锁定网站而来的供应链攻击频传,在昨天我们报导有人对专门侦测电子商务恶意软体与安全漏洞的资安业者Sansec周二(6月25日)警告,知名的Polyfill程式库polyfill.io自今年2月卖给一家中国业者之后,开始嵌入恶意程式,将造访使用其服务的网站使用者重新引导至体育赌博或其他恶意网站,呼吁网站管理人员应该关闭Polyfill,或是改用其他较为可靠的服务,例如:Fastly、Cloudflare提供的解决方案。
此程式库的主要功能,是在旧版浏览器中补充或模拟现代浏览器所支援的功能,当旧版浏览器用户存取的网站采用现代化浏览器所支援的新功能时,网站即可导入该函式库来实现相同的功能,让网页于旧版浏览器上能够正常运作,目前全球有超过10万个网站嵌入该函式库而曝险。
隔天,该组织公布了21个下载连结,但值得留意的是,有部分疑似来自美国金融机构Evolve Bank and Trust,而且,这些骇客还附上联准会6月14日针对这家金融机构进行执法行动的新闻稿,当时联准会表示这家银行在洗钱防治、风险管理、消费者法规遵循的执行上出现瑕疵。 但这些资料究竟来自联准会还是Evolve Bank and Trust?网路威胁监控公司HackManac透露,根据骇客公布的资料,对方显然入侵了Evolve Bank and Trust,但目前并未发现机密文件的情况,该公司仍著手持续调查当中。 资安业者Cado发现新的P2PInfect攻击行动,他们看到受害Redis伺服器在感染僵尸网路病毒后,会从特定的URL下载勒索软体rsagen并执行,并对于资料库档案SQLITE3、SQL、DB,文件档案DOC、XLS,以及影音档案MKV、WAV、MP3等,执行档案加密作业,并留下勒索讯息。 除了上述的勒索软体模组,研究人员指出与过往的版本相比,这个僵尸网路病毒也在其他层面出现大幅度的变化。首先,他们发现对方重新利用Rust非同步框架Tokio打造,并透过UPX加壳处理,而且,主要执行档被剥离,且有部分程式码经过混淆处理,这样的做法使得静态分析难以识别这款恶意程式。 其他攻击与威胁 ◆◆◆6月25日苹果针对旗下蓝牙耳机AirPods发布韧体更新6A326、6F8,修补身分验证漏洞CVE-2024-27867,这项漏洞影响第2代以上的AirPods、所有型号的AirPods Pro、AirPods Max,以及Beats旗下的Powerbeats Pro、Beats Fit Pro。 而对于这项漏洞带来的影响,苹果指出,当使用者的耳机在搜寻已成功配对的装置时,攻击者若是在蓝牙讯号的范围内,就有机会冒充已配对的装置,从而取得存取耳机的权限。换言之,攻击者可能借此窃听用户的声音。 不过,企业现有资安人力,远低于资安长心中理想的团队规模,要足以对抗企业当前资安威胁,资安长期望平均要达到5.9人,换句话说,现有4.8人的规模,还少了近四分之一的人手。各产业都有资安人手达不到资安长期望的情况,又以医疗业和政府学校的落差最大。 今年有4成企业要招募资安职缺,平均招募人数是2.7人,又以政府学校的招募人数需求最多,达到6.1人,主要来自少数一级政府机关、大型国营企业、大型学校为了资安转型而展开的人力需求扩编,才拉高了整体平均值。其次,金融业平均要招募4.2人,也远高于其他产业的平均资安人力需求量。 近期资安日报