资安业者Bitdefender揭露专门锁定南海国家政府高层的中国骇客组织Unfading Sea Haze,他们确认至少有8个军事单位与政府机关受害,相关攻击行动最早可追溯到2018年,换言之,这些骇客暗中活动已超过5年。
研究人员指出,根据他们找到骇客不同时期使用的作案工具,对方运用了木马程式Gh0st RAT的变种,以及多种.NET恶意酬载,攻击过程会借由名为SharpJSHandler的工具执行JavaScript程式码,这些手法不仅让他们认为Unfading Sea Haze与中国有关,上述执行JavaScript程式码的工具,也出现在与APT41有关的后门程式funnyswitch。不过,研究人员指出,除此之外两组骇客的作案工具并未出现其他共通点,因此他们认为,这是中国骇客组织之间共用程式码所致。
究竟这些骇客如何入侵受害组织?研究人员表示事隔6年导致证据缺乏,并不清楚如何做到。但他们确认对方在长时间的攻击行动里,会多次重新取得受害系统的存取权限,其中一种做法是透过钓鱼邮件进行。
今年1月鸿海旗下的半导体设备厂京鼎传出遭到入侵,骇客窜改该公司网站,宣称窃得5 TB内部资料,但究竟是只有网站受到影响,还是公司的IT环境遭到勒索软体攻击?最近又有新的消息传出。
5月21日晚间19时14分京鼎发布重大讯息,表示他们发现骇客在网路上公开窃得资料,而这些资料的来源,根据他们的调查,就是上述的资安事故流出,他们曾在1月16日发布重大讯息说明此事。
根据上述的公告内容,虽然京鼎仍然没有说明遭遇的攻击类型,但也证实骇客确实得手该公司内部资料的情况。只是这些资料内容为何,以及曝光后影响的层面,有待进一步说明。
其他攻击与威胁
本周微软发表具备强大AI功能的新型态电脑Copilot+ PC,并揭露名为Recall的新功能,号称可更容易搜寻使用者曾于电脑上操作的任何内容。然而,这项功能也引发AI将用户资料看光光的疑虑,对此,英国隐私主管单位资讯委员办公室(Information Commissioner’s Office,ICO)宣布,他们著手进行调查。
虽然微软允许用户删除相关记录,或是调查记录的时间范围、停用Recall,并强调索引结果不会上传云端,但是外界点出其他疑虑。例如,Recall的快照功能不会隐藏用户帐密,过滤网站功能仅限Edge;有不具名资安专家指出该功能无法根据GDPR规定,删除应用程式曝露的个资。