微软发布今年第7次的每月例行更新(Patch Tuesday),虽然这次修补的漏洞数量相当多,但未提到这些漏洞出现用于实际攻击行动的情况,仅有一个是在微软修补前遭到公开的SQL Server弱点。漏洞悬赏专案Zero Day Initiative(ZDI)推测,微软这次修补的漏洞数量大幅增加,很有可能与接下来8月初举行的资安大型会议黑帽大会(Black Hat)、DEFCON有关。
在资安威胁态势方面,有人透过AI假冒美国国务卿卢比奥(Marco Rubio)的情况,引起该国政府重视;再者,骇客在Chrome、Edge延伸套件市集上架恶意套件的攻击行动,这些套件已被下载230万次,使用者应尽速确认是否受害;而对于新兴勒索软体Bert的动态,他们从原本锁定Windows电脑,如今也加密虚拟化平台的档案。
【攻击与威胁】
过往骇客打造恶意浏览器套件从事攻击行动的情况,不少是架设钓鱼网站来引诱使用者安装,但如今有人成功将这类恶意软体放上浏览器开发商的延伸套件市集,使得这种安装来源的信任机制受到挑战。
例如,最近资安业者Koi Security揭露同时针对Chrome与Edge用户而来的攻击行动RedDirection,就是这样的例子。因为浏览器的延伸套件市集Chrome Web Store、Microsoft Edge Addons,竟然存在18个恶意套件,总共感染超过230万个用户。这些套件伪装成常见的生产力及娱乐工具,涵盖Emoji符号键盘、天气预报、影片速度控制器、音量放大工具、供Discord或抖音(TikTok)使用的VPN代理伺服器、YouTube解锁工具等,所有的套件都具备开发者宣称的功能,但同时也监控浏览器活动并挟持部分功能。
值得留意的是,其中部分延伸套件甚至取得市集通过验证的状态,甚至被列为精选套件。根据Koi Security公司的调查,所有的套件都是使用独立的C2子网域,看起来好像由不同的人马经营,但实际上都是源自相同的攻击基础设施。
中国骇客锁定图博人士从事攻击的情况,不时有资安事故传出,如今骇客利用达赖喇嘛90岁生日即将来到的时间点,锁定近期举行的会议与相关议题为诱饵,从事网路攻击。
其中一组名为Mustang Panda、Hive0154、RedDelta、Earth Preta、TA416的中国骇客,从今年5月锁定图博社群下手的情况升温。揭露此事的IBM X-Force研究人员表示,骇客利用几种诱饵来发动攻击,其中一种是在6月2日至4日于日本东京举行的第9届世界国会议员图博大会(World Parliamentarians’ Convention on Tibet,WPCT),但也有利用中国政府在西藏自治区(TAR)的教育政策,以及达赖喇嘛发表的新书《Voice for the Voiceless》当诱饵的情况。
研究人员指出,他们先前曾看到这些骇客从2024年底至今年初锁定台湾、美国、菲律宾、巴基斯坦从事网路间谍活动。而这次骇客也与之前接触受害者的方式雷同,都是寄送各种地缘政治主题的钓鱼邮件,并引诱他们上当。这邮件通常含有Google Drive的连结,一旦收信人点选,电脑就会下载ZIP或RAR压缩档。