【资安日报】5月24日,研究人员揭露中国骇客组织APT41的作案工具KeyPlug,并指出有可能也提供当地资安业者安洵运用

最近有研究人员针对恶名昭彰的中国骇客骇客组织APT41攻击行动进行调查,并指出对方使用名为KeyPlug的后门程式攻击义大利的企业组织,其手法相当复杂、刁钻。

虽然这并非这些骇客首度运用KeyPlug,但研究人员比对这次的作案工具特征,认为他们疑似曾更换软体的名称提供中国资安业者安洵使用,这间接印证两者之间有合作关系的现象。

 

【攻击与威胁】

资安业者Tinexta Cyber旗下的Yoroi恶意软体研究团队揭露中国骇客组织APT41近期的攻击行动,这些骇客锁定义大利的企业组织而来,部署名为KeyPlug的后门程式,骇客以C++开发而成,并打造Windows及Linux版本,并能透过HTTP、TCP、UDP等多种网路通讯协定接收来自C2的命令。而对于骇客使用这个后门程式的时间,他们推测最早在2021年6月可能就开始使用。

附带一提,他们也将这项APT41使用的作案工具与今年2月中国资安业者安洵(i-Soon,或写作Anxun)流出的资料进行比对,并指出这批资料当中提到一种名为Hector的RAT木马程式,很有可能就是他们本次调查的KeyPlug。

本周台湾艺术大学发出资安公告,指出他们的校友联络中心网站存在资安问题,任何人透过Google搜寻就有机会看到申请校友证的个资,他们紧急将网站关闭,请求Google协助清除暂存内容,并对于含有机敏个资的中级系统,全面进行弱点扫描。

台艺大在18日接获校友反映,任何人只要透过Google搜寻,就有机会看到校友的个资,这些资料与申请校友证有关,包含姓名、身分证字号、地址、室内电话号码、行动电话号码、电子邮件信箱。

电算中心获报后进行紧急应变措施,并将对于含有机敏个资的中级系统进行弱点扫描、修复,并对于个资栏位进行遮罩及加密处理。

其他攻击与威胁

5月21日资安业者Ivanti发布本月份资安公告,修补Avalanche、Neurons for ITSM、Connect Secure(ICS)、Secure Access、Endpoint Manager(EPM)等旗下产品16个漏洞。

值得留意的是,这次有超过半数漏洞与EPM有关,而且,这些漏洞多为高风险或重大层级。本次Ivanti共为EPM修补10个漏洞,这些漏洞皆为SQL注入漏洞,存在于EPM核心伺服器,影响2022 SU5以前的版本,一旦遭到利用,攻击者就能在未经身分验证的情况下,透过EPM所在的网路环境执行任意程式码,CVSS风险评分有6个为9.6分,其余为8.4分。

以阻挡恶意电话与简讯Whoscall闻名,去年于创新板挂牌上市的Gogolook(走著瞧-创),于24日在台湾证券交易所召开重大讯息记者会,说明将并购总部位于荷兰的数位防诈服务商ScamAdviser,期待进一步带动企业端服务,加速扩及全球市场。

Gogolook财务长黄钰文在重大讯息记者会上表示,该公司本日召开董事会通过海外股权收购案,预计以不超过450万欧元现金(约新台币1.56亿元),取得此防诈服务商100%股权,预计于今年第三季前完成交割。

对于Gogolook而言,这次并购有何效益?黄钰文在记者会提到三大重点,简单来说,首先,强化防诈技术与扩展不同防护场景,其次是深入走进企业防诈服务,第三是跨入欧美市场。而我们可以看出,尤其是后两者的效益,是Gogolook非常看重的部分。