骇客锁定合作厂商发动攻击的情况,很难不让人联想到供应链攻击。最近发生在资安业者ESET合作伙伴Comsecure的资安事故,就是这样的例子。
值得留意的是,骇客疑似透过Comsecure经营的网域,意图打著ESET的名号,假借提供防护工具为由,向以色列人散布资料破坏软体(Wiper),为何攻击者能够利用该网域寄信?该公司并未进一步说明。
【攻击与威胁】
10月18日资安业者ESET的研究团队指出,该公司以色列合作伙伴遭遇资安事故,根据的初步调查,在10分钟内有限的恶意邮件攻击就遭到封锁。ESET强调,他们并未遭到入侵,正积极与合作伙伴紧密合作,进一步调查此事。
在上述的公告里,ESET并未透露相关细节,我们透过代理商台湾二版询问该公司,他们表示这起事故主要的目标是以色列用户,相关威胁已经成功拦截,而且不会对亚洲用户造成影响。
根据资安新闻网站Bleeping Computer的报导,这起资安事故发生在10月8日,带有ESET商标的钓鱼邮件从合法网域eset.co.il发送,这些钓鱼邮件声称来自ESET进阶威胁防御团队(ESET Advanced Threat Defense Team),国家级骇客打算对收信人的装置下手,他们提供名为ESET Unleashed的工具来协助用户因应。一旦收信人照做,就会取得ZIP档案,其内容包含部分ESET防护软体元件,以及伪装成安装程式(setup.exe)的资料破坏软体(Wiper)。
最近中国骇客的攻击行动频频,其中最恶名昭彰的APT41(又称Winnti、Earth Baku、Brass Typhoon),有研究人员揭露长达9个月的攻击行动,公布这些骇客隐密的手法供防守方参考。
资安业者Security Joes揭露APT41最新一波攻击,这些骇客锁定一家赌博及游戏业者,在维持秘密的行动下,企图接管整个网路基础设施,他们采取多阶段攻击,为期接近9个月,光是侦察活动花上半年,而在活动当中,骇客还根据受害公司资安团队的回应调整工具。研究人员认为,上述活动,可能与资安业者Sophos揭露的Operation Crimson Palace攻击有关。
这波攻击行动如何进行?研究人员目前无法确定骇客初始入侵的管道,但根据采集到的证据与过往该组织曾经运用的手段,研判可能借由网路钓鱼得到初期的存取权限,等到成功进入受害组织的基础设施,就会执行DCSync攻击,企图取得服务及管理帐号的密码杂凑资料,从而控制整个网路环境以便持续活动。
轮胎制造商正新于10月21日在股市公开观测站发布重大讯息,表示他们加拿大子公司Cheng Shin Rubber Canada部分资讯系统遭到网路攻击,事发当下资讯部门全面启动相关防御机制与复原作业,并协同外部资安业者进行后续处理。
该公司指出,他们正对于所有网域、网页,以及相关档案执行彻底扫描,确保安全无虞,再以日常备份资料恢复运作。针对这起事故,他们初步评估对营运无重大影响。
其他攻击与威胁
◆◆