上周最为骇人的新闻,莫过于有超过10万网站采用的浏览器相容性程式库polyfill传出供应链攻击,但上周也有另一起资安事故相当值得留意,那就是知名的远端桌面连线解决方案业者TeamViewer遇害的消息。
他们在周末公布了初步调查的结果,指出攻击者是俄罗斯骇客APT29,并强调他们旗下的产品与公司内部环境互相隔离,目前尚未发现遭到入侵的迹象。
【攻击与威胁】
知名远端桌面程式供应商TeamViewer公告疑似遭到俄罗斯骇客骇入公司网路,但强调客户资料和产品未被骇客存取。TeamViewer安全部门于6月26日侦测到内部IT环境有不正常活动,一名员工帐号遭到未经授权人士存取,立即回应阻止并和外部专家启动调查,并实施补正措施。周五TeamViewer公布初步调查结果。证据显示,这起事件可能和名为APT 29(或称为Midnight Blizzard)的俄罗斯骇客有关。
但TeamViewer表示,公司内部IT环境、产品环境和TeamViewer的连线平台是相互隔离的,旨在防范未授权存取和不同环境间的横向移动,且该公司采取多层次的纵深防护策略。TeamViewer指出,没有证据显示其产品环境或客户资料受到影响。但该公司强调会持续调查。
南韩电信商KT被控在用户电脑植入恶意程式,该公司宣称是为了限制档案分享流量
根据韩国媒体JTBC报导,当地电信业者KT(KT Corp)被控在60万用户电脑中植入恶意程式,以限制用户利用其网路进行P2P网路档案分享行为。该公司在4年前被指控在用户电脑植入恶意程式,当地警方上月针对此事进行最新一波调查行动,并由媒体近日报导而曝光。
这起事故爆发的原因,在于2020年韩国BitTorrent档案分享服务业者WebHard的用户,在论坛反映无法使用服务及档案消失等异状。这些用户使用其他网际网路服务都没有问题,但无法和别人点对点(P2P)分享档案。经过资安业者调查发现,这些电脑都被骇客攻击并安装恶意程式,该程式在用户电脑上建立陌生资料夹或隐藏文件、档案,导致用户无从分享档案,有人电脑甚至因此当机,他们的共通点皆为KT用户。
根据当地媒体报导,这起「攻击」持续了5个月,Web Hard公司估计,每天有2万台PC遭到感染,一个月下来约有60万用户受害。对此KT声称,WebHard本身就是非法行为,他们不得已才祭出限制流量的手法。但为何透过骇客行为于客户电脑植入恶意软体,KT并未做出说明。
国家级骇客近3个月发动大规模网钓攻击行动,对方锁定超过十种类型产业的高阶主管为主要目标,超过4万人受害
专精于上网安全的资安业者Menlo Security揭露3起由国家级骇客发起的网路钓鱼攻击行动LegalQloud、Eqooqp、Boomer,这些事故在近3个月里,造成超过4万名使用者受害,当中包含了重要银行机构、保险业界龙头、法律公司、政府机关、医疗照护机构的高阶主管。
针对这样的现象,研究人员指出,他们看到这种国家级骇客的网路攻击行动与日遽增,如今已影响至少超过三分之一美国民众,而且,这些攻击的规模及复杂程度都不断增加,其共通点在于,骇客锁定浏览器而来,并不断调整战术,使得现有的上网安全管制机制,例如:上网安全闸道(SWG)、安全服务边界(SSE),难以遏止相关攻击行动。
针对这3起攻击行动,该资安业者也点出了其规模及态势。他们发现骇客利用超过3千个网域,并针对政府机关及10个以上的产业而来其中,骇客发送的大量恶意连结当中,使用者被引诱而点选连入的比例高达60%,但他们也提及,其中有四分之一的网址,无法透过URL过滤机制察觉有害。
查看软体开发人员职缺资讯要小心!研究人员揭露间谍软体MerkSpy攻击行动,骇客散播可滥用已知MSHTML漏洞Word档作为网路钓鱼诱饵
2021年9月被揭露、骇客曾大肆利用的MSHTML零时差漏洞CVE-2021-40444,如今传出有人再度利用这项漏洞,将其用来散布恶意程式。
资安业者Fortinet揭露近期利用这项漏洞的攻击行动,主要针对北美和印度而来。对方先是透过内含软体开发人员职缺的工作说明Word档案,一旦使用者开启,就有可能触发CVE-2021-40444,从而向远端伺服器取得有效酬载olerender.html。但究竟骇客如何散布上述恶意Word档案,研究人员并未说明。
一旦启动,这个HTML档案便会检查受害电脑的作业系统组态,并解开嵌入的Shell Code,然后撷取Windows作业系统的API「VirtualProtect」和「CreateThread」,从而在受害电脑植入间谍软体MerkSpy,并能在系统内秘密运作。
其他攻击与威胁
◆骇客组织8220锁定Oracle WebLogic伺服器已知漏洞而来,透过PowerShell指令码散布挖矿软体
◆CISA针对地理位置资讯伺服器GeoServer、Linux核心、邮件伺服器Roundcube遭到利用的漏洞提出警告
◆今年初公布的D-Link无线路由器DIR-859重大层级资讯泄漏漏洞传出遭到利用,骇客用来收集装置的帐密资讯
◆冒牌IT技术支援网站假借提供PowerShell指令码「修补」Windows臭虫,并透过YouTube频道散布
【漏洞与修补】
GitLab存在重大漏洞,攻击者可冒用任意用户身分执行Pipeline工作流程
6月26日GitLab针对社群版(CE)及企业版(EE)发布重大修补更新17.1.1、17.0.3、16.11.5版,总共修补14个漏洞,其中最值得留意的部分,是列为重大层级的CVE-2024-5655,CVSS风险评为9.6分。
这项漏洞影响15.8至16.11.4、17.0.0 至17.0.2,以及17.1.0至17.1.0版,无论CE或EE版都会受到影响。开发团队指出,一旦攻击者触发漏洞,就可能在特定情况下,以其他使用者的身分存取Pipeline工作流程。
虽然目前此漏洞尚未出现遭到利用的迹象,但有鉴于资安问题极为严重,开发团队呼吁使用者应尽速套用新版程式。
其他漏洞与修补
◆Juniper Networks紧急修补重大层级身分验证绕过漏洞CVE-2024-2973
【资安产业动态】
「至少在我任期内,台北市政府正转型朝向实践零信任的政府机关」,台北市政府资讯局长赵式隆一语道出,台北市正推动资安转型。赵式隆以零信任作为分水岭,他将零信任之前视为旧资安,而在零信任之后则是新资安,过去北市在旧资安已打下良好基础,然而面对层出不穷的风险,台北市为强化资安,近几年积极推动资安转型至新资安。
台北市一方面规画配合中央政府的政策推动零信任架构,另方面也与时俱进,与外部业者合作,汲取国外的新观念及作法,例如台北市与Cisco在资安方面签署合作备忘录,将国外的观念作法引进国内,针对国内的环境、法规架构,先进行POC测试,评估是否适合引进国内,作为后续扩大投资参考。
近期资安日报
【6月28日】前几天Polyfill.io供应链攻击事件曝光震撼整个IT界,后续传出中国CDN业者另起炉灶,再度对10万网站下手