本周SASE供应商Versa Networks发布了一则不太寻常的资安公告,提及SD-WAN管理主控台Versa Director的高风险遭到APT骇客利用,他们将协助客户尽速缓解漏洞。
值得留意的是,该公司已于6月下旬发布修补程式,但为何事隔2个月特别发布资安公告?很有可能与近期电信业者Lumen公布相关攻击事故有关,Lumen指出,这项漏洞在Versa修补之前就遭到利用。
【攻击与威胁】
8月26日SASE供应商Versa Networks揭露高风险漏洞CVE-2024-39717,并指出这项漏洞存在于SD-WAN管理主控台Versa Director的图形介面客制化功能,攻击者可借由这项漏洞上传假冒为PNG图档的恶意程式,值得留意的是,该公司特别提及这项已于6月下旬修补的漏洞,有APT骇客用于实际攻击行动,呼吁用户要尽速套用修补程式,并采取最佳安全实务的相关措施,隔日,美国网路安全暨基础设施安全局(CISA)也将这项漏洞列入已被利用的漏洞名册(KEV)。
但究竟Versa提及的APT骇客身分为何?电信业者Lumen旗下的资安实验室Black Lotus指出,这波攻击行动是中国骇客Volt Typhoon所为,有5家网路服务供应商(ISP)及代管服务供应商(MSP)受害,其中有4家为美国公司。一旦骇客成功利用漏洞,就会于网路环境部署名为VersaMem的Web Shell,借此收集帐密资料,而能进入下游客户的网路环境。
8月22日即时通讯软体Pidgin发布公告,指出于7月6日上架的恶意外挂程式ss-otr(ScreenShareOTR)含有键盘侧录程式,而且还可能进行萤幕截图将使用者操作画面外流,他们在8月16日接获通报,随即将此外挂程式下架,并著手调查,呼吁已经安装此外挂程式的用户立即移除。
针对这起恶意外挂程式的资安事故,资安业者ESET也著手调查此事,指出该外挂程式Windows版档案名称为ss-otr-1-1-0_installer_win32.exe,具有来自波兰公司Interrex的有效签章,虽然使用者依照指示安装确实会在Pidgin加入骇客宣称的功能,但内含的恶意程式码会从C2伺服器下载PowerShell指令码并执行,然后于受害电脑植入恶意程式DarkGate。
研究人员进一步指出,骇客不光针对Windows用户,Linux用户也无法幸免。骇客也实作具有类似功能的Linux外挂程式pidgin-screenshare.so,同样能够下载并执行恶意指令码。
根据LNK档的命令,大致可分成两种,其中一种是滥用公用程式forfiles.exe寻找win.ini档案,并启动PowerShell,然后透过公用程式mshta.exe从特定网域搜寻下载、执行第二阶段酬载;另一种则是直接执行PowerShell,启动mshta.exe下载有效酬载,但特别的是,攻击者下达命令时,会用到万用符号,但为何要这么做,研究人员没有解释。
其他攻击与威胁
数位部政务次长林宜敬指出,当民众在脸书看到疑似诈骗广告内容,可将广告连结复制贴上打诈通报查询网,除了民众通报之外,打诈通报查询网结合资安院开发的AI侦测技术,可以自动侦测巡检诈骗广告,每月可侦测超过50万笔广告,宣称侦测准确度达93%。