这星期释出的安全性漏洞消息,以ConnectWise在19日修补远端桌面软体ScreenConnect的漏洞CVE-2024-1709,最受关注,因为在公告的隔日,就发现有骇客开始锁定利用,该业者也在20日示警、公布入侵威胁指标(IoC),并在21日针对已结束维护支援服务的用户内部环境建置版本,提供最新升级。
在资安威胁焦点方面,最大消息就是勒索软体LockBit组织的伺服器被攻破。在英、美等10国家联合发起的打击行动之下,已接管其技术基础设施与资料外泄网站,并冻结相关加密货币帐户,美方也拘留两名利用LockBit服务的联盟伙伴,起诉两名发动攻击的俄罗斯人。
由于全球已有上千家企业组织遭受LockBit的危害,因此这次国际查缉行动具有相当大的意义。我们也注意到,在此次行动成果公布后,在打击勒索软体网路犯罪的No More Ransom计划网站,已释出由日本警方打造的相关解密工具。
还有前阵子农历过年期间,有南韩研究人员发表破解勒索软体Rhysida的论文,如今在No More Ransom平台上,也有资安业者Avast释出的相关解密工具。
另一件大消息,是中国资安业者「安洵信息」传出资料外泄,意外曝露该国政府对全球各国发动网路间谍行动的情况,引发国际关注。研究人员指出,这些资料很有可能来自该公司专门研发间谍软体的部门。根据外泄资料的内容显示,该公司替客户(中国政府)渗透印度、泰国、越南、韩国、台湾、马来西亚、北约组织的政府机关,曾开发攻击工具RAT木马程式Hector,以及外观与行动电源相似的「Wi-Fi 抵近攻击系统」,同时也经营DDoS攻击业务,还有APT攻击与间谍行动业务。日后是否有更进一步的研究分析,值得持续追踪。
关于最新威胁态势的揭露上,我们注意到4个值得留意的技术手法与状况:
●资安业者揭露网钓简讯攻击背后的新手法Smishing,他们发现滥用AWS SNS简讯服务的恶意Python脚本,并指出这是云端攻击工具中前所未见的技术。
●骇客不断挖掘出Ivanti Connect Secure的零时差漏洞并成功利用,因此有研究人员针对这样的状况进行分析,发现其系统采用许多老旧、已终止支援的元件。
●关于网路犯罪组织在脸书投放诈骗广告,资安业者揭露使用窃资软体VietCredCare的攻击者,正锁定大量越南企业脸书帐号,并在接管帐号后用以实施脸书诈骗。
●网路拓朴架构呈现工具SSH-Snake被骇客滥用于攻击行动,资安业者指出,这是窃取SSH金钥的新手法,该工具还具有主动修改和无档案的特性,若采用静态侦测的作法,会不容易找到。
还有多个恶意威胁的最新动向,源自不同资安业者的揭露,包括勒索软体RansomHouse组织使用新的自动化工具MrAgent,来锁定虚拟化平台VMware ESXi平台,以及恶意程式TicTacToe Dropper,僵尸网路病毒Glupteba,还有商业间谍公司掌握「多媒体简讯指纹(MMS Fingerprint)」技术的细节。
最后值得一提的是,国内再传上市柜公司遭遇资安事件,已是今年第7起上市柜公司因资安事件发布重大讯息。以散热风扇闻名的上市大厂建准,19日公告当天凌晨遭遇加密攻击。该公司表示,已确认公司资料没有外流,资讯系统当日可修复。