各国执法机关共同合作,破坏特定的勒索软体、窃资软体运作,近期有所斩获,继上个月荷兰国家警察在跨国执法行动Operation Magnus当中,
为了回避端点电脑的防毒软体及EDR系统侦测,攻击者打造能绕过这些端点防护系统的工具可说是越来越常见,而在最近一起攻击行动里,骇客测试新型态的端点防护绕过工具引起研究人员注意。
资安业者Palo Alto Networks揭露发生在客户的资安事故,攻击者向初始入侵掮客(IAB)购买能透过远端管理软体Atera存取的管道,而能成功进行目标企业的网路环境,在攻击行动里,对方试图运用恶意系统,将该厂牌的Cortex XDR代理程式部署到虚拟环境。研究人员认为,骇客此举是借由自带驱动程式(BYOVD)手法,测试新的端点防护绕过工具。
这起攻击行动的发现,在于该公司旗下的威胁情报团队Unit 42接获客户遭到勒索通报,结果发现,其中2个环境型态不明的用户端环境受到相关攻击。攻击者在这些端点电脑安装了旧版的Cortex XDR代理程式,研究人员在对方不知情的状态下成功存取这些端点,并找到一系列的作案工具,循线于骇客论坛找到专门兜售相关工具的讯息。
今年8月美国电信业者Lumen指出,中国骇客组织Volt Typhoon利用Versa Director零时差漏洞CVE-2024-39717,入侵网路服务供应商(ISP)、托管服务供应商(MSP),如今传出电信业者遭到此骇客组织攻击的消息。
根据彭博社、路透社的报导,2名知情人士声称新加坡电信(SingTel)遭到入侵,调查人员认为,攻击者的身分就是Volt Typhoon。
对此,新加坡电信的发言人向这两家新闻网站说明,他们在6月侦测到恶意软体,随后便进行相关处理,尚未出现资料外泄的情况,服务也并未受到影响,该公司已向相关单位通报此事。
其他攻击与威胁
其中,CVE-2024-43047最早是高通在10月公布,影响数位讯号处理器(Digital Signal Processor,DSP)服务,为记忆体释放后再进行滥用(Use After Free,UAF)的弱点,CVSS风险评为7.8。
另一个漏洞CVE-2024-43093涉及权限提升,影响12至15版安卓作业系统,但特别的是,该漏洞不仅出在作业系统框架,也存在于Google Play系统更新模组当中的Documents UI元件。
其他漏洞与修补
Synergia II主要锁定网路钓鱼、资讯窃取及勒索软体等恶意活动,结合了全球95个国家的执法机构,并与Group-IB、趋势科技、卡巴斯基与Team Cymru等资安业者合作,借由资安业者在追踪非法网路活动上的专业,来识别全球的恶意伺服器。
该行动的期间为今年4月1日至8月31日,Interpol与资安研究人员在这期间,总计发现了3万个可疑的IP位址,关闭了其中的2.2万个装置,确认了逾100名嫌犯的身分,逮捕了当中的41名。其中,香港有1,037个伺服器被关闭,蒙古有一台伺服器被查扣,澳门也有291台伺服器被关闭,也涉及马达加斯加及爱沙尼亚。