本周多国执法单位宣布接管勒索软体LockBit的基础设施,但这些骇客疑似随即东山再起,利用甫公布的重大漏洞发动攻击。
资安业者Sophos、Huntress发现,有人利用ScreenConnect的漏洞CVE-2024-1708、CVE-2024-1709发动攻击,从而在目标组织执行勒索软体LockBit,其中包含与911相关的系统和医疗机构,研究人员推测,这些攻击很有可能是尚未遭到取缔的LockBit附属团体所为。
【攻击与威胁】
22日资安业者Sophos提出警告,他们先是看到有人利用这项漏洞发动勒索软体LockBit攻击,也出现用于散布其他恶意程式的情况,这些恶意程式包含了AsyncRAT及窃资软体,此外,还有部分攻击是植入远端支援系统SimpleHelp的用户端程式。资安业者Huntress也证实这些漏洞被用于勒索软体攻击的情况,并指出骇客锁定了诊所、兽医院,以及与911专线相关地方政府系统。
资料来源
Meta近期针对2023年第4季的威胁态势公布调查结果,指出有别于过往锁定该公司社群网站用户的恶意软体攻击,本季主要都是由商业间谍软体厂商发起,他们一共看到8家义大利、西班牙、阿拉伯联合大公国(UAE)网路间谍公司的恶意活动,并指出这些公司的恶意软体会收集设备的系统资讯、地理位置、照片、影片、通讯录、行事历、电子邮件、简讯、社群网站、即时通讯软体,并透过麦克风、视讯镜头、萤幕截图收集各式情报。
研究人员指出,这些商业间谍软体收集的资料范围相当广,不光是Meta旗下的脸书、Instagram遭到锁定,也搜括使用者的其他社群网站平台(如X、Reddit、Twitch)、影音串流平台(如YouTube、TikTok)、即时通讯软体(如Skype、SnapChat、Telegram),以及职场社群网站LinkedIn的内容。另一个不同之处在于,过往的商业间谍软体大多针对行动装置而来,但这次发现窥伺活动的范围也涵盖Windows、macOS作业系统装置的使用者。
此外,Meta也针对合谋的伪冒行为(Coordinated Inauthentic Behavior,CIB),从脸书及Instagram删除逾2千个中国、缅甸、乌克兰的帐号、网页、群组,以中国的CIB行动而言,骇客会特别贴文苛责美国对于台湾和以色列的外交政策,并抨击该国政府对乌克兰的态度。
2月20日VMware发布资安公告,揭露与vCenter Server增强型验证外挂程式(Enhanced Authentication Plug-in,EAP)有关的漏洞CVE-2024-22245、CVE-2024-22250。
CVE-2024-22245为任意身分验证中继漏洞,存在于EAP的浏览器延伸套件,一旦攻击者锁定安装EAP的浏览器,就有机会对网域使用者下手,从而请求及重放AD服务主体名称(Service Principal Name,SPN),CVSS风险评为9.6分。另一个漏洞CVE-2024-22250则是能用于挟持浏表欠连线阶段(Session),攻击者若是能够本机存取Windows作业系统,就可能挟持特权使用者建立的EAP连线阶段,CVSS风险评为7.8分。
值得留意的是,由于VMware已在2021年弃用EAP,该公司呼吁用户应尽速移除该元件,并提供相关的PowerShell命令。
资料来源
2月22日美国联邦交易委员会(FTC)针对防毒业者Avast擅自收集大量用户资料,并卖给上百家资料掮客的情况祭出处分,要求该公司支付1,650万美元罚款,并停止相关行为。
根据调查,Avast至少从2014年开始,利用旗下防毒软体及浏览器扩充套件,内容涵盖搜寻及存取的网站,从而窥探使用者的宗教信仰、健康问题、政治倾向、位置、财务状况等敏感资讯,并在未经告知、未经用户同意的情况下,透过子公司Jumpshot出售给第三方资料掮客,用以执行目标式广告。
FTC这么做其来有自,2019年两大浏览器龙头Google及Mozilla察觉Avast推出的4款浏览器扩充套件过度追踪使用者上网行为,从Chrome Web Store、Firefox Add-ons扩充套件市集将其下架,隔年科技新闻媒体Motherboard与PCMag联手,踢爆Avast出卖使用者上网资料的行为。
【其他新闻】