【资安月报】2024年2月

在2024年2月的资安新闻与事件中,我们最关注的威胁态势,就是全球出现越来越多逼真的伪冒行径。这些手法并非像普遍流行的网路攻击与诈骗手法——只是单纯开个网路假帐号,或是简单的假冒寄件者或发话方,而是经过更精心设计的复杂行动,下列两种类型的新闻事件都是典型的例子。

首先,今年出现使用Deepfake技术来实施传统的商业电子邮件诈骗(BEC)诈骗的情形,因为骇客寄送钓鱼邮件、假冒总部财务长召开视讯会议,导致一名跨国企业员工依照上级指示转帐,被骗走2亿港币,等到事后向总公司确认才发现上当。

关于这起事件,我们找到更多资讯、试图拼凑还原事发过程的细节。例如,据多家香港媒体报导,当地网路安全及科技罪案调查科的署理高级警司指出,报案人为一家跨国公司的香港分行员工,该职员收到一封据称是该公司驻英国财务长的电子邮件,其内容声称与公司秘密交易有关。

虽然该员工当下曾经有所怀疑,但由于该会议邀请该公司数名财务职员进行多人视讯会议,该员工在加入视讯会议后,看到与会成员的影像都是他认识的同事,有著与现实相同的容貌,因此放下先前的疑虑,并依照会议中指示,陆续转帐15次,将2亿港币转帐到5个当地的银行帐户,等到后续向总部查询,才知道受骗。

其实2019年已有类似攻击手法,不过当时仅针对声音的伪冒。当时的事件是怎么发生的?有网路犯罪者假冒受害者的德国总公司执行长,用AI软体模拟其声音,打电话给英国子公司的执行长,要求紧急汇款。而今年这次案件,则是同时伪冒影像与声音。

综观这次事件,突显出Deepfake技术可能让BEC威胁更升级。因为,以往的BEC诈骗中,欺骗受害者的管道几乎都只是利用电子邮件,现在则是更进阶,在发出召开视讯会议的网钓电子邮件后,还进一步透过Deepfake技术来伪冒老板发出指令,在这样的面对面沟通情况之下,让受害者更不疑有他。

另一项精心设计的伪冒行径,是由加拿大多伦多公民实验室(Citizen Lab)揭露,他们发现一起假冒世界各地的地方新闻媒体网站的行动,背后是中国公关公司所为,目的是散播有利于中国政府的假资讯,研究人员将这起攻击行动称为PaperWall,意味「媒体长城」。

据Citizen Lab研究人员指出,这家中国公关公司至少架设了123个网站,以冒充欧洲、亚洲、拉丁美洲当地的新闻机构,从数量来看,以南韩、日本、俄罗斯、英国、法国、巴西、土耳其、义大利、西班牙最多,伪冒当地媒体的数量都有5个以上。而且,这起活动不同于资安业者Mandiant在2022年揭露的事件,从两起影响舆论行动的手法来看,背后是由不同组织发起。

之所以发现这起事件,Citizen Lab表示,是因为三个多月前,有不同国家揭露这样的问题,像是义大利报纸 Il Foglio,揭露6个冒充义大利新闻媒体的网站,还有韩国国家网路安全中心(NCSC),揭露有18个冒充当地新闻媒体的网站,这也促使Citizen Lab进一步追查,进而发现整起冒充活动的关联与结构。

值得我们注意的是,Citizen Lab不只在报告中出具证据,解析手法,其实也说明揭露这类伪冒事件的意义。

例如,研究人员强调为什么曝光这类活动很重要,因为揭穿这些替政府做事的公司,揭穿他们的操作手法,可以让全球更了解中国政府是如何利用这些公司当代理人来逃避责任。研究人员并指出,虽然目前这些网站的曝光率还低,但由于这些网站正快速增加,并且背后操控的人对于当地语言与内容,变得越来越熟悉,将存在被当地媒体引用或误信,进而扩大报导的风险。

整体而言,对于这类逼真的冒用行径,无论企业、民众都该先要对这类情资有所了解。要知道,20年前的网路世界上,用户设立不同帐号分身、使用暱称,以及帐号被盗就已都是常态,大家不只要注意传统手法,现在还有更多新的逼真伪冒方式要了解,并设想是否有更好的应对方式。

像是面对Deepfake技术的威胁,过去一年来已有专家指出,建立「通关密码」来确认对方身分,或是须按照企业严格规定的汇款的内部流程来批准与审核;以及看到一些网路消息,个人应懂得自行查证以及搜集多方资讯来逻辑思考与判断,而台湾面对的威胁更是严峻,中国舆论影响行动(IO)虽然被国际间一在强调与重视,但台湾普遍民众的现况是,通常缺乏关注这方面的资讯,而简体中文要翻译成台湾使用的正体中文本来就容易,再加上有些人被逼真伪冒话术所骗,进一步将这些资讯转贴到Line群组去扩散,这其实如同上述Citizen Lab对PaperWall事件的示警。无论如何,企业与民众对于这些逼真的伪冒行径时,需要先有认识,才能知道为何要防范。

 

在2月农历春节前后,刚好适逢多家厂商发布每月安全更新,包括微软、Adobe、SAP等多家IT业者,在掌握这些漏洞修补动向之余,这期间有不少漏洞利用情形,更是需要企业优先重视。我们整理如下:

有3个零时差漏洞已遭成功利用:
●Fortinet在2月8日修补已遭利用的零时差漏洞CVE-2024-21762,这是存在该公司SSL VPN元件的RCE漏洞。
●微软在2月13日修补73项漏洞中,有两个是已遭利用的零时差漏洞,分别是:可绕过网际网路捷径档安全功能的CVE-2024-21412,以及可绕过Windows SmartScreen安全功能的CVE-2024-21351。

还有4个已知漏洞,近期被发现遭攻击者利用,首先是微软修补Exchange伺服器重大漏洞CVE-2024-21410后,隔日该公司示警有攻击利用,其他包括:Roundcube邮件伺服器去年9月修补的漏洞CVE-2023-43770、Google去年9月修补Chromium V8类型混淆漏洞,以及思科2020年5月修补防火墙产品的资讯泄漏漏洞CVE-2020-3259。

另外,有研究人员揭露名为EventLogCrasher的漏洞,需留意后续修补动向,还有要注意关于DNSSEC的漏洞揭露与修补。

在资安事件方面,有3项消息成为焦点,都与上柜及兴柜公司有关,包括:
●2月5日,上柜化学工业美琪玛的部分资讯系统遭受网路攻击。
●同样2月5日,上柜观光富野说明旗下分公司的资讯系统遭网路攻击。
●2月15日,兴柜莹硕生技代子公司公告,揭露欧帕生技医药遭遇网路攻击事件。

在这些公告之后,还有其他状况发生,在此一并补充。关于上述美琪玛遭网路攻击,有骇客2月16日于论坛声称兜售该公司2TB资料;中华民国纺织业拓展会(纺拓会)也传出可能遭骇,因为他们被一个勒索软体组织列为受害者,这类法人协会被锁定的状况,可能同样需要追踪。

医疗健保相关产业也要注意,因为国际上最近有2起相关重大资安事故,例如,罗马尼亚有1百多家医院遭网路攻击,当地网路安全局及卫生部已证实,是医院服务供应商遭到Backmydata勒索软体攻击;法国健保业者客户传出资料外泄,由于事件恐波及该国近半数民众,当地的资料保护机构CNIL针对提供第三方支付的两家公司Viamedis与Almerys进行调查。

其他还有现代汽车欧洲分公司传骇,传出是遭勒索软体Black Basta攻击,以及美国银行证实资料外泄,调查起因为供应商遭骇。

 在威胁焦点方面,最近有相当多起资安威胁的揭露,都与中国骇客网路攻击有关,我们整理如下:
●资安业者Trellix最近指出,台湾总统大选投票前一天遭受网路攻击出现大幅增加,根据他们的遥测资料显示,部分恶意流量特别针对政府、执法与金融单位。
●资安业者SentinelOne揭露,中国当局在2022年宣传美国对其发动骇客攻击,调查其宣传内容发现,中国的指控普遍缺乏相关的技术分析及证据。
●荷兰军事情报暨安全局(MIVD)、情报暨安全总局(AIVD)发布联合公告,指出该国国防部去年遭中国网路间谍入侵,并被植入后门程式。
●关于LLM被国家级骇客恶意使用,微软与OpenAI揭露滥用方式,包括查询开源资讯、翻译、找程式码漏洞等,并指出中、俄、伊、北韩骇客组织都已这么做。

特别的是,继2023年11月义大利报纸 Il Foglio揭露6个冒充义大利新闻媒体的网站,以及韩国国家网路安全中心(NCSC)揭露18个冒充当地新闻媒体的网站,最近这星期释出的安全性漏洞消息,以ConnectWise在19日修补远端桌面软体ScreenConnect的漏洞CVE-2024-1709,最受关注,因为在公告的隔日,就发现有骇客开始锁定利用,该业者也在20日示警、公布入侵威胁指标(IoC),并在21日针对已结束维护支援服务的用户内部环境建置版本,提供最新升级。

在资安威胁焦点方面,最大消息就是勒索软体LockBit组织的伺服器被攻破。在英、美等10国家联合发起的打击行动之下,已接管其技术基础设施与资料外泄网站,并冻结相关加密货币帐户,美方也拘留两名利用LockBit服务的联盟伙伴,并公布新起诉两名发动攻击的俄罗斯人。

由于全球已有上千家企业组织遭受LockBit的危害,因此这次国际查缉行动具有相当大的意义。我们也注意到,在此次行动成果公布后,在打击勒索软体网路犯罪的No More Ransom计划网站,已释出由日本警方打造的相关解密工具。

还有前阵子农历过年期间,有南韩研究人员发表破解勒索软体Rhysida的论文,如今在No More Ransom平台上,也有资安业者Avast释出的相关解密工具。

另一件大消息,是中国资安业者「安洵信息」传出资料外泄,意外曝露该国政府对全球各国发动网路间谍行动的情况,引发国际关注。研究人员指出,这些资料很有可能来自该公司专门研发间谍软体的部门。根据外泄资料的内容显示,该公司替客户(中国政府)渗透印度、泰国、越南、韩国、台湾、马来西亚、北约组织的政府机关,曾开发攻击工具RAT木马程式Hector,以及外观与行动电源相似的「Wi-Fi 抵近攻击系统」,同时也经营DDoS攻击业务,还有APT攻击与间谍行动业务。日后是否有更进一步的研究分析,值得持续追踪。

关于最新威胁态势的揭露上,我们注意到4个值得留意的技术手法与状况:

●资安业者揭露网钓简讯攻击背后的新手法Smishing,他们发现滥用AWS SNS简讯服务的恶意Python脚本,并指出这是云端攻击工具中前所未见的技术。

●骇客不断挖掘出Ivanti Connect Secure的零时差漏洞并成功利用,因此有研究人员针对这样的状况进行分析,发现其系统采用许多老旧、已终止支援的元件。

●关于网路犯罪组织在脸书投放诈骗广告,资安业者揭露使用窃资软体VietCredCare的攻击者,正锁定大量越南企业脸书帐号,并在接管帐号后用以实施脸书诈骗。

●网路拓朴架构呈现工具SSH-Snake被骇客滥用于攻击行动,资安业者指出,这是窃取SSH金钥的新手法,该工具还具有主动修改和无档案的特性,若采用静态侦测的作法,会不容易找到。

还有多个恶意威胁的最新动向,源自不同资安业者的揭露,包括勒索软体RansomHouse组织使用新的自动化工具MrAgent,来锁定虚拟化平台VMware ESXi平台,以及恶意程式TicTacToe Dropper,僵尸网路病毒Glupteba,还有商业间谍公司掌握「多媒体简讯指纹(MMS Fingerprint)」技术的细节。

最后值得一提的是,国内再传上市柜公司遭遇资安事件,已是今年第7起上市柜公司因资安事件发布重大讯息。以散热风扇闻名的上市大厂建准,19日公告当天凌晨遭遇加密攻击。该公司表示,已确认公司资料没有外流,资讯系统当日可修复。
 

另外,前几期周报我们已提醒的Ivanti Connect Secure漏洞,以及ScreenConnect漏洞,如今传出中国骇客与多个骇客团体正锁定攻击的情形,尚未因应的企业需要赶紧行动。

在资安事件方面,国内有3项消息受到瞩目,都与上市公司有关,包括:
●2月26日,上市绿能环保、PCB废液处理业者昶昕公告,部份资讯系统遭受骇客网路攻击事件。
●2月29日,中华电信因媒体报导有人在暗网兜售该公司的内部资料,发布重大讯息,表明资安团队查知疑似资料外流的情况,正展开调查。
●2月27日,散热风扇厂商建准在一星期前已公告发生网路资安事件,但这天再次发布新的重讯,说明该事件的后续处理情形。

在资安威胁焦点方面,上星期发生的两起重大事件,都有后续消息传出。例如,才被11个国家执法单位围剿的勒索软体骇客组织LockBit,已传出重起炉灶的消息;关于中国资安业者「安洵信息」的资料外泄,曝露该国政府对全球20国发动网路间谍行动的情况,后续有更多与台湾资安现况有关的内容被分析出来,像是国外研究人员指出,当中搜集了台湾道路地图档案的情资,已窃取495 GB的相关档案,台湾资安业者TeamT5亦指出,当中透露该公司与中国政府打交道的情形,产品细节与财务,以及上报RAT木马程式ShadowPad开发的细节,显示这批资料的可信度相当高。

其他最新威胁态势的揭露上,我们注意到5个值得留意的状况,其中有3则是多国网路安全机构的示警:
●AI开发者与用户要当心!近日有两起资安新闻,一是机器学习模型共享平台Hugging Face出现100个恶意模型,不慎下载恐将被安装后门程式,另一是AI影片编辑平台Cutout.Pro传出资料外泄,2千万名会员个资流入骇客论坛。
●电信业者注意!有研究人员揭露骇客近期使用的后门程式Gtpdoor,主要针对邻近GPRS交换网路(GRX)的电信网路环境入侵,并将攻击流量混入合法流量,隐匿攻击行动。
●德国BfV、韩国NIS提出警告,北韩骇客针对全球国防单位从事网路间谍行动,这份警告也揭露当中存在供应链攻击的状况:对方入侵维护厂商窃取SSH帐密,从而存取海事及航运研究中心的Linux网页伺服器主机。
●10国执法机关联手针对俄罗斯骇客组织APT28的攻击行动提出警告,指出攻击者正锁定Ubiquiti路由器入侵,并滥用EdgeRouter回避侦测、建置僵尸网路,以隐匿攻击行动。

还有一个威胁态势,我们认为也相当值得企业警惕,是弃用的子网域名称遭滥用,有攻击者正进行这方面的大规模网路扫描,以夺取控制权,进而盗用企业身分发动网路钓鱼攻击。近期已有MSN、VMware、eBay等多家企业的网域遭利用,这也突显即使大型知名企业,仍可能在这方面产生疏忽。

至于防御态势上,最大焦点就是美国NIST正式发布了网路安全框架CSF 2.0,新版不仅加入治理功能,还有一系列的资源与工具,让企业更容易去实践。例如,在5种快速入门指南中,有小型企业(SMB)适用的快速入门指南,在CPRT工具中则针对各项子类别,提供了易于理解的实践范例。