这一星期Black Hat USA 2024于美国拉斯维加斯登场,今年是第27届,照往年惯例,有很多资安新闻都在此时发布,特别的是,今年新纳入的AI Summit研讨会于当地时间6日举行,趋势科技也在一场演说中展示侦测深伪(Deepfake)商用解决方案,同时阐释AI世代的企业资安风险管理差异,帮助大家因应未来的局势。
黑帽大会主活动于7日与8日展开,当中有许多全球顶尖资安研究人员揭露最新的研究成果,我们在这一星期资安日报的新闻,也陆续报导相关消息。
●赛门铁克揭露6起攻击者滥用合法云端服务的攻击行动,不仅指出这些手法日趋复杂,特别的是,研究人员提及中国骇客组织UNC5330散布Grager后门程式,攻击目标是台湾、香港、越南的企业组织。
●德国CISPA亥姆霍兹资讯安全中心揭露GhostWrite漏洞,问题发生在阿里巴巴旗下平头哥半导体(T-Head)所生产的RISC-V处理器玄铁C910,并指出其影响范围可能很广泛且难以修补。
●Zenity研究人员公布了如何将Copilot变成骇客武器的最新研究,并释出新的LOLCopilot红队工具模组,当中主要探讨骇客如何在渗透后利用Microsoft Copilot来搜寻、解析并窃取敏感资料,而且不会产生日志。
●资安业者Bitdefender揭露Solarman太阳能发电监控系统、宁波德业(Deye)逆变器的漏洞,两家业者在接获通报后皆著手修补。(研究人员是在美国黑帽大会附近另一场于8日到11日举行的DEF CON 32资安会议展示这项成果。)
台湾资安研究人员也在本次黑帽大会揭露重要发现。例如,则公开资安防护上对于恶意程式分析的新方法,主要针对攻击者将恶意程式码混淆以规避侦测与分析的问题,提出一种新颖且基于神经网路的符号执行大型语言模型(LLM)--CuIDA,以模拟人类专家分析策略来进行,并可在不对加壳器进行解压或解密的情况下,直接检测被保护的可执行文件。
在漏洞消息与方面,本星期共有3个漏洞利用状况值得我们重视,其中一项已知漏洞的防范,需要国内特别重视,因为资安业者指出有中国骇客利用该漏洞入侵台湾研究机构。
(一)思科旗下Talos揭露APT41针对台湾政府所属研究机构的攻击行动,当中具体列出该组织的手法,以及使用已知漏洞CVE-2018-0824,将恶意程式ShadowPad、Cobalt Strike等攻击工具植入这个研究机构。
(二)开源ERP系统Apache OFBiz在今年5月修补的漏洞CVE-2024-32113,大家要当心!因为最近出现攻击者锁定利用这个管道的状况。SANS网路风暴中心指出,最近利用此漏洞的攻击行动,其目的是将僵尸网路病毒Mirai植入OFBiz。
(三)在Android的8月例行更新中,包含1个已遭利用的零时差漏洞CVE-2024-36971修补。该漏洞今年6月公布时存在Linux作业系统核心,但该漏洞也影响到Android系统,后续Google TAG小组发现有此漏洞的针对性攻击迹象。
还有2个与台湾有关的漏洞消息,首先是美国CISA针对台湾视讯监控设备厂商升泰科技(Avtech)发布警告,指出其产品存在漏洞CVE-2024-7029并被用于攻击行动, 但升泰尚未公布缓解措施,因此CISA特别提供可降低此漏洞遭利用的作法;另一是上月底PKfail漏洞揭露后,随著政治情势日益紧张,中国骇客针对台湾企业组织发动攻击的情况不断传出,而在上周四又有这类事故的调查出炉,有资安厂商去年发现一个附属于台湾政府机关的研究机构遭骇。
值得留意的是,在这起攻击行动里,骇客运用过往较为少见的手法,其中一种是利用旧版微软Office软体搭配的输入法编辑器(IME),该元件推出已长达13年,且不再受到支援。