上周末有数起攻击行动引起资安圈高度关注,其中一起就是伊朗骇客OilRig对于阿拉伯联合大公国(UAE)及周边海湾地区攻击升温,而其中一种提升权限的方法,就是利用今年6月微软公告的已知漏洞CVE-2024-30088。
值得留意的是,这些骇客向来针对石油及天然气相关的关键基础设施下手,一旦得逞,很有可能左右这些能源的供应。
【攻击与威胁】
微软今年6月修补高风险权限提升漏洞CVE-2024-30088,该漏洞存在于Windows作业系统核心,CVSS风险评为7.0分,当时该公司就表示很有可能已经被利用,如今有研究人员证实,骇客确实将其用于攻击行动。
资安业者趋势科技揭露匿称为APT34、Europium、Helix Kitten的伊朗骇客组织OilRig近期的攻击行动,这些骇客主要的攻击目标是能源产业,尤其是与石油及天然气相关的关键基础设施,研究人员发现,最近几个月以来,该组织针对阿拉伯联合大公国(UAE)及周边海湾地区政府部门的攻击行动,出现显著增加的现象,过程里骇客运用架构复杂的后门程式,企图挖掘受害Exchange伺服器的帐密资料,并在作案工具加入CVE-2024-30088,以便于受害环境当中提升权限。
一旦他们成功进入受害组织的网路环境,就会下载远端管理工具ngrok进行横向移动,从而存取网域控制器(DC)。过程中骇客使用公开工具RunPE-In-Memory将二进位程式载入记忆体内运作,从而触发CVE-2024-30088提升权限。
日本电子大厂卡西欧(Casio)证实遭勒索软体攻击,造成公司多个系统无法使用,以及数量尚未确定的员工资料及部分客户个资外泄。附带一提的是,发动攻击的骇客组织曾对台湾厂商下手。
上周卡西欧透过官网公告,10月5日该公司确认遭网路攻击,经过调查显示,未经授权的存取,致使该公司部份伺服器故障,造成多个系统无法运作,并导致一些服务断线迄今。10月11日卡西欧公布初步调查结果,该公司及其关联公司部分个资和机密资讯已外泄。
而对于攻击者的身分,根据资安新闻网站Bleeping Computer的报导,很有可能是专门使用勒索软体Underground从事攻击行动的俄罗斯骇客组织RomCom(Storm-0978)。根据8月资安业者Fortinet公布调查该组织的结果,指出其中有台湾的工厂于7月18日受害。
对此Dr.Web在10月9日发布声明,表示他们知悉有人在Telegram频道宣称成功攻击基础设施的情况,并强调这些描述大多都是假的,该公司开发环境及客户资料并未受到这起资安事故影响,他们的软体元件及病毒资料库也不会对用户造成威胁。
这项漏洞发生的原因是缺乏身分验证的检核,导致在启用单一签入(SSO)的企业环境中,攻击者有机会在未经授权的情况下,窃得登入系统的凭证(Token),CVSS风险达到9.8分。资安业者Onapsis指出,该公司本月更新公告内容,主要是为SBOP BI Platform Servers 4.2 SP009提供对应的修补程式。