攻击者利用浏览器零时差漏洞的情况不时传出,但多半会针对较多人使用的Chrome而来,发生在今年10月上旬的Firefox零时差漏洞攻击相当引人关注,如今通报漏洞的研究人员更多细节。
他们提及这波攻击行动由俄罗斯骇客RomCom发起,在过程里还会运用Windows零时差漏洞CVE-2024-49039,使得攻击者无须与使用者互动,就能将后门程式散布到受害电脑。
【攻击与威胁】
今年10月Mozilla基金会修补Firefox零时差漏洞CVE-2024-9680(CVSS风险评分为9.8),并表明他们掌握实际利用的活动情资,通报此事的资安业者ESET本周公布这起事故的细节。
研究人员表示,他们在10月8日看到广泛利用CVE-2024-9680的迹象,骇客运用这项当时尚未公开的零时差漏洞,对Mozilla开发的应用程式下手。值得留意的是,攻击者在活动当中,串连11月例行更新修补的Windows零时差漏洞CVE-2024-49039(CVSS风险评分为8.8),而有机会在使用者登入作业系统的状态下,执行任意程式码。
对于发起这波攻击行动的骇客身分,研究人员表示是代号为Storm-0978、Tropical Scorpius、UNC2596的俄罗斯骇客RomCom。一旦成功利用上述漏洞,这些骇客就会在受害电脑植入后门程式RomCom,以便进行后续的网路间谍活动。
中国骇客组织Earth Kasha近日以后门程式,攻击包括Array Networks、Fortinet等品牌SSL VPN设备,已有台湾、日本,以及印度等地的企业受害。
趋势科技指出,这些骇客原本主要在日本活动,但他们今年初发现,Earth Kasha发展出新的攻击策略和技俩,从2023年起开始运用企业防火墙软体漏洞植入后门程式Lodeinfo。研究人员发现,骇客利用SSL VPN漏洞取得初始入侵管道,包括存在于Array AG及vxAG的漏洞CVE-2023-28461、Fortinet防火墙作业系统FortiOS与上网安全闸道FortiProxy的漏洞CVE-2023-27997,此外,骇客也滥用档案共用系统Proself漏洞CVE-2023-45727。
在多起事故中,Earth Kasha成功骇入企业组织的网域管理员帐号,并植入Cobalt Strike、Lodeinfo及Noopdoor,借此建立长期渗透管道,并从事资料搜集。
【漏洞与修补】
◆国际刑警组织Interpol及非洲刑警组织Afripol本周宣布,他们联手于19个非洲国家逮捕1,006名涉及网路犯罪的嫌犯,摧毁了134,089个恶意基础设施及网路。
此执法行动称为Operation Serengeti,是针对勒索软体、商业电子邮件诈骗、数位勒索,以及网路诈骗背后的犯罪份子,受害者多达3.5万名,造成近1.93亿美元的经济损失。
Interpol秘书长Valdecy Urquiza表示,从多层次行销诈骗到大规模的信用卡诈欺,网路犯罪的攻击数量与复杂程度不断增加,光是此一逮捕行动就能使无数的潜在受害者免受真正的损失,同时他们也知道这只是冰山一角,将继续锁定全球的犯罪集团。