在12月第2个星期,适逢多家IT厂商释出每月例行安全更新,包含微软、SAP、Adobe、西门子、施耐德电机,需要大家关注与尽快修补,而漏洞新确认遭利用的消息更需密切关注,例如,微软修补1个已遭利用的零时差漏洞CVE-2024-49138,以及10月底Cleo修补三款MFT档案传输系统的漏洞CVE-2024-50623,因当时修补不全,如今有零时差漏洞利用攻击出现。
另要留意的是,还有资安业者0Patch针对微软Windows零时差漏洞示警,尚未有CVE编号、修补也尚未释出,但强调此漏洞涉及NTLM,且引诱使用者触发漏洞的难度并不高,因此暂时不会公布相关细节。
在资安威胁态势上,有一则关于开源工具Prometheus的重要消息,这款工具经常被用于监控Kubernetes状态,近期有资安业者对其进行调查,结果发现约有33.6万台主机曝露资安风险,原因在于这些伺服器与Exporter多半缺乏合宜的身分验证,恐让攻击者可以轻易地收集帐密或API金钥等敏感资料。
其他重要威胁态势,软体供应链攻击的状况再次出现,AI模型套件Ultralytics遭渗透成主要焦点,南欧资讯服务业者遭中国骇客锁定被两家资安业者联手揭露的消息,也引发关注,因为攻击者滥用Visual Studio Code远端开发功能来隐匿入侵。此外,关于浏览器隔离技术的攻击研究也必须重视,发现可突破防护的攻击手法,提醒企业不能完全仰赖RBI,仍需要有多层防护与整体资安强化策略。
●PyPI套件Ultralytics被入侵,攻击者在释出的新版本植入挖矿软体,其相依性套件SwarmUI和ComfyUI也受影响,且后续仍传出相关攻击行动。
●中国骇客今年6至7月入侵南欧大型B2B资讯科技服务供应商,两资安业者联手揭露其特殊隐匿手法,指出骇客滥用VSCode的远端开发功能来控制受害电脑。
●企业员工上网若采用浏览器隔离技术进行保护,仍有机可乘,仍要关注与研究可能威胁,有资安厂商红队发现用QR Code传递C2命令的技俩,可突破RBI等三大类型浏览器隔离防护机制。
●DroidBot安卓远端存取木马(RAT)自今年6月起锁定77家银行的客户,资安业者特别指出此木马显示行动恶意软体生态系也出现开发与攻击分工的情况。
●资安业者Lockout发现新一个安卓间谍软体EagleMsgSpy,循线追查背后使用该程式的是中国公安。
还有一起关于2020年国家级骇客攻击的幕后凶手浮上台面,11月资安业者Sophos公布历时5年调查的「Pacific Rim」行动,揭露骇客在四川进行漏洞研究与开发,并将结果提供给中国政府支持的骇客团体使用。美国财政部外国资产控制办公室于12月10日指控,当时利用Sophos防火墙零时差漏洞、入侵全球近8.1万台设备的是四川无声信息技术(Sichuan Silence)员工关天峰,美国国务院则祭出关于该嫌情报的千万美元奖金悬赏。
勒索软体攻击事件仍不断发生,这一星期有两则消息,特别是罗马尼亚电力公司Electrica Group遭遇网路攻击的事故,罗马尼亚国家网路安全局(DNSC)已指出是遭到勒索软体Lynx攻击,并呼吁其他能源业者要严加防范;另一是上月SaaS软体服务供应商Blue Yonder遭网路攻击,如今传出攻击者是勒索软体Termite。
在资安防御上,以台湾加入FIRST国际资安应变组织的消息最受瞩目,今年数量从17个变25个,特别是电子业有更多类型的公司加入,包括IC设计、工业电脑与电脑设备大厂,而且还有国内金融机构首度成为FIRST成员。
在国际间则有多项打击网路犯罪成果发布,包括欧洲警方关闭网路犯罪市集Manson Market,欧洲刑警组织号召15国合作关闭27个非法DDoS租用服务,以及比利时与荷兰联手、西班牙与秘鲁联手,各自破获跨国电话网钓集团,这也突显跨国界合作成为打击犯罪的关键,特别是欧洲地区在执法合作上持续有进展与突破。
上网威胁日益严重,有些企业会采用远端浏览器隔离(Remote Browser Isolation,RBI)系统,将威胁隔离在远端的伺服器,使得用户装置能够得到保护,这种看似能够「隔岸观火」的防护机制,如今有新的手法能够突破,对使用者电脑进行渗透。
资安业者Mandiant找到一种方法,那就是利用带有QR Code的网页来传递C2的命令,从而在无需建立正常C2连线的情况下,达到远端控制的目的。
疑为勒索软体Inc另起炉灶的Lynx,两个月前资安业者Palo Alto Networks指出12月份有多起执法行动开花结果,例如:欧洲刑警组织(Europol)这两周先后宣布,比利时与荷兰共同破获电话网钓集团,以及15个国家共同围剿非法27个DDoS租用服务(DDoS-for-hire),昨天再传好消息。
西班牙警方表示,他们在秘鲁协助之下,破获另一个大型电话网钓集团,这些歹徒于秘鲁设置「客服中心」行骗,估计至少已有1万人上当,损失金额高达30亿欧元。
中国网路资安业者遭美国制裁,原因是该公司员工骇入美国企业
12月10日美国财政部外国资产控制办公室(Office of Foreign Assets Control,OFAC)指控,中国资安业者四川无声信息技术(Sichuan Silence)员工关天峰(Guan Tianfeng)在2020年4月发动勒索软体攻击,滥用Sophos防火墙零时差漏洞入侵全球近8.1万台设备,其中有2.3万台位于美国境内。
根据美国财政部及Sophos的资料,关天峰发现Sophos XG防火墙产品的漏洞CVE-2020-12271,在2020年4月22到25日间,偕同其他人员利用该漏洞散布Asnarök(或Ragnarok)勒索软体,目的是从遭感染的电脑窃取资料。
值得留意的是,关天峰攻击的防火墙当中,有36台是用于关键基础设施,其中一家受害企业是美国海底石油探勘业者。不过至少在这家能源客户的案例中,攻击先由Sophos侦测而并未成功。