9月国内最盛大的活动是国际半导体展,当中的半导体资安最新概况,成为本月主要资安焦点之一,其他重要资安消息中,台湾政府机关及企业本月遭遇多起网路攻击,有的是企业组织自己宣布,有的是资安业者公布骇客攻击手法提到台湾有企业遭锁定,我们整理7大焦点,帮助大家快速回顾本月重要新闻。
展示PQC晶片与应用的公版平台
资安已成2024国际半导体展重要一环,不论半导体设备合规、工控资安防护,已是这几年常见的展出重点,特别的是,今年还有后量子资安产业联盟的最新概况的揭露,例如,工研院秀出可供产业界开发PQC晶片与应用的公版平台,以及多家业者投入PQC应用发展,由于从晶片设计到硬体设备、韧体、网路通讯等都需要PQC密码标准的导入,因此协助产业串接验证数位逻辑设计的发展亦受关注。
大规模DDoS攻击再现
台湾至少45个单位与企业遭受DDoS攻击。过去台湾遭受大规DDoS攻击,大家可能都会联想到是中国骇客组织虽为,像是两年前美国众议院议长裴洛西访台前后的攻击事件,这次情况颇令人讶异,因为这次攻击是亲俄骇客NoName057发动,他们并宣称是不满我国总统赖清德引用中俄领土争议来反驳中国收复台湾的主张。但该组织对于中俄领土的说词,其实反而吸引更多国际关注,并意识到俄罗斯领地不归中国、台湾也是如此的状况,而其攻击行动也呈现亲俄分子跟随中国对台湾政府发动攻击。
另外值得留意的是,该组织相当猖狂,其实不只对台湾多个政府和企业网站进行DDoS攻击,在前半个月也以不同借口持续对多国发动攻击,包括乌克兰、捷克、法国等地的政府机关网站。
台湾重大资安事件
资安业者揭露多起骇客攻击,其中几起事件显示台湾政府与企业被锁定,因此引发关注,另有4家上柜公司揭露遭遇资安事故,涵盖钢铁、半导体、环保与电子零组件业。
●台湾无人机制造商遭骇客锁定。关于本土军工产业遭锁定的消息,近来持续受到关注,特别的是本月又有两家资安业者揭露台湾无人机制造商遭锁定的状况,一是趋势科技揭露台湾卫星及军事工业今年持续遭锁定,并指出攻击者是中国骇客组织TIDrone,另一是Acronis研究人员揭露台湾无人机业者遭锁定,并指出攻击手法包括滥用台湾企业数位凭证,且可能涉及供应链攻击。
●台湾政府机关在7月遭中国骇客Earth Baxia攻击。趋势科技指出其手法是借由6月下旬GeoServer修补的漏洞取得初始入侵管道,并使用后门程式EagleDoor。
●多家上柜公司遭遇网路资安事件。有公司说明部份伺服器遭受骇客攻击,例如,知名IC设计业者「创惟科技」,还有3家公司说明部分资讯系统遭受骇客网路攻击,包括专注于复合螺丝及螺栓制造的「世铠精密」、专注磁性元件与印刷电路板业务的「松上电子」,以及「昆鼎绿能环保」。
僵尸网路威胁生生不息
僵尸网路的威胁态势不可轻忽,这个月不只是有僵尸网路Quad7最新一波攻击行动的揭露,还有骇客组织入侵家用路由器来建立自身的物联网僵尸网路的威胁态势,要特别注意。继去年打击中国骇客Volt Typhoon使用的KV-botnet僵尸网路后,美国司法部今年9月宣布破获由20万网路设备组成的僵尸网路Raptor Train,并指出这是由中国骇客组织Flax Typhoon建立,目的是针对台湾及美国的军事、政府、高等教育、电信及国防工业等领域展开攻击。
当心勒索软体RansomHub
在勒索软体威胁方面,有一项消息值得关切,今年上半才现身的RansomHub勒索软体,美国多个安全机构发布在8月底发布联合公告,指出全球至少210个企业组织受害,因此提供该组织的入侵手法(TTP)与入侵指标(IOC),呼吁外界对于该组织所带来的危害更要有所警觉。还可以留意的是,趋势科技9月底揭露最新研究报告,指出该组织还会利用存在弱点的驱动程式来发动攻击,并运用名为EDRKillShifter的工具,将防毒软体或端点防护工具EDR停用。
国家级骇客锁定东南亚各国
多年来中国骇客组织在网路上频频发动攻击,持续引发资安界的重视,这个月又有许多攻击行动被揭露,其中突显亚洲、东南亚政府遭锁定的情形。例如:
●思科威胁情报团队Talos揭露中国骇客DragonRank的最新攻击行动,主要针对亚洲、欧洲国家而来,并锁定代管企业网站的IIS伺服器。
●资安业者Palo Alto Networks揭露中国骇客组织Stately Taurus的最新行动,是锁定东南亚政府机关从事网路间谍活动。
●资安业者Sophos揭露中国政府主导的大规模网路间谍攻击行动Operation Crimson Palace,东南亚政府持续遭锁定。
资安业者更新竟酿灾
关于7月19日CrowdStrike更新引发的全球IT大当机事件,由于后续消息的不断揭露,我们在9月初的封面故事进行完整回顾,帮助大家了解事件在台湾与全球的影响,同时也统整出5大层面议题,包括:资安业者部署验证测试发生的问题,微软为何开放作业系统核心模式驱动程式使用,IT系统风险过于集中,企业应变能力的状况,还有开发者写出越界记忆体读取的情形,也成为本次事件衍生议题。
回顾9月第二星期的资安新闻,有3起与台湾息息相关的事件需要我们密切关注,包括台湾多达45个单位与企业遭遇DDoS攻击,以及台湾无人机制造商被中国骇客锁定攻击,且疑似是涉及ERP相关的供应链攻击。
(一)中租、兆丰、彰银以及台湾证券交易所接连公告遭DDoS攻击,亲俄骇客NoName057宣称是他们所为,还有多个台湾政府机关也是这波攻击目标。
(二)中国骇客组织TIDrone今年不断攻击台湾卫星及军事工业,资安业者警告这些骇客似乎特别偏好攻击无人机制造商。
(三)台湾无人机制造商遭攻击行动Operation WordDrone锁定被揭露,研究人员指出骇客使用旧版Word主程式,并关注为何是台湾无人机产业遇害。
关于第一则消息,亲俄骇客NoName057近期先针对捷克、法国、乌克兰的政府机关发动DDoS攻击,自9月9日开始再针对我国网站攻击,不仅持续锁定台湾政府机关,后续几波又延伸到财税单位、官股金融机构及部分企业。关于后续消息,中秋假期间的资安威胁不容小觑,近期有多个攻击行动被揭露,其中两起消息值得留意,一是资安业者揭露中国骇客Earth Baxia今年7月曾针对台湾某个政府机关发动攻击,值得注意的是,该攻击利用GeoServer已知漏洞发动攻击,并植入后门程式EagleDoor;一是发现中国骇客锁定代管企业网站的IIS伺服器入侵的情形,主要利用特定的网页应用程式服务来部署Web Shell,而其针对的目标是欧亚地区的企业网站。
●台湾政府机关遭中国骇客Earth Baxia攻击,资安业者指出是其手法是借由GeoServer已知漏洞发动攻击。
●中国骇客DragonRank攻击亚洲、欧洲IIS伺服器,还会利用恶意程式PlugX、BadIIS来操纵搜寻引擎的排名。
●恶意程式Amadey窃取帐密资料有新招,利用浏览器的Kiosk模式来提升凭证窃取的攻击成功率。
●防毒业者Dr.Web惊传遭入侵,暂时切断所有伺服器的连线。
●台美国防工业会议相关人士遭到锁定,资安业者Cyble揭露发现相关诱饵档案,是伪装PDF档案的Windows捷径档。
在漏洞消息方面,本周有多个漏洞利用状况,我们注意到前不久修补的IE漏洞CVE-2024-43461,出现新的变化——当时微软指出该漏洞并未被大规模利用,一星期后确认该漏洞在修补之前就被利用。
●微软本月修补的Windows MSHTML平台漏洞CVE-2024-43461,后续发现在修补前已遭Void Banshee骇客组织利用。
●Progress在8月底修补WhatsUp Gold的漏洞CVE-2024-6670,资安业者警告已出现实际攻击行动。
●Ivanti修补Cloud Services Appliance已遭利用的2个零时差漏洞:CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修补的漏洞CVE-2024-27348,最近发现遭积极利用。
●多个旧漏洞被美CISA列入已知漏洞利用清单,包括微软的漏洞(CVE-2020-0618)、Oracle的漏洞(CVE-2022-21445、CVE-2020-14644),以及Adobe的漏洞(CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502)。
还有多个漏洞修补消息需尽速因应,包括:GitLab修补CVSS满分漏洞,以及OpenShift、VMware vCenter伺服器、新兴AI系统AutoGPT、Docker、D-Link Wi-Fi路由器等的漏洞修补。
特别的是,本星期还有一类型资安新闻也成重要焦点,因为骇客攻击家用连网设备的消息不断,涵盖家用路由器与Android电视机上盒。
例如,僵尸网路Quad7最新一波攻击行动的揭露,继先前TP-Link路由器发现被锁定,如今攻击范围扩大,兆勤(Zyxel)、华硕、Ruckus等厂牌的路由器产品都成锁定目标;还有美司法部宣布破获中国骇客组织Flax Typhoon委由中国业者Integrity Technology Group建立的Raptor Train僵尸网路。
上百万Android电视机上盒的韧体遭植入后门程式的状况,亦受不少人关注,是本周资安新闻排行的焦点。研究人员指出这是在今年8月发现,受害装置多为知名度较低的品牌,但尚不清楚感染途径。
由于近年来骇客组织入侵家用路由器来建立自身的物联网僵尸网路,其态势是日益严峻,像是去年美国即拿下中国骇客Volt Typhoon使用的KV-botnet僵尸网路,因此如何持续缓解这方面的威胁,相当关键。
(二)中国骇客组织TIDrone今年不断攻击台湾卫星及军事工业,资安业者警告这些骇客似乎特别偏好攻击无人机制造商。
(三)台湾无人机制造商遭攻击行动Operation WordDrone锁定被揭露,研究人员指出骇客使用旧版Word主程式,并关注为何是台湾无人机产业遇害。
●中国骇客DragonRank攻击亚洲、欧洲IIS伺服器,还会利用恶意程式PlugX、BadIIS来操纵搜寻引擎的排名。
●恶意程式Amadey窃取帐密资料有新招,利用浏览器的Kiosk模式来提升凭证窃取的攻击成功率。
●防毒业者Dr.Web惊传遭入侵,暂时切断所有伺服器的连线。
●台美国防工业会议相关人士遭到锁定,资安业者Cyble揭露发现相关诱饵档案,是伪装PDF档案的Windows捷径档。
●微软本月修补的Windows MSHTML平台漏洞CVE-2024-43461,后续发现在修补前已遭Void Banshee骇客组织利用。
●Progress在8月底修补WhatsUp Gold的漏洞CVE-2024-6670,资安业者警告已出现实际攻击行动。
●Ivanti修补Cloud Services Appliance已遭利用的2个零时差漏洞:CVE-2024-8963 、CVE-2024-8190。
●Apache HugeGraph-Server在4月修补的漏洞CVE-2024-27348,最近发现遭积极利用。
●多个旧漏洞被美CISA列入已知漏洞利用清单,包括微软的漏洞(CVE-2020-0618)、Oracle的漏洞(CVE-2022-21445、CVE-2020-14644),以及Adobe的漏洞(CVE-2013-0643、CVE-2013-0648、CVE-2014-0497、CVE-2014-0502)。