上周二资安业者BlackBerry揭露对于间谍软体LightSpy攻击行动的最新调查结果,指出攻击者的身分是中国骇客APT41,并提及另一款模组化的恶意程式框架DeepData Framework,事隔3日,有研究人员透露更多关于该框架的外挂模组功能细节,其中最引起他们注意的是,专门针对FortiClient用户端程式零时差漏洞而来的外挂元件。
值得留意的是,这项漏洞的修补状态并不明朗,后续发展相当值得观察。
【攻击与威胁】
11月12日资安业者BlackBerry指出,他们发现使用iOS间谍软体LightSpy的攻击者身分,就是恶名昭彰的中国骇客组织APT41,并指出这些骇客也锁定政治人物及记者的电脑,打造Windows恶意程式框架DeepData Framework,事隔数日,有其他研究人员公布新的调查结果。
资安业者Volexity指出,他们在今年7月,于执行Fortinet的VPN用户端的Windows电脑里,察觉零时差漏洞(目前尚未登记CVE编号),此为可导致帐密泄漏的弱点,攻击者可借由用户端FortiClient的处理程序,从记忆体内窃取帐密资料。
针对恶意程式的来历,研究人员认为开发者是中国国家级骇客组织BrazenBamboo,这组人马与LightSpy、DeepData、DeepPost恶意软体家族有所联系。他们也揭露骇客设计的部分攻击流程,包含如何利用FortiClient漏洞,以及得逞后透过DeepPost外传资料的手段。
◆11月14日关联式资料库软体平台PostgreSQL开发团队发布17.1、16.5、15.9、14.14、13.17,以及12.21版一系列更新,本次修补4项资安漏洞,以及35项程式臭虫。
其中,最值得留意的是被列为高风险层级的CVE-2024-10979,此为PL与Perl环境变数变更造成的弱点,使得攻击者有机会执行任意程式码,CVSS风险达到8.8(满分10分)。
这项漏洞发生的原因,在于PL与Perl环境变数出现不正确控制的现象,导致不具特权的资料库使用者,有机会改变敏感处理程序的环境变数(如PATH)。开发团队进一步指出,即使攻击者并未具备资料库作业系统的使用者身分,还是有可能借此执行任意程式码。