随著政治情势日益紧张,中国骇客针对台湾企业组织发动攻击的情况不断传出,而在上周四又有这类事故的调查出炉,有资安厂商去年发现一个附属于台湾政府机关的研究机构遭骇。
值得留意的是,在这起攻击行动里,骇客运用过往较为少见的手法,其中一种是利用旧版微软Office软体搭配的输入法编辑器(IME),该元件推出已长达13年,且不再受到支援。
【攻击与威胁】
思科旗下威胁情报团队Talos揭露APT41针对台湾政府所属研究机构的攻击行动,遭骇单位是隶属台湾政府旗下的研究机构,专精于运算与科技领域,研判骇客的目的很有可能是窃取专利资料或是敏感的技术。
研究人员去年8月侦测到受害组织的IP位址在下载PowerShell指令码,并执行恶意命令的情况,事实上,根据他们的追踪,这些骇客从去年7月开始,存取其中3台主机,滥用微软办公室软体Office的旧版输入法编辑器(IME)档案,以及已知漏洞CVE-2018-0824,将恶意程式ShadowPad、Cobalt Strike,以及其他后续作案的攻击工具植入这个研究机构当中,至少有11天之久,但究竟有多少资料遭窃,思科并未透露。
被注销的凭证主要影响TLS凭证,以及少部分S/MIME凭证。若用户S/MIME凭证遭到注销,其电子邮件还是能使用,但无法使用电子邮件加密,因此,在用户未能更换S/MIME凭证前,收件者只能仰赖邮件用户端的信任警告来确保信件的安全性。
根据DigiCert的Bugzilla报告,这次异动将影响6,807名订阅用户、83,267个凭证。
其他攻击与威胁
◆7月29日苹果针对macOS、iOS、iPadOS、watchOS、tvOS与visionOS释出安全性更新,除了作业系统本身的漏洞之外,也处理多个开源专案元件漏洞。而在3月的时候,该公司对macOS Sonoma、iOS 17、iPadOS 17、tvOS、watchOS、visionOS修补的台股交易虽然有起落涨跌,却是交易相当热络,而近期又有一支新的股票公开上市,那就是中华电信集团资安专业服务公司──中华资安国际(股票代号7765)。将可以大幅刺激台股市场,依据作业流程推论将于8月6日公开发行,预计于8月20日上兴柜。
台湾目前的资安类股包括:精诚(6214)、资通(2471)、安碁资讯(6690)、纬软(4953)、是方(6561)、神准(3558)等企业,随著中华资安国际于8月6日公开发行,预计8月20日上兴柜,也让台湾资安类股多一个选择。