投资诈骗的事故频传,为了取信受害人,有些歹徒架设诱饵新闻网站(Baiting News Sites),以类似新闻报导的形式散布诈骗讯息,揭露此事的资安业者CM360侦测到超过1.7万个网站,值得留意的是,这些网站都针对目标民众进行调整,以当地语言、名人、金融机构来行骗。
本周有许多厂商发布7月份例行更新,其中又以SAP供应商关系管理平台的满分漏洞最危险,再者,Fortinet应用程式防火墙(WAF)的SQL注入漏洞也相当严重而值得留意;Citrix修补VDI平台的代理程式高风险漏洞,有机会让攻击者得到SYSTEM权限。
【攻击与威胁】
近年来网路投资诈骗事故频传,其中一种最常见的手法,就是攻击者打著名人的名号,并透过社群网站、影音串流平台接触受害者,但也有骇客架设几可乱真的假新闻网站,借此引诱使用者上当。
举例来说,最近资安业者CM360揭露横跨全球50个国家的网路投资诈骗活动BaitTrap,就是这样的情形。骇客架设超过1.7万个诱饵新闻网站(Baiting News Sites),这些网站伪装成CNN、BBC、CNBC、News24、ABC News等受到信任的新闻媒体,发布捏造的消息,并利用知名公众人物,以及国有银行、中央银行、商业银行等金融机构来建立信任,假借中央银行总裁、国家领导人,或是公众人物的名义,宣称意外发现透过加密货币致富秘密方法,借此诱骗使用者掉入投资诈骗的陷阱。
值得留意的是,这些诱饵新闻网站往往会针对攻击目标量身打造,使用当地语言、当地民众熟悉的品牌、金融机构,以及公众人物,来增加诈骗成功的机会。这类网站在中东地区最泛滥,有超过一万个;其次是亚太地区,约3,400个,但也有针对大洋洲、欧洲、美洲、非洲的诱饵新闻网站。
资安公司ESET揭露与伊朗关联的骇客组织BladedFeline,持续渗透中东多地区政府与能源、电信单位,锁定IIS与Exchange伺服器,并大规模散布Whisper、PrimeCache等新型后门程式。研究人员发现,BladedFeline自2017年起便长期潜伏于库德自治区政府系统,2024起更已成功入侵伊拉克中央政府多名高阶官员的网路环境。
BladedFeline整体行动目标以搜集中东地区政府与重要产业的敏感资讯为主,ESET推测其活动可能替伊朗取得区域政治与情报相关资料。
根据ESET的程式码分析,并比对受害目标族群及攻击手法,BladedFeline推测可能是伊朗APT34(OilRig)旗下的子群组。该组织透过多种后门与反向通道工具,建立一套成熟的渗透、持久化 及扩张三阶段攻击链,其中,IIS原生模组PrimeCache为关键技术,能被动拦截HTTP请求,并透过加密Cookie藏匿控制讯息,将参数分段接收、快取再组合执行,有效规避传统防御。PrimeCache全程采用RSA与AES-CBC加密并以Base64编码,使其攻击流量具隐蔽性不易被侦测。
今年4月乌克兰电脑紧急应变团队(CERT-UA)揭露名为GiftedCrook的窃资软体,骇客组织UAC-0226针对该国军事单位、执法机关、地方自治团体而来,特别偏好位于乌克兰东部边境的组织。这些骇客散布带有Excel巨集附件档案的电子邮件,一旦收信人开启,就会在电脑植入恶意软体,其中一个就是GiftedCrook。如今相关攻击活动升级,骇客强化此窃资软体的危害能力,导致相关威胁加剧。
资安业者Arctic Wolf针对此窃资软体进行追踪、调查,指出在CERT-UA揭露之后,骇客两度改版增加功能,从原本能够窃取浏览器存放的使用者资料,变成能同时窃取受害电脑的特定档案,成为骇客用来收集情资的工具。由于新版GiftedCrook出现的时间,恰巧与在伊斯坦堡举行的乌克兰和平谈判时间点吻合,因此他们推测骇客的目的,很有可能就是要收集乌克兰政府与军事单位的情报。
其他攻击与威胁
这项漏洞存在于SRM的Live Auction Cockpit工具,起因是此工具搭配已经弃用的Java Applet元件,未通过身分验证的攻击者可以使用特定的格式编码,来发送恶意酬载请求。
一旦伺服器端程式(Servlet)收到请求并解码,就会造成资料的反序列化,从而让攻击者以SAP管理员执行任意的作业系统命令,严重影响应用程式的机密性、完整性、可用性。
Fortinet本周释出安全公告,修补网页应用防火墙(WAF)产品FortiWeb的重大风险漏洞,若不处理可能导致SQL程式码注入攻击。
本漏洞编号CVE-2025-25257,为对SQL指令中特殊元件的不当中和(Improper Neutralization),即未对输入的特殊字元进行适当处理,导致这些字符被SQL引擎误判为SQL指令,形成SQL 注入。本漏洞可让未经授权的攻击者可经由传送HTTP或HTTPS呼叫,执行SQL程式码或指令,CVSS风险值达9.6。
其他漏洞与修补