台海局势日益紧张,中国骇客对台发动攻击也更加频繁,过往这些骇客的目标,往往锁定政府机关、高科技产业、教育机构,但如今出现专门攻击台湾新兴国防科技产业的骇客组织。
上周趋势科技揭露的中国骇客TIDrone,就是典型的例子,骇客不断针对台湾卫星、军事工业下手,特别的是,他们偏好攻击无人机制造商,但为何如此?研究人员并未说明。
【攻击与威胁】
资安业者趋势科技揭露专门锁定军事产业的中国骇客组织TIDrone,并指出这些骇客主要目标是台湾军事及卫星工业,尤其是对无人机的制造商感到高度兴趣。
这波攻击行动为何能够现形?主要是趋势科技年初开始不断收到台湾资安事故通报,经过比对及调查,发现骇客锁定军事相关产业链而来,但根据恶意软体分析平台VirusTotal的资料,台湾并非这些骇客唯一的攻击目标,呼吁其他国家也要提高警觉。
值得一提的是,这些受害组织都采用相同的ERP系统,因此他们认为,攻击者很可能透露供应链攻击,来达到散布恶意软体的目的。
针对Web3及加密货币环境而来的资安事故频传,最近5年已有数百起大规模挟持加密货币的事故,导致逾120亿美元资产遭窃,例如,发生在2022年的去中心化金融(De-Fi)系统Ronin Network事故引起全球关注,因为攻击者一口气偷走逾6亿美元加密货币而成为当时规模最大的事故,美国直指是北韩骇客Lazarus所为。如今有研究人员提出警告,北韩骇客偏好针对特定类型的求职者下手,目的是为了得到目标组织的初始存取管道,企图从这些组织盗取大笔加密货币。
资安业者Mandiant指出,他们近期看到北韩骇客假借征才的名义,锁定求职的开发人员、财务人员下手,从而部署恶意程式,得逞后就会试图透过电脑的密码管理员窃取帐密资料,并针对程式码储存库及特定档案进行侦察,然后在受害电脑植入恶意软体。
上周末该公司再度更新公告内容,指出这项漏洞疑似被用于实际攻击事故的情况,呼吁IT人员要尽速套用修补程式因应。不过,究竟骇客如何利用漏洞,以及受害范围,该公司并未透露其他细节。
为了上架NPM、PyPI、RubyGems等各种恶意套件引诱开发人员上当,骇客往往会使用冒充网域名称手法(Typosquatting),使用极为相似的名称假冒知名套件,但如今有研究人员发现,这样的手法也能用于攻击工作流程自动化平台。
资安业者Orca Security发现能在GitHub Actions发动相关攻击的方式,并打造概念性验证环境(PoC),他们建立14个组织,而这些组织或储存库的名称,他们刻意设置与开发者常见的字串拼写雷同,例如:circelci、actons、docker-action、google-github-actons。
研究人员在设置为actons的组织得到最多结果,有4个公开储存库被开发人员参照,而在2个月内,有12个公开储存库被引用。这样的数字看起来不多,但这并不包含自用储存库引用的情况,因此实际受害范围将会更为广泛。
其他漏洞与修补