身为资安业者却遭到骇客入侵的情况,最近传出新的资安事故。例如,有许多研究人员使用的云端恶意软体沙箱Any.Run,其服务供应商传出遭到网路攻击,公司所有的员工都收到来自内部人士寄送的钓鱼邮件。
这起事故可追溯到一个月前有员工上当,虽然他尝试利用沙箱环境检查恶意连结,但并未做好相关设定,且依照对方指示提供自己的帐号密码,导致帐号遭到对方挟持。
【攻击与威胁】
提供云端沙箱测试环境的网站Any.Run指出,他们全体员工在上周收到借由内部员工发出的钓鱼邮件,经调查发现,原因是其中一名员工的帐号已经外泄所致,骇客企图利用他的帐号进行商业邮件诈骗(BEC)攻击。
事件最初发生于5月23日,一名销售团队的员工借由第三方服务收取钓鱼邮件,对方声称是之前曾经联系过的客户,这封信件内含可疑连结。为求保险起见,这名员工在27日将这封信传送至沙箱进行检查,确认上述连结是否有害,但他并未启用中间人代理伺服器模式(MitM Proxy),使得入侵侦测系统Suricata IDS并未发挥作用,因此没有解开HTTPS流量并侦测是否含有恶意内容。但这名员工却在沙箱环境里,依照骇客指示输入帐密资料,而被对方得逞。
到了6月18日,骇客利用这名员工的电子邮件信箱,对所有联络人名单里的员工发送钓鱼信。而这些信件的内容,与已经受害的员工收到的信件雷同。使得该公司察觉异常,并采取行动。
资安业者Recorded Future近期公布他们的调查结果,指出这些骇客也与许多勒索软体组织相同,不只针对Windows、Linux电脑下手,他们也使用勒索软体攻击VMware ESXi虚拟化环境,而这是首度有研究人员提及该组织针对虚拟化平台打造勒索软体的情况。
6月25日晚间电脑制造商华硕在股市公开观测站发布重大讯息,指出他们发生部分产品资料不慎曝光的情况,原因是资讯系统的参数设定出现问题造成。
该公司表示,他们找出组态错误的主机,随即检视资料存取相关的事件记录,清查可能外流的资料内容。但究竟资料曝光的范围及时间,华硕并未进一步说明。而针对这起事故可能带来的影响,他们初步评估,不会对公司营运及财务造成重大影响。但华硕也提及后续改善措施,表明将持续落实供应链管理及组态管理的审查,重新检视现有资讯系统架构并持续精进。
其他攻击与威胁
值得留意的是,以监测漏洞暴露在网际网路的全球威胁态势著称的非营利组织Shadowserver基金会,在6月25日Progress发布相关消息的当天,就观察到有心人士蠢蠢欲动。
关于CVE-2024-5806漏洞,设立于新加坡的新创资安厂商watchTowr其实在Progress公开之前,就已经收到知情人士的通报,因而提前得知这个当时尚未被揭露的弱点,也率先发布部落格文章解析CVE-2024-5806的问题、概念验证攻击手法,以及修正与缓解方式。