上个月资安业者Sophos公布中国骇客大规模攻击行动Pacific Rim,指出骇客于四川地区从事漏洞调查及开发,将发现的漏洞提供给中国政府资助的骇客运用,如今美国政府也证实这样的发现。
昨天美国财政部外国资产控制办公室宣布,他们将对于中国资安业者四川无声信息技术(Sichuan Silence)祭出制裁,原因是该公司员工找到特定厂牌防火墙的漏洞,将其用于发动全球性的大规模勒索软体攻击。
【攻击与威胁】
本周一(12月9日)资安业者Huntress提出警告,他们从3日开始察觉Cleo旗下MFT档案传输系统Harmony、VLTrader、LexiCom遭到锁定的迹象,骇客对于这些MFT系统进行大规模的后利用活动,并在8日出现大幅增加的情况。
值得留意的是,攻击者疑似针对一项10月底公布的漏洞CVE-2024-50623而来,但研究人员指出,Cleo当时发布的更新5.8.0.21版修补不全,攻击者照样能对上述完全修补的系统利用该漏洞发动攻击,他们也向Cleo通报此事,并呼吁用户将曝露于网际网路的MFT系统移至防火墙后方,以免成为攻击者下手的目标。
许多软体开发人员采用微软提供的IDE工具Visual Studio Code(VSCode),而锁定这些用户的攻击,过往通常是针对其外挂程式而来,骇客会透过试图散播有问题的外挂,以便对开发人员下手,如今有骇客组织利用该工具内建的功能,远端控制受害电脑。
资安业者Tinexta Cyber、SentinelOne联手,调查中国骇客专门针对南欧大型B2B资讯科技服务供应商的攻击行动Operation Digital Eye,并指出这些骇客的主要目标,其实是这些企业的下游公司及组织。
这波攻击发生在今年的6月下旬至7月底,两家资安业者很早就察觉骇客的行动,并成功阻止事态扩大,不过,他们发现攻击者为了隐匿行踪而运用先前未曾出现的管道,那就是:滥用开发工具VSCode的隧道(tunnel)功能。
其他攻击与威胁
◆12月10日微软发布本月份例行更新(Patch Tuesday),总共修补72个漏洞,较上个月数量(89个)有所减少。其中,有27个提升权限漏洞、30个远端程式码执行(RCE)漏洞、7个资讯泄漏洞、5个阻断服务(DoS)漏洞,以及1个可被用于诈欺的漏洞。值得留意的是,其中一个漏洞已被发现遭到利用的迹象。
这个被用于实际攻击行动的漏洞,是Windows通用事件记录档案系统(CLFS)权限提升漏洞CVE-2024-49138,一旦遭到利用,攻击者就有机会得到SYSTEM权限,CVSS评分为7.8。美国网路安全暨基础设施安全局(CISA)也将其纳入已遭利用的漏洞名册(KEV),要求联邦机构于12月31日前完成修补。
◆随著网路攻击日益规模化与复杂化,做好资安防护、监控与应变之余,无论国家、产业都越来越强调,单一机构已无法单独应对所有的资安威胁,因此对于企业组织的CSIRT、PSIRT团队而言,更加看重交换威胁情报与应变作为。
而在国内的联防体系建立之外,国际间也有FIRST(Forum of Incident Response and Security Teams)国际资安应变组织,串起企业与组织的知识共享与协同合作,希望提升全球资安应变能力,减少网路安全事件的冲击。
特别的是,今年台湾加入FIRST的企业与组织有新的突破,不只成员增加到25个,比去年多出8个,更重要的变化在于,台湾高科技与电子制造业的数量,从2022的1年增加1个成员,到最近两年每年增加3个以上成员,在金融领域方面,虽然两年前国内有F-ISAC这样的组织加入,如今更是出现首家金融机构,别具意义。