针对地理位置资讯伺服器GeoServer的重大层级漏洞CVE-2024-36401,自6月得到修补后,隔月便出现相关攻击行动,并引起美国政府注意,将其列为已被利用的漏洞。
半个月前资安业者Fortinet揭露相关漏洞利用攻击的情况,推测骇客很有可能来自中国,本周另一家业者趋势科技也公布调查结果印证这项推测,值得留意的是,他们看到的攻击行动,发生在台湾公部门。
【攻击与威胁】
今年6月下旬地理位置资讯伺服器GeoServer修补重大层级漏洞CVE-2024-36401(CVSS风险评分为9.8),时隔不到一个月,美国网路安全暨基础设施安全局(CISA)证实已出现攻击行动。先前通报漏洞的资安业者Fortinet,透露相关资安事故,并指出从事活动的攻击者,同时运用中国骇客惯用的恶意程式SideWalk,本周有其他资安公司公布新的攻击行动。
根据趋势科技昨天揭露的调查报告指出,名为Earth Baxia的骇客组织今年7月针对台湾某个政府机关发动攻击,骇客利用钓鱼邮件及CVE-2024-36401取得初始入侵管道,而能在受害主机植入Cobalt Strike相关元件,当中使用后门程式EagleDoor。研究人员根据骇客使用的伺服器进行调查,发现大部分架设在阿里云,或是位于香港,而且,骇客使用的部分恶意程式样本先前曾从中国上传至VirusTotal,再加上Cobalt Strike伺服器多数位于中国,因此他们推测这些APT骇客来自中国。
究竟这些骇客的攻击目标为何?研究人员根据他们取得的钓鱼邮件、诱饵档案等资料,认为主要目标似乎是台湾、菲律宾、韩国、越南、泰国的政府机关、电信业者、能源产业。但后来他们发现,中国也是这些骇客下手的范围,不过,研究人员无法确认当地有那些产业受害。
从今年初开始勒索软体INC Ransom攻击事故接连传出,先是今年1月全录企业解决方案(XBS)美国分公司受害,接著3月底骇客声称从苏格兰国家健康服务(NHS)窃得3 TB资料,8月初有一起资安事故针对美国密西根州医疗照护体系McLaren而来,到了这个月,有研究人员提出警告,表明这群骇客的主要目标就是美国的医疗体系。
本周微软威胁情报团队指出,利用此勒索软体犯案的骇客组织,是被称为Vanilla Tempest、DEV-0832的骇客组织Vice Society,他们看到美国医疗产业成为他们的攻击目标。一旦Vice Society成功入侵受害组织的网路环境,就会部署后门程式Supper、远端监控及管理工具AnyDesk,以及云端档案共享服务的Mega资料同步工具。接著,骇客就会透过远端桌面连线(RDP)进行横向移动,并运用WMI部署勒索软体的有效酬载。
其他攻击与威胁
【漏洞与修补】