今年11月的资安新闻,最让我们印象深刻的就是,看到防诈议题逐渐升格成为需要独立看待的威胁。
更关键的是,从2019年我们报导深度伪冒Deepfake与AI语音技术门槛降低的情形,现在2023年,许多专家已开始呼吁与提醒,真伪难辨的AI诈骗已是现在进行式。
近期我们注意到有两大事件,都与这方面的议题相关,包括:
(一)11月下旬,第一届亚洲防诈高峰会(ASAS)在台举行,不仅公布了亚洲10国最常见的诈骗场景,第一严重是「身分盗用(含个资盗用/盗刷)」,其次是「购物诈骗」,第三为「投资诈骗」,现场多位专家更是指出,AI诈骗时代已来临,不肖份子已将文字转语音、以及一些Deepfake技术用于诈骗,因此,个人与企业的防诈态度也必须调整。
值得我们警惕的是,国际间已经开始有此状况,台湾虽然少有听闻,但民众应该先要知道这件事。
过去可能大家会注意,文字式的即时通讯,网路另一端可能不是真正的对方,除非我们看得到影像、听得到声音,才相信是对方是真正的对方。
但是现在,在AI诈骗兴起之下,首先要扭转的观念就是,即便看到对方影像、听到对方声音,都没有问题,但是,现在不只要想到对方是否可能被要胁,也要预先设想对方是否并非本人,特别是当对方说出异于平时的要求时。
企业更要担心的是,过去带来极大损失的商业电子邮件诈骗(BEC),若是也在AI诈骗加持之下,假冒自家老板来电或视讯,通知财务人员汇款至另一帐户,将可能使BEC诈骗问题变得更严重。
在这一周漏洞利用消息中,今年5月曾发动MOVEit Transfer零时差漏洞攻击的骇客组织,近期有了新的目标,成为最大关注焦点,还有两个已知漏洞遭攻击者锁定利用的情形也必须留意。
(一)IT服务管理软体供应商SysAid在11月8日修补已遭利用的零时差漏洞CVE-2023-47246,并说明微软威胁情报团队已确定幕后攻击者是勒索软体骇客组织Lace Tempest(亦称Clop、TA505),由于该组织在今年5月底曾发动MOVEit Transfer零时差漏洞攻击,因此格外引发关注。目前,已陆续有资安业者说明,在10月30日、11月2日就发现该漏洞被利用于攻击行动的迹象。
(二)Atlassian在10月31日修补旗下DevOps协作平台Confluence重大漏洞CVE-2023-22518,有资安业者发现11月5日该漏洞正开始被用于攻击行动,并造成Confluence伺服器感染勒索软体Cerber。
(三)我们新发现这一周资安日报未提及的漏洞利用消息,是关于今年4月底资安业者揭露服务定位协定(Service Location Protocol,SLP)的高风险漏洞CVE-2023-29552,当时指出骇客可借此漏洞发动DoS攻击,并警告存在此漏洞的装置种类与数量都多,包括许多美国财富1000强的企业,在最近11月8日,该漏洞发现被攻击者实际利用于攻击行动。
本周其他重要的漏洞修补消息方面,包括:威联通修补旗下NAS作业系统2个重大漏洞,Veeam针对旗下IT监控解决方案Veeam ONE修补两个重大漏洞。此外,ZDI本周公开4个Exchange零时差漏洞,呼吁用户采取缓解,并说明9月已通报微软,微软则说明其中之一在8月已修补,其余则评估没有立即修补必要。
在威胁事件焦点方面,我们看到持续有不同产业遭遇资安事件的情形,例如:
●云端SIEM平台业者Sumo Logic公告资安事故,察觉自家使用的云端服务遭骇。
●跨国联锁五金零售业者Ace Hardware公告发生资安事故,大部分的IT系统皆面临中断或暂停运作的情况。
●乐高市集BrickLink遭网路攻击,有少部分帐号遭未经授权存取并被用来行骗。
●印度政府机关遭骇客组织SideCopy利用WinRAR漏洞攻击被资安业者揭露
●柬埔寨政府遭中国骇客使用基础设施伪装成云端备份服务的方式攻击被资安业者揭露
另一关注焦点在于,10月下旬Okta客户支援系统遭骇,有了后续消息。该公司在11月初揭露调查结果,指出骇客存取的资料影响了134家客户,并指出攻击者利用Okta系统之间沟通的Service Account,执行攻击行动,我们也特别注意到,Okta所公布的事件起因,值得企业警惕:他们认为这起事件可能与员工Google帐号遭骇有关,因为该员工曾在公司笔电上登入个人Google帐号,导致公司的服务帐户帐密储存到个人Google帐户。
在新兴威胁态势上,有恶意程式开发者宣称,Google Calendar的事件描述可被转换成C2加以滥用,这类隐密攻击手法,引起资安界的讨论与关注。其他一些恶意活动被揭露的消息,也不容轻忽,包括:透过PyPI套件散布恶意软体BlazeStealer的情形,透过企业脸书帐号发布恶意广告散布NodeStealer窃资,透过WordPress网站下达攻击命令的恶意程式GootLoader变种,以及名为Socks5Systemz的代理伺服器僵尸网路被揭露等。
●Juniper今年9月修补EX、SRX产品的5个可串联漏洞在资安威胁与事件方面,我们认为有下列5起事件值得留意:
●物流业者杜拜环球港务集团(DP World)近日遭网路攻击,并导致澳洲多个港口运作受到冲击,迫使该公司暂停营运三天,特别的是,研究人员指出,除了DP World,近期还有中国工商银行美国子公司等多起事件,原因都是未修补已知Citrix Bleed漏洞导致。(该漏洞10月10日揭露与修补,10月18日已警告有攻击者锁定利用情形)
●骇客行径更为嚣张,恶人先告状!像是勒索软体集团AlphV发动攻击后,近期公开表示他们到美国证交所(SEC)网站填写资料,声称已举报受害公司并未依规定揭露遭到网路攻击。
●日本数位厅提出警告,表示有攻击者假借入境通关线上表单Visit Japan Web名义的App。由于疫情后国内前往日本旅游暴增,务必防范此事发生。
●丹麦关键基础设施今年5月遭遇俄罗斯骇客大规模攻击,当地SektorCERT揭露,起因是当地多家经营能源关键基础设施业者的资安工作未落实,因为他们所用的兆勤科技(Zyxel)防火墙有漏洞,厂商在4月底已公告相关消息,这些业者却迟迟未修补而遭骇。
●勒索软体Hive疑似重起炉灶,改名Hunters International,特别的是,本期日报未提及的是,近日在这一星期的漏洞消息中,有两大漏洞修补需重视,包括江森自控修补旗下工业冷冻系统重大漏洞、Fortinet修补旗下FortiSIEM重大漏洞,此外,还有视讯监控影像录制设备(NVR)与路由器被骇客发现新零时差漏洞、并利用于散布Mirai变种病毒JenX的严重威胁,目前揭露此事的Akamai先示警并通知相关制造商,预计12月有新版修补释出。
(二)Atlassian在10月31日修补旗下DevOps协作平台Confluence重大漏洞CVE-2023-22518,有资安业者发现11月5日该漏洞正开始被用于攻击行动,并造成Confluence伺服器感染勒索软体Cerber。
(三)我们新发现这一周资安日报未提及的漏洞利用消息,是关于今年4月底资安业者揭露服务定位协定(Service Location Protocol,SLP)的高风险漏洞CVE-2023-29552,当时指出骇客可借此漏洞发动DoS攻击,并警告存在此漏洞的装置种类与数量都多,包括许多美国财富1000强的企业,在最近11月8日,该漏洞发现被攻击者实际利用于攻击行动。
●云端SIEM平台业者Sumo Logic公告资安事故,察觉自家使用的云端服务遭骇。
●跨国联锁五金零售业者Ace Hardware公告发生资安事故,大部分的IT系统皆面临中断或暂停运作的情况。
●乐高市集BrickLink遭网路攻击,有少部分帐号遭未经授权存取并被用来行骗。
●印度政府机关遭骇客组织SideCopy利用WinRAR漏洞攻击被资安业者揭露
●柬埔寨政府遭中国骇客使用基础设施伪装成云端备份服务的方式攻击被资安业者揭露
●物流业者杜拜环球港务集团(DP World)近日遭网路攻击,并导致澳洲多个港口运作受到冲击,迫使该公司暂停营运三天,特别的是,研究人员指出,除了DP World,近期还有中国工商银行美国子公司等多起事件,原因都是未修补已知Citrix Bleed漏洞导致。(该漏洞10月10日揭露与修补,10月18日已警告有攻击者锁定利用情形)
●骇客行径更为嚣张,恶人先告状!像是勒索软体集团AlphV发动攻击后,近期公开表示他们到美国证交所(SEC)网站填写资料,声称已举报受害公司并未依规定揭露遭到网路攻击。
●日本数位厅提出警告,表示有攻击者假借入境通关线上表单Visit Japan Web名义的App。由于疫情后国内前往日本旅游暴增,务必防范此事发生。
●丹麦关键基础设施今年5月遭遇俄罗斯骇客大规模攻击,当地SektorCERT揭露,起因是当地多家经营能源关键基础设施业者的资安工作未落实,因为他们所用的兆勤科技(Zyxel)防火墙有漏洞,厂商在4月底已公告相关消息,这些业者却迟迟未修补而遭骇。
●勒索软体Hive疑似重起炉灶,改名Hunters International,特别的是,本期日报未提及的是,近日在这一星期的漏洞消息中,有两大漏洞修补需重视,包括江森自控修补旗下工业冷冻系统重大漏洞、Fortinet修补旗下FortiSIEM重大漏洞,此外,还有视讯监控影像录制设备(NVR)与路由器被骇客发现新零时差漏洞、并利用于散布Mirai变种病毒JenX的严重威胁,目前揭露此事的Akamai先示警并通知相关制造商,预计12月有新版修补释出。