在这一星期漏洞消息中,有两个已知漏洞利用情形需优先关注,包括2021年初修补的Apache Flink漏洞CVE-2020-17519,以及2023年修补的NextGen Healthcare Mirth Connect(医疗保健资料整合平台)漏洞CVE-2023-43208,最近美CISA已确认有攻击者锁定利用的情形。
其他重要漏洞修补动向,包括Git、GitLab、GitHub,以及Veeam与威联通NAS的漏洞修补。特别的是,还有两项修补与AI相关,包括Python套件llama_cpp_python修补一重大漏洞,研究人员揭露此一名为Llama Drama的漏洞恐导致系统资料外流,而在Intel的5月例行安全更新中,亦修补一项存在于AI模型压缩工具Neural Compressor的重大漏洞。
在威胁态势焦点上,这一星期有多起网路攻击事件揭露与中国骇客锁定攻击有关,攻击目标涵盖欧洲、美洲与南海多国,我们整理如下:
●南海各国政府高层接连遭中国骇客组织Unfading Sea Haze锁定攻击,资安业者Bitdefender已确认至少有8个军事单位与政府机关受害,而调查相关攻击行动显示骇客已暗中活动超过5年。
●义大利企业遭中国骇客组织APT41锁定,被部署名为KeyPlug的后门程式,资安业者将其手法与今年2月中国资安业者安洵流出资料比对,发现文件所提Hector的RAT木马程式,很可能就是本次调查的KeyPlug。
●美国AI专家遭锁定,攻击者对其散布恶意程式SugarGh0st RAT,资安业者Proofpoint指出这起攻击行动锁定目标不到10人,极具针对性。由于5月初传出美国政府有意限制中国存取生成式AI服务,不排除攻击者与中国有所关连。
其他攻击手法与态势,我们认为近期有2类型的攻击活动可多加留意,包括利用非法代理伺服器、滥用Foxit PDF Reader与PuTTY等多款知名工具的现况。
●骇客借由代理伺服器服务(Residential Proxy)从事攻击的情况增加,最新发现是中国骇客利用非法代理伺服器ORB网路隐藏连线行踪。
●Foxit PDF Reader用户近期遭攻击行动锁定,骇客是利用使用者经常未详细检视弹出式对话框内容等方式,针对其用户散布多种恶意程式。
●又有攻击者透过恶意广告声称提供PuTTY、WinSCP等知名工具,显然这样的攻击行动是锁定企业对企业组织的系统管理员而来。
在资安防御态势上,台湾资安大会的新闻仍是最大焦点,不仅揭露国内最新发展,像是我国金管会资安推动与政府零信任架构推动现况,也有最新国际动向解析,包括最新欧盟重要资安法规(NIS 2、DORA、网路韧性法)趋势,荷兰网路威胁态势与防护经验等。
另外,在打击网路诈骗领域最近一连有两起重要消息,一是Tinder母公司Match Group,社交平台Meta与Coinbase等多家加密货币交易平台连首宣布成立Tech Against Scams联盟,聚焦打击网路爱情诈骗与杀猪骗局;一是台湾防诈及资安公司Gogolook(走著瞧-创)举行重大讯息记者会,宣布董事会通过1.56亿元并购荷兰的数位防诈服务商ScamAdviser,期待进一步深入走进企业防诈服务,以及跨入欧美市场。
恶名昭彰的金融木马Grandoreiro,曾在今年1月跨国执法行动后消声匿迹,但最近有研究人员提出警告,这些骇客准备了2个月就卷土重来,而且发动攻击的范围变得更广,从拉丁美洲扩及全世界。
究竟骇客如何大幅增加攻击的力道及范围?研究人员推测,对方很有可能透过恶意软体租赁服务的方式,吸引许多打手上门、加入攻击的行列。
微软近日最近有研究人员针对恶名昭彰的中国骇客骇客组织APT41攻击行动进行调查,并指出对方使用名为KeyPlug的后门程式攻击义大利的企业组织,其手法相当复杂、刁钻。
虽然这并非这些骇客首度运用KeyPlug,但研究人员比对这次的作案工具特征,认为他们疑似曾更换软体的名称提供中国资安业者安洵使用,这间接印证两者之间有合作关系的现象。
虽然这并非这些骇客首度运用KeyPlug,但研究人员比对这次的作案工具特征,认为他们疑似曾更换软体的名称提供中国资安业者安洵使用,这间接印证两者之间有合作关系的现象。