10月最后一星期的资安消息中,在国家级骇客威胁态势上,有3起关于中国骇客组织攻击的重要消息,其中两起备受重视,一是中国骇客组织Evasive Panda打造恶意软体工具包CloudScou的情形被资安业者揭露,而且已被用于针对台湾政府机关和宗教团体的实际攻击行动,由于该工具包可拦截Session及Cookie,将能存取Google Drive、Gmail、Outlook等公有云服务;另一是资安业者Sophos揭露有骇客在四川地区从事漏洞的研究、利用与开发,再提供给中国政府资助的多个骇客组织进行使用,除此之外,中国政府支持的攻击者也针对其他品牌的网路与资安设备,同样是近年多家资安业者不断警告的严重威胁。
●中国骇客Evasive Panda开发可拦截Session及Cookie的恶意软体工具包,资安业者ESET发现台湾政府机关与宗教团体在前两年成为其攻击目标。
●中国骇客近5年锁定多家厂牌的网路设备、资安设备,挖掘零时差漏洞从事攻击行动,资安业者Sophos揭露最新研究报告Pacific Rim。
●前两个月僵尸网路Quad7的威胁大幅提升,微软揭露最新调查结果,指出中国骇客Storm-0940所为,并有多组中国骇客使用该僵尸网路所窃得的帐密资料。
还有俄罗斯骇客Midnight Blizzard(APT29)的威胁,需关注其大规模攻击活动,因为根据微软威胁情报中心释出的最新消息显示,APT29正寄送内含恶意RDP组态档案且高度针对性的钓鱼邮件,英国、欧洲、澳洲、日本等数十国的政府、学术界、国防、非政府组织都是目标。
勒索软体也是主要的威胁焦点,有多家资安业者揭露不同勒索软体的最新动向。例如,SonicWall在8月下旬修补的SonicOS漏洞CVE-2024-40766,如今有资安业者指出勒索软体Fog、Akira的攻击行动在初期入侵时,就是利用SonicWall防火墙设备的SSL VPN帐号;10月底资安研究人员发现CyberPanel伺服器管理平台存在3种弱点,后续发现已有攻击者锁定可公开存取的CyberPanel发动攻击,并部署勒索软体Psaux;有资安业者揭露勒索软体骇客Black Basta使用新的战术,先透过网钓邮件,再透过微软Teams进行社交工程攻击引诱使用者上当。
还有两个威胁态势同样值得留意,包括有研究人员展示新的Windows安全降级手法,可在Windows核心植入Rootkit,以及有资安业者揭露香港、巴基斯坦关键基础设施遭遇Cobalt Whisper攻击,发现滥用红队演练工具Cobalt Strike并使用超过30个诱饵档案。
在资安事件方面,当中许多是先前公众已知事故的后续消息,涵盖国内外的纺织业、电信与ISP业者、医疗业。
●台湾上市纺织纤维业力鹏在28日发布重讯,说明杨梅厂部分主机于凌晨遭受加密攻击,本地备份资料亦遭删除,现正自异地备援资料还原中。
●美国多家ISP业者先前传出中国骇客Salt Typhoon入侵,美国FBI与CISA证实这项消息,说明已通知受影响的公司,并鼓励潜在受害者与政府机关共同应对。
●法国大型ISP业者Free先前传出资料被兜售于骇客论坛,该公司证实资料遭到外流,并说明是管理工具被锁定而遇害,导致部分个资遭到未经授权存取。
●美国医疗服务供应商UnitedHealth今年2月遭勒索软体攻击,该公司半年多后通报美国卫生及公共服务部的资料显示新的消息,外泄的用户资料高达1亿笔。
在资安防护上,我们认为有3个消息最要注意,分别是:找出产品未知漏洞的竞赛、攻破骇客网路基础设施的行动,以及面对AI时代发展的国安政策。首先,Pwn2Own Ireland 2024帮助提前找出逾70个零时差漏洞,其次欧盟与荷兰执法单位捣毁窃资软体RedLine、Meta的基础设施,第三是美国政府发布首个AI国家安全备忘录。