【资安日报】10月7日,亲俄骇客传出再度发动DDoS攻击,多家上市柜公司网站受到影响

亲俄骇客NoName057因总统赖清德接受媒体采访的回答里,提及中国政府一再主张的维护领土完整性,认为他们应该要夺回清朝签订瑷珲条约而割让俄罗斯的土地,而引起骇客不满,已于9月发起一波DDoS攻击行动,上周又有企业组织传出受害,并于股市公开观测站发布重大讯息。

值得留意的是,这些骇客不光针对企业而来,他们这次的目标也涵盖台湾多个政府机关。

 

【攻击与威胁】

自9月上旬台湾有多个政府机关与上市公司遭遇DDoS攻击,10月第一个周末又发生新一波遭受攻击的状况,而且其中有知名高科技业与塑化大厂的网站遇袭。

在10月5日到6日,台塑化、纬创、联电这3家上市公司相继发布重大讯息,说明遭遇DDoS攻击的网路资安事件,并表示网站服务已经恢复正常运作。此外,10月4日周五下午,上柜电脑及周边设备业「青云」也公布遭遇同类型的阻断服务式(DoS)攻击,并表示正在恢复系统中。

由于上个月才有类似情况发生,这次攻击可能仍是同一攻击者所为,因为先前宣称对台发动DDoS攻击的亲俄骇客组织NoName057,这次仍十分嚣张地在社群平台X公布其攻击活动,并宣称伙同多个骇客组织一起行动。

9月下旬华尔街日报(WSJ)取得知情人士的说法,中国骇客组织Salt Typhoon已入侵美国ISP业者,上周再揭露,美国电信业者AT&T、Verizon与Lumen皆已受骇,且骇客锁定的可能是美国政府用来合法要求资料的窃听系统。

知情人士透露,Salt Typhoon企图于美国ISP的基础设施中建立据点,以进一步渗透系统,或是发动破坏性的网路攻击,目前认为骇客的主要目标应是为了收集情报。

根据报导,相关攻击在最近几周才被发现,美国政府及私人机构都在协助调查,亦正在研究思科系统是否遭骇。大量渗透到美国ISP业者基础设施的骇客,可能已经存取美国政府在取得法院授权后,可向ISP业者请求资料的系统,而且时间可能长达数月或更久。

云端资安业者Aqua Security上周揭露专门锁定Linux伺服器的恶意程式Perfctl,它会侦测伺服器上的逾2万种错误配置,或者是利用应用程式RocketMQ的安全漏洞CVE-2023-33246来入侵,再利用CVE-2021-4043等漏洞来提高权限,企图长驻于系统上,借由这些受骇设备挖矿,或是执行代理伺服器劫持(Proxyjacking)软体。

Perfctl主要被用来执行如XMRIG等加密货币挖矿程式,某些情况也会执行代理劫持程式;它在内部以Unix Socket通讯,外部则采用TOR,以避免遭到侦测;并以Rootkit来隐藏自己的存在,或是将自己命名为常见的系统文件名称。

今年6月Adobe修补电商网站平台重大漏洞CVE-2024-34102(也被称为CosmicSting),这项资安弱点位于Adobe Commerce及Magento Open Source电商平台,一个月后美国网路安全暨基础设施安全局(CISA)证实已出现攻击行动,最近有资安业者揭露受害规模。

资安业者Sansec提出警告,他们自Adobe公布漏洞之后进行追踪,迄今已发现至少有7个骇客组织将其用于攻击行动,并入侵4,275个购物网站,相于有5%采用这种电子商务平台的网站受害。

为什么这项漏洞的影响如此广泛?研究人员指出,因为在7月8日骇客就已经发动自动化攻击,并偷走数千个加密金钥,但大多购物网站的管理者并未依循Adobe的最佳实务而更换金钥,因此,即使购物平台系统更新完成,这些遭窃的金钥仍然有效,骇客还是可以在未经授权的情况下,利用这些金钥窜改受害的购物网站。

 

【漏洞与修补】

其他资安产业动态