片是由貌似特斯拉的公司帐号发布,并有YouTube艺术家官方频道(Official Artist Channel)的验证徽章,媒体推测,这很可能是特斯拉遭骇的帐号。
其他攻击与威胁
◆骇客组织APT-C-35锁定安卓装置发动超过120起攻击行动,散布恶意程式Rafel RAT
◆研究人员揭露难以被防毒软体察觉的僵尸网路病毒Zergeca
◆研究人员揭露新型态攻击手法GrimResource,利用MMC管理主控台存取受害电脑并回避侦测
◆勒索软体骇客组织Qilin传出在Telegram频道外流400 GB英国国民保健署及病人资料
【漏洞与修补】
电子商务平台PrestaShop的脸书外挂程式存在漏洞,已有攻击者用于窃取信用卡付款详细资讯
电商平台技术社群Friends Of Presta指出,名为pkfacebook的付费外挂程式存在重大漏洞CVE-2024-36680,使得浏览电商网站的访客有机会发动SQL注入攻击,CVSS风险评为9.8分,影响1.0.1以前的版本。值得留意的是,这项漏洞已被积极利用,攻击者借此在电商平台植入侧录工具,以便大规模窃取信用卡资料。
这项由Promokit.eu打造的电商平台PrestaShop外挂程式,主要是供用户直接使用脸书帐号与站方互动,留下评论,或是透过Messenger与客服进行沟通。然而,由于这项外挂程式是由该公司自行销售,他们并未透露有多少网站采用,究竟有多少电商网站曝险,目前仍不得而知。
微软将透过Windows每月例行更新一并修补Visual Studio
为更为充分利用Windows的更新机制Microsoft Update,微软宣布自8月开始,将会借此机制,于每个月的例行更新(Patch Tuesday)提供用户IDE工具Visual Studio的相关更新。
一旦使用者在Microsoft Update启用接收其他微软产品更新的功能,他们将对使用Visual Studio 2022、Visual Studio 2019、Visual Studio 2017的用户派送更新,这项服务不支援预览版Visual Studio。
其他漏洞与修补
◆开源人工智慧基础设施平台Ollama存在漏洞Probllama,若不修补恐被用于RCE攻击
近期资安日报
【6月24日】北美汽车经销商软体服务业者CDK Global遭攻击而停摆,传出是勒索软体BlackSuit所为