这一星期的资安新闻中,在资安威胁态势上,我们认为有3项消息需要特别重视,涵盖勒索软体、网钓攻击、GitHub遭滥用。
(一)骇客开出的勒索金额出现狮子大开口的情形,在Zscaler的一份最新报告指出,勒索软体集团Dark Angels今年成功勒索一家企业7,500万美元(约24亿元),区块链分析业者Chainalysis也证实此情形,并担心引起其他骇客集团仿效。
(二)有资安业者揭露一起大规模网路钓鱼攻击行动,攻击者竟然可以发送具有通过SPF和DKIM签章验证的大量邮件,调查后发现,骇客疑似利用Proofpoint的邮件防护服务漏洞EchoSpoofing。Proofpoint也提出说明,表示这起事件呈现的弱点并非他们的系统独有。
(三)关于程式码储存库GitHub遭骇客滥用的情形,最近又有新的发现,有资安业者示警,发现骇客组织Stargazers Ghost专门经营大量帐号并提供储存库让骇客与犯罪集团使用,进而形成庞大的网路犯罪生态圈。
在APT威胁与资安事件方面,主要有2个重点,分别是关于APT45、APT10的攻击活动揭露,还有国内外的2起重大资安事件。我们整理如下:
●近日北韩骇客组织APT45的攻击行动被大量揭露,包括Google旗下Madiant、微软,还有美国司法部起诉APT45中一名北韩骇客成员Rim Jong Hyok,当中更是透露受害者不只美空军基地、NASA,还有台湾与美、韩的国防承包商。
●在上个月,日本JPCERT/CC揭露当地制造业、研究机构发动攻击遭受攻击,被植入后门程式NoopDoor,如今有资安业者公布该恶意程式细节并指出是中国骇客组织APT10所惯用的恶意程式。
●华经资讯发布资安重讯,说明已启动相关防御机制与复原作业。
●日本夏普的网路商店Cocoro Store遭入侵,逾10万人个资恐外流。
在漏洞消息方面,本星期共有7个漏洞利用状况,其中Broadcom在6月底修补VMware ESXi的漏洞CVE-2024-37085最要注意。因为通报的微软最近揭露相关细节,并指出这个漏洞在修补前就已遭多个攻击者锁定利用。换言之,该漏洞在当时就已是零时差漏洞被积极利用,但修补释出当时公告并未提及此一状况。
其他已知漏洞遭利用的情形,有2个是7月初才修补,包括: ServiceNow的漏洞(CVE-2024-4879、CVE-2024-5217),以及Twilio的Authy漏洞(CVE-2024-3989),还有1个是去年底Acronis修补的漏洞(CVE-2023-45249)。特别的是,2012年微软修补的IE漏洞(CVE-2012-4792),最近也被美国CISA列入已知漏洞利用清单。
还有一个Secure Boot绕过漏洞「PKfail」的揭露,有资安业者发现共发现22个独特但不可信的平台金钥,影响将近900款产品,包括技嘉、Supermicro、Dell等9大业者,并指出这是韧体供应链在加密金钥管理实务上的严重问题。
关于0719的CrowdStrike引发大当机事件,持续有后续消息,例如,有骇客趁机利用这起事故锁定CrowdStrike用户发动攻击,佯称提供当机报告程式,但其目的是散步恶意软体;iThome持续追踪当时的发生状况原因,以及对于整个资安产业的影响,我们找到几位台湾资安专家,分享对此事故的观察,他们指出CrowdStrike的病毒特征码设计不良之余,也提及类似CrowdStrike更新出包的意外,是所有端点防护公司都可能发生的,因此,要避免类似意外发生,一定需要重复经过各种验证程序。
至于资安防御态势上,有3个重要消息不容错过,涵盖AI评估测试、同态加密技术相关工具的释出,以及cookie theft的防范。例如,美国CISA释出可用于评估AI安全及可靠性的软体测试平台的Dioptra 1.0版,以及Apple将自家发展用于保护隐私的同态加密技术,以开源Swift开源套件释出。此外,Google为了应对现在许多窃资软体具有cookie theft手段,宣布将针对Windows版Chrome浏览器,提供应用程式导向的加密(App-Bound Encryption)。
VMware虚拟化平台的漏洞,最近几年已是骇客频频锁定的攻击目标,这样的情况,在最近微软发布的漏洞警讯也能反映这种情况。
研究人员针对博通上个月发布的身分验证绕过漏洞CVE-2024-3708进行调查,指出这项漏洞已在去年就遭到利用,而且,Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest等多个骇客组织都加入利用漏洞的行列。
本周再度传出微软多项云端服务运作异常的现象,许多使用者面临不稳定,甚至是无法存取,由于一周前才
过往骇客发动恶意NPM、PyPI套件攻击,通常会针对知名套件的使用者而来,借由网域名称模仿的手法让开发人员上当。但如今,骇客改变了做法,他们利用网路问答平台,假装认真解答问题,借此散布恶意套件。
最近资安业者Checkmarx揭露的资安事故,就是这种例子。骇客在Stack Exchange针对特定问题进行回答,「顺便」提供恶意套件的下载连结,使得用户降低警觉而有可能因此上当。