针对2周前公布的网路攻击事故,资安业者BeyondTrust本周公布新的调查结果,指出攻击者利用了他们近期修补的重大层级命令注入漏洞CVE-2024-12356,以及另一个中度风险的CVE-2024-12686。
值得留意的是,该公司并未在漏洞资安公告提及已遭利用的现象,但这起事故发生至今已超过半个月,不禁让人怀疑骇客挖掘了零时差漏洞从事攻击。
【攻击与威胁】
攻击者滥用广告散布恶意程式的情况不断有事故传出,但如今手法也变得越来越刁钻,有骇客利用广告追踪服务来掩盖意图,导致相关资安防护机制难以察觉异状。
资安业者Guardio揭露大规模的冒牌Captcha图灵验证攻击行动DeceptionAds,骇客借此散布窃资软体Lumma Stealer,从而绕过安全浏览(Safe Browsing)等常见的资安防护机制。而这起攻击行动骇客接触受害者的管道,主要是经由单一的广告网路来进行,此网路每天散布超过100万次广告,并透过逾3千个内容网站引诱使用者上当。
研究人员与另一家资安业者Infoblox合作,分析重新导向链、经混淆处理的指令码,以及攻击者使用的流量分配系统(Traffic Distribution Systems,TDS),得知攻击者滥用BeMob等广告追踪系统来埋藏攻击意图,此手法针对广告生态圈分散的情况而来,而使得攻击者能够发展成大规模攻击行动。
12月19日视讯监控系统业者京晨科技于股市公开观测站发布重大讯息,指出他们有部分资讯系统于11月11日出现异常的现象,经确认是遭受骇客攻击,资讯及资安单位随即启动资安防御与复原机制,委请外部资讯公司技术专家及系统厂商协助处理,目前系统运作已经恢复。
值得留意的是,该公司提及有部分资料外流的现象,但经过评估,这起事故并未对公司的财务、业务,以及营运造成重大影响。
其他攻击与威胁
◆在研究人员揭露针对TP-Link网路设备而来的僵尸网路攻击行动,广泛、大量使用该厂牌设备的美国,传出也开始著手调查,认为该厂牌设备有可能会严重影响国家安全。
根据12月18日华尔街日报的报导,他们取得知情人士的说法,美国司法部、商务部、国防部正著手调查TP-Link的网路设备,想确认是否会对国家安全造成危险,并表示有可能会从明年开始禁用该厂牌的路由器。
为何美国政府传出会如此大动作调查TP-Link路由器的安全性?资安新闻网站Bleeping Computer指出,原因很有可能与中国骇客经营的僵尸网路Quad7有关。