新的一年到来,首要关注的漏洞消息是,去年底有研究人员揭露SSH通讯协定的漏洞问题,可透过Terrapin新手法进行攻击,但1月3日Shadowserver基金会指出,网路上仍可发现近1,100万台的大量伺服器未因应,依然存在CVE-2023-48795漏洞的风险。
在新兴威胁焦点上,以Google服务cookies可被劫持的后续揭露最受关注,还有勒索软体Zeppelin2与窃资软体Meduza的最新动向。
(一)前阵子名为PRISMA的骇客声称能够窃取Google服务相关cookie,引起广泛关注,如今我们终于看到有资安业者揭露其攻击手法与原理,指出骇客除了锁定Chrome浏览器中名为token_service的表单,进而取得的GAIA ID/token,另一关键,更是锁定Google文件未提及的MultiLogin端点跨服务同步机制,这个端点是Google OAuth系统的重要环节。这也显示,攻击者对于Google内部身分验证机制,有著更深层的研究与理解。
(二)勒索软体Zeppelin2传出被他人破解的消息,近日有骇客在地下论坛散布的原始码与建置工具,资安界忧心遭更多不肖分子利用。
(三)有骇客在地下社群与Telegram频道广为宣传新版窃资软体Meduza,由于标榜功能丰富,以及可针对更多应用程式下手,而受到资安业者重视。
(四)关于新型态DLL搜寻顺序挟持手法的揭露值得留意,骇客可滥用系统资料夹WinSXS,进而绕过Windows 10及11防护措施,这样的手法将让攻击更加隐密。
在上述Google服务cookies劫持的手法揭露之外,我们认为同样值得关注的是,近期社群平台X(推特)的企业组织帐号遭不明手法劫持的安全问题,最近报导了两篇资安新闻,其中一篇是资安业者本身也发生遭盗用的情形。
首先是有资安业者CloudSEK揭露,随著去年底X推出新的验证帐号方案,但骇客为了假冒企业帐号,目前也正利用各种技术来伪造或盗窃具有金色认证标章;隔没几天,资安业者Mandiant发生X帐号遭盗用情形,被利用于假冒加密货币钱包供应商Phantom名义的诈骗活动,后续Mandiant表示已取回帐号,并指出已启用MFA仍遭挟持,目前仍在调查原因。近日资安团体MalwareHunterTeam也指出,发现不少非营利组织、政治人物的X帐号,同样遭劫持与盗用的情况。
在资安事件方面,这星期我们看到国际间发生食品零售业、保险业、外送平台业者、政府单位与企业受害的状况。
首先要注意的是零售服务业,近日瑞典食品零售供应商Coop遭骇,目前传出遭勒索软体骇客组织Cactus攻击;保险业者也要当心,伊朗发生大规模资料外泄事件,该批资料涉及23家保险业者,骇客这波攻击竟能一次锁定如此多家保险业者,相当不寻常;还有外送平台业者,伊朗Snappfood平台发生资料外泄,研究人员发现1名SnappFood员工的电脑感染StealC窃资软体,使得公司帐密外泄与资料遭存取。其他重大事件包括:澳洲法院也传出遭骇客入侵,造成听证会录音恐外流的情形;全录(Xerox)的美国分公司Xerox Business Solutions(XBS)遭遇网路攻击,部分个资外泄。