为了谋取经济利益,北韩骇客不仅假冒IT工作者向欧美企业应征,也假借征才的名义向开发人员行骗,企图于他们的电脑植入恶意软体,以便窃取各式资料。
在最新一波攻击行动当中,这些骇客开始运用新的工具,目的是洗劫受害者的加密货币资产;另一方面,研究人员发现这些骇客的攻击手法也有所调整,他们也透过应用程式框架做为挟带恶意程式的管道。
【攻击与威胁】
北韩骇客锁定线上求职者发动攻击行动的情况不时传出,其中专门针对开发人员而来的攻击行动Contagious Interview,引发不少资安研究员的注意,去年9月我们曾报导他们的动态,如今传出骇客翻新攻击手法的现象。
日本电信业者NTT的资安监控中心的分析师上周发布消息,指出他们11月发现这些骇客的最新一波攻击行动,并指出在日本有人遭遇相关攻击,骇客不光是散布恶意程式BeaverTail、InvisibleFerret,这次也使用另一种称做OtterCookie的攻击工具。
针对这些骇客攻击的管道,研究人员提及本来是透过NPM、GitHub、Bitbucket,假借提供NPM套件发动攻击,但他们近期看到也有运用Qt和Electron应用程式框架的情况。
◆直接连上网际网路的闸道设备,像是路由器、VPN闸道,一有重大漏洞、若未尽快修补,受到攻击的机会比其他设置在防火墙背后的系统更大,最近又有这类资安威胁形成!根据资安研究人员Netsecfish的分析,居易科技(DrayTek)VPN闸道设备Vigor2960、Vigor300B存在命令注入漏洞,2024年12月27日这漏洞被通报,编号为CVE-2024-12987,攻击者可操弄session参数注入任意命令,CVSS风险评分为7.3,估计有超过6.6万台设备曝险。
关于受此漏洞影响的国家而言,越南、台湾分居全球第一、二名,分别有20,521、11,155台,其次为英国、墨西哥、香港,分别有4,496、3,679、3,599台。
针对这样的情况,我们也向居易进一步询问,该公司表示已在去年10月发布的1.5.1.5版韧体修补这项弱点,他们也确认还有Vigor3900也受到影响。
资安业者Palo Alto Networks在微软的资料整合服务Azure Data Factory当中,发现一系列配置不当的情况,他们将其命名为Dirty DAG,这些配置不当造成的弱点,影响其中整合的工作流程管理平台Apache Airflow,攻击者若是利用这些弱点,可对特定的有向无循环图(Directed Acyclic Graph,DAG)档案进行未经授权的写入,或是渗透特定的服务原则。这些弱点的命名由来,也许是攻击者可利用相关弱点对DAG档案进行写入而得。
而在Palo Alto Networks发现的Azure Data Factory配置不当现象当中,涵盖3大面向,包含:Airflow丛集Kubernetes当中,以角色为基础的存取控制(RBAC)组态不当的情况、Azure内部Geneva服务帐密资料处理不当,以及Geneva验证机制薄弱的情形。
一旦攻击者利用这些弱点,就有机会以地下管理员(Shadow administrator)的身分持续存取整个Airflow的Azure Kubernetes Service(AKS)丛集,而有机会暗中泄露资料、部署恶意软体,甚至是进一步暗中操控这些丛集。
其他漏洞与修补
何全德强调,AI应用正处于快速成长阶段,未来将进一步带来超越想像的科技创新。例如,数位双生(Digital Twins)技术的普及,让西门子等公司得以开发虚拟数位心脏,为医疗保健与精准治疗注入新动能。何全德进一步表示,「数位转型」与「净零转型」是全球未来发展的关键方向。