锁定台湾而来的资安威胁与日俱增,我们前天(24日)曾报导将台湾视为主要目标之一的
新兴勒索软体不断窜出,且在短时间就引起资安界关注的情况持续上演,我们先前介绍的CrazyHunter、NightSpire、Anubis都是如此,其中CrazyHunter、NightSpire都在台湾发动攻击,如今有新的骇客组织也将台湾视为主要的攻击目标,而相当值得留意。
资安业者Trustwave揭露自今年5月开始活动的勒索软体骇客组织Dire Wolf,此组织专门针对全球的制造业与科技业发动攻击,目前号称在台湾等11个国家当中,对16个企业组织下手。研究人员指出,根据受害组织的数量,骇客偏重在美国、泰国、台湾发动攻击。
这些骇客向受害组织勒索的策略,也与大部分骇客相同,采用双重勒索来进行,不仅加密档案,也窃取机密资料向受害组织施压。研究人员从恶意软体分析平台VirusTotal取得勒索软体程式,指出骇客使用Go语言开发,并透过UPX加壳来混淆分析。虽然目前他们只有看到Windows版本的档案,但由于Go语言的跨平台特性,研究人员认为,不久之后,这支勒索软体可能也会发展出能在其他平台执行的版本。
最近两年骇客在网路钓鱼攻击频频使用ClickFix的攻击手法,他们在钓鱼网页当中假借系统错误、图灵验证等名义为诱饵,要求使用者点选特定按钮,然后依照指示以快速键开启执行视窗、贴上等操作来「修正」问题,但实际上,这么做是将刚才暗中复制的恶意命令贴上并执行,使得骇客得以对受害电脑上下其手。如今这类手法出现变化,攻击者有机会让这种攻击变得更加隐密。
资安研究员Mr.d0x揭露名为FileFix的网钓手法,攻击者可滥用浏览器的档案上传机制,要求使用者依照指示点选网站上的按钮并开启对话视窗,再使用快速键(Ctrl+L)或(Alt+D)选取网址列的内容,并贴上特定的内容,从而达到执行恶意命令的目的。研究人员指出,这种手法与他3年前提出的ClickFix手法有所不同,ClickFix必须引诱使用者离开浏览器并开启执行视窗,但FileFix只需在浏览器的环境,就有机会让攻击者执行作业系统的命令。
研究人员指出,这种手法不仅攻击过程无须离开浏览器,若是在浏览器呼叫的档案总管视窗执行恶意程式,还能突破Windows内建的Mark of the Web(MoTW)机制,此时攻击者可正常启动恶意酬载,该档案的MoTW标记也会随之消失。
骇客锁定邮件伺服器发动攻击的情况,近期不时有事故传出,而最近有一则资安重讯疑似与这类系统遭到入侵有关,因为他们提及,攻击者外流该公司的内部通讯录。
6月25日知名饮料制造商黑松发布资安重讯,指出他们遭到网路入侵,导致内部邮件通讯录外流的情况,目前寻求外部资安顾问协助处理,调查此事发生的原因。针对这起事故可能造成的影响,根据他们的初步评估,对于公司的营运无重大影响。
其他攻击与威胁
【漏洞与修补】
6月17日Citrix发布NetScaler ADC与NetScaler Gateway更新,修补重大层级的CVE-2025-5777(4.0版CVSS风险评为9.3),此为记忆体的越界读取(OBR)弱点,起因是输入验证不充分造成,最近有研究人员公布更多细节,认为这项漏洞本质上与2023年揭露的Citrix Bleed(CVE-2023–4966)雷同,呼吁企业的IT人员要尽速采取行动因应。
资安研究员Kevin Beaumont指出,CVE-2025-5777能让攻击者在特定组态的NetScaler设备上,读取记忆体的内容,一旦NetScaler配置为Gateway或是验证、授权、计费(AAA)虚拟伺服器,就会曝险。而对于攻击者能挖掘的敏感内容,其中包含连线阶段(Session)的Token,可被用于绕过多因素验证(MFA)防护机制。而这种型态的弱点,本质上就和Citrix Bleed类似,因此Kevin Beaumont将CVE-2025-5777命名为「CitrixBleed 2」。
其他漏洞与修补
Cellebrite表示,此交易将替数位鉴识与智慧装置的安全性设定新标准,涵盖iOS、Android、车用系统,以及所有基于Arm架构的物联网装置,不管是公共安全、国防、情报或私人企业等能因此而受益,以更快辨识行动装置漏洞与攻击手法,能够看到并与虚拟装置互动,全面提升所有基于Arm架构装置的DevSecOps效率与速度,以及执行原生Arm架构的渗透测试等。