一周前资安业者Huntress提出警告,指出有人针对Cleo旗下MFT档案传输系统进行大规模攻击,当中利用绕过CVE-2024-50623的零时差漏洞修补,本周出现了新的说法。
根据资安新闻网站Bleeping Computer的一篇报导,勒索软体骇客Clop表示这起事故是他们所为,但并未透露何时开始发动攻击,以及有多少企业组织受害的情况,这些说法的真实性有待查证。
【攻击与威胁】
上周资安业者Huntress提出警告,他们从3日开始察觉Cleo旗下MFT档案传输系统Harmony、VLTrader、LexiCom遭到锁定的迹象,骇客对于这些MFT系统进行大规模攻击,并在8日出现剧烈增加的情况,其中,对方疑似针对10月底公布的漏洞CVE-2024-50623而来。这波攻击一度传出是勒索软体Termite所为,如今有新说法。
12月13日美国网路安全暨基础设施安全局(CISA)发布公告,表示他们将CVE-2024-50623列入已遭利用的漏洞名单(KEV),要求联邦机构于明年1月3日完成修补。但与大部分列入KEV的漏洞有所不同,他们特别表明这项漏洞已被用于勒索软体攻击。
两天之后,对于滥用此漏洞进行攻击的组织身分,资安新闻网站Bleeping Computer发布一份报导,当中提到勒索软体骇客组织Clop宣称事情是他们做的,并强调他们不会对政府服务、研究机构、医药相关的资料下手,若是不小心偷到这些资料,将会立刻删除。但究竟骇客从何时开始发动攻击,有多少公司受害,以及Clop与Termite是否有所关联,对方并未透露。
随著有许多网页应用程式以Linux作业系统打造,针对这类系统的恶意程式,今年出现显著增加的情况,而且,攻击者采用的手段越来越复杂,使得防御方更难察觉相关踪迹。
资料搜寻分析解决方案业者Elastic旗下的资安实验室表示,他们从恶意软体分析平台VirusTotal当中,发现针对Linux打造的rootkit恶意程式Pumakit,攻击者利用Linux内部功能追踪器ftrace挂勾18种系统呼叫功能,以及数种核心功能,从而操弄主要系统的行为。
值得一提的是,虽然此恶意程式仍在开发阶段,但研究人员发现,其中的LKM rootkit若要进入启动状态,需在具备安全开机(Secure Boot)检查、核心符号工具可用等特定环境,这些状态是扫描Linux核心得知,并代表攻击者所有的工具已随著恶意程式载入工具一并嵌入ELF执行档当中。
随著国际局势日益紧张,锁定会左右国家运作状态的关键基础设施(CI)而来的攻击行动不时传出,有骇客打造出能专门针对这类环境的恶意程式,引起研究人员高度关注。
专精工控安全的资安业者Claroty指出,伊朗骇客打造了名为Iocontrol的恶意程式,其主要目标就是以色列及美国的操作科技(OT)及物联网(IoT)装置,并被用于攻击多种型态的连网装置,包含IP摄影机、路由器、可程式化逻辑控制器(PLC)、人机介面(HMI)、防火墙,而且,遭到攻击的设备厂牌也相当广泛,涵盖Baicells、D-Link、海康威视(Hikvision)、Red Lion、Orpak、菲尼克斯电气(Phoenix Contact)、Teltonika、Unitronics等工控设备品牌。
针对利用此恶意程式的骇客,研究人员推测与名为Cyber Av3ngers的伊朗骇客组织有关,这些骇客曾在一年前,针对使用以色列自动化控制业者Unitronics的美国水利单位下手,值得留意的是,OpenAI在今年10月指出,这些骇客试图滥用ChatGPT破解PLC,并开发用于攻击的Bash及Python指令码。
其他攻击与威胁
◆◆
其他资安防御措施