在2024年最后一个月的资安新闻中,多个国家级骇客网路攻击的事件与威胁公开,持续引发各界高度重视,在此我们整理出5大威胁态势与2大防护面的进展,帮助大家回顾本月重要新闻。
其中几项议题值得重视,像是在国家级骇客的多起网路间谍攻击事件中,美电信业遭中国骇客Salt Typhoon渗透的后续消息不断,突显事件严重性需特别看待,因此列为第一焦点;还有台湾面临的资安威胁方面,由于近半年我国遭同一组织持续数波DDoS攻击,难得有国内业者剖析其攻击手法,也是值得独立看待的重要议题,因次列为第三焦点。
(一)中国网路间谍攻击席卷全美
2024美国电信业遭中国骇客组织Salt Typhoon渗透的后续消息不断,当地至少9家电信业遭入侵,美国与多国网路安全机构亦在12月3日发布电信业强化指引,还有美CISA在12月18日发布行动通讯安全指南,积极倡导E2EE全程加密重要性,并敦促政府高阶官员与政治人物应采用如Signal等具E2EE的通讯软体。
(二)国家级骇客威胁加剧
受政府资助骇客组织的威胁不断,持续在灰色地带的网路世界肆意发动攻击,资安界与国家网路安全机构持续示警,不只是上述中国骇客组织Salt Typhoon入侵美电信业,12月还有多起重要消息:
●韩国资安业者AhnLab揭露中国骇客TIDrone入侵韩国企业,其手法有二,一是假借提供ERP软体名义散布恶意程式,一是利用另款韩国ERP系统递送恶意程式。
●BeyondTrust紧急修补已遭利用的零时差漏洞,后续美国财政部表示因此事件受害,并指出是中国骇客组织所为。
●资安业者Sophos公布历时5年调查的「Pacific Rim」行动,揭露骇客在四川进行漏洞研究与开发,并将结果提供给中国政府支持的骇客团体使用。
●美国政府指控中国民间公司四川无声信息技术员工关天峰,在2020年利用Sophos防火墙零时差漏洞入侵全球近8.1万台设备,并祭出千万美元悬赏。
●TeamT5威胁分析师高峰会举行,研究人员解析这一年来的中国APT攻击态样与假讯息态势,强调:边缘装置漏洞已成中国骇客渗透主要目标,以及中国骇客转向勒索谋生使中小企业危害大增。
(三)台湾遭遇DDoS威胁最新剖析
2024年下半台湾遭遇亲俄骇客组织NoName057对台发动数波DDoS攻击,影响许多政府机关与上市柜公司网站服务的运作,国内资安业者安碁资讯在12月剖析其手法,主要是采消耗系统资源的HTTP洪水攻击,而非消耗频宽的洪水攻击,并指出攻击者利用VPS虚拟主机或VPN隐匿其攻击背后的真实IP位址,而且只针对特定4到10个URL页面集中攻击,就能达到服务阻断的目的。
(四)台湾重大资安事件
根据公开资讯观测站的重大讯息公告,本月5家上市柜公司发布资安重讯。
●第一星期有2起,新天地表示网路遭受DDoS攻击;阳明部份资讯系统遭受骇客网路攻击。
●第三星期有2起,盛群的MCU创意竞赛网站遭受骇客网路攻击(后续二度公告补充,求职者履历后端管理平台同样遭攻击,且有部份资料可能外泄);京晨科发生部分资讯系统遭受骇客攻击。
●第四星期有1起,合晶代子公司Helitek公告,说明部分资讯系统遭受攻击。
还有1起与台湾有关的威胁与风险揭露,同样值得留意,这起事件是有攻击者假借提供报价名义企图散布恶意软体SmokeLoader,资安业者Fortinet指出,他们观察到这样的攻击自今年9月开始,主要针对台湾的制造业、医疗保健、资讯科技等业者而来。
(五)勒索软体威胁生生不息
勒索软体攻击威胁依然严峻,最近国际间传出几起重要事件,值得我们留意。例如,半年前日本知名影音共享平台Niconico、角川书店遭骇,如今传出他们支付勒索集团高达300万美元(约9,600万元)。
此外,罗马尼亚电力公司Electrica Group遭遇资安事故,罗马尼亚国家网路安全局(DNSC)指出遭勒索软体Lynx攻击,还有12月Cleo的MFT档案传输系统修补已遭利用零时差漏洞,传出此攻击导致60家企业遭Clop勒索软体组织攻击。
(六)AI发展持续带来挑战需要因应
在AI能力进步显著之下,有3则新闻显露出最新资安发展与重点,包括:英国电信业者O2展现AI对抗诈骗新成果,发表能即时接听诈骗电话与歹徒聊天的AI阿嬷(AI Granny)Daisy,作用是耗用诈骗者时间、减少其他人被骗;趋势科技发表「AI防诈达人」App,最特别是提供换脸诈骗侦测功能,突显人脸Deepfake侦测技术朝向普及,并提供可识别图片的诈骗查证。
此外,资通安全研究院院长何全德在年底一场活动阐释「新世代AI对资安治理的挑战与机遇」,他呼吁大家应用AI应关注资安、伦理和治理风险,并指出已有企业成立AI道德伦理委员会,同时呼吁台湾制定AI安全政策,可参考美国CISA局长Jen Easterly提出的AI风险四大关键面向思考应对策略,包括:技术发展速度(Velocity)、系统脆弱性(Vulnerability)、资料真实性(Veracity)、持续警觉性(Vigilance)
(七)密码敏捷性与AI BOM发展成2025焦点
对于2025年资安市场的发展,市调机构IDC公布新一年度预测,强调密码敏捷性(Crypto-agility)与AI BOM的兴起。
事实上,为了因应量子破密威胁,NIST在2022年已在推广密码敏捷性(Crypto-agility)的概念,并且PQC标准选用的演算法也涵盖不同的数学方法作为备用,确保加密演算法能灵活升级与更换,如今IDC认为企业2025年量子破密防护技术的布局上,将优先采用Crypto-Agility框架;在AI资安领域,AI物料清单(AI BOM)的议题已经不断被提及,IDC预期业界在2025年将加速推广AI BOM,之后也会带动数据物料清单(Data BOM)的发展。
协助训练,能即时接听诈骗电话并与歹徒聊天,如此一来可耗用诈骗者时间、减少其他人被骗。
在资安威胁态势方面,有两起与台湾有关的重要消息,首先是针对先前亲俄骇客组织NoName057对台的DDoS攻击,国内资安业者安碁资讯揭露其具体手法,指出该组织瘫痪网站服务的DDoS攻击做法,主要是消耗资源的HTTP洪水攻击,而非消耗频宽类型的阻断模式,并说明攻击者会先找出合适的HTTP洪水攻击的页面,之后只集中攻击特定4到10个URL页面,就能奏效。
另一是关于恶意软体SmokeLoader假借报价名义的对台攻击活动揭露,资安业者Fortinet指出,这波攻击从今年9月就针对台湾的制造业、医疗保健、资讯科技及其他领域的公司而来,并指出攻击者先是透过钓鱼信、假借寄送报价单的名义,诱骗收信者开启内含恶意VBS的附件。
在其他重要威胁消息方面,网路间谍行动的揭露是主要焦点,有两起新闻与之有关,其攻击目标涵盖企业、组织,以及图博与维吾尔族民众。
●美大型企业组织于8个月前遭网路间谍攻击事件被揭露,资安业者赛门铁克指出攻击者与中国骇客组织Daggerfly有所关联,试图收集机敏电子邮件内容,并滥用FTP软体Filezilla外传窃得的资料。
●新一起锁定图博及维吾尔族的间谍行动被揭露,资安业者趋势科技指出,Earth Minotaur骇客组织会针对安卓与Windows装置部署DarkNimbus后门程式,且暗中活动已长达5年,近日才被发现。
●韩国警方公布逮捕生产卫星接收器的执行长与员工,原因是买家向他们要求设备必须含有DDoS攻击能力,该业者竟然配合对方制造这类型产品。
●美国、泰国、阿拉伯联合大公国的航太及半导体产业遭锁定,威胁情报业者ThreatBook指出此事件是伊朗骇客APT35所为,并会利用假征才网站发动攻击。
至于资安事件方面,国内有两家上市公司发布资安事件重讯,国际间也有2起勒索软体攻击成为国际焦点。
●阳明海运部份资讯系统遭受骇客网路攻击事件
●上市观光餐旅新天地说明网路遭受骇客网路DDoS攻击
●英国电信龙头BT Group传出遭遇勒索软体Black Basta攻击
●勒索软体骇客组织Brain Cipher声称入侵德勤(Deloitte)英国分公司
在漏洞消息方面,有4个已知漏洞遭利用的消息,其中两个漏洞先前曾经示警,包括:10月底CyberPanel修补其伺服器管理平台CVE-2024-51568漏洞,当时传出勒索软体Psaux锁定这些漏洞;去年10月日本线上储存与应用硬体软体公司North Grid修补Proself系统的CVE-2023-45727漏洞,今年7月JPCERT曾公布有骇客利用此漏洞,如今这些情况均得到美国政府证实。
另两个分别是,兆勤科技在今年11月底才修补的漏洞CVE-2024-11667,以及档案共享平台ProjectSend在8月修补的漏洞CVE-2024-11680,也被美国CISA列入已知漏洞利用清单。
特别的是,有2个尚未公开CVE编号的零时差漏洞消息,一是资安业者0patch发现,去年10月终止支援的Windows Server 2012、2012 R2有零时差漏洞,另一是资安业者Any.run指出骇客疑似利用零时差漏洞、滥用Word档案修复功能,并假借公司人资与员工福利的名义从事网路钓鱼,需要继续留意与追踪。
还有一起零时差漏洞利用状况是日本JPCERT/CC在12月4日示警,指出I-O Data两款LTE无线基地台的零时差漏洞已遭利用,包括CVE-2024-45841、CVE-2024-47133、CVE-2024-52564。
虽然上述这家日本产品业者未能在CVE公布之际推出修补(预计12月18日发布更新),但我们注意到,在12月第2个星期,适逢多家IT厂商释出每月例行安全更新,包含微软、SAP、Adobe、西门子、施耐德电机,需要大家关注与尽快修补,而漏洞新确认遭利用的消息更需密切关注,例如,微软修补1个已遭利用的零时差漏洞CVE-2024-49138,以及10月底Cleo修补三款MFT档案传输系统的漏洞CVE-2024-50623,因当时修补不全,如今有零时差漏洞利用攻击出现。
另要留意的是,还有资安业者0Patch针对微软Windows零时差漏洞示警,尚未有CVE编号,也尚未有修补释出,但强调此漏洞涉及NTLM,且引诱使用者触发漏洞的难度并不高,因此暂时不会公布相关细节。
在资安威胁态势上,有一则关于开源工具Prometheus的重要消息,这款工具经常被用于监控Kubernetes状态,近期有资安业者对其进行调查,结果发现约有33.6万台主机曝露资安风险,原因在于这些伺服器与Exporter多半缺乏合宜的身分验证,恐让攻击者可以轻易地收集帐密或API金钥等敏感资料。
其他重要威胁态势,软体供应链攻击的状况再次出现,AI模型套件Ultralytics遭渗透成主要焦点;南欧资讯服务业者遭中国骇客锁定的消息,被两家资安业者联手揭露,也引发关注,因为攻击者滥用Visual Studio Code远端开发功能来隐匿入侵。此外,关于浏览器隔离技术的攻击研究也必须重视,发现可突破防护的攻击手法,提醒企业不能完全仰赖RBI,仍需要有多层防护与整体资安强化策略。
●PyPI套件Ultralytics被入侵,攻击者在释出的新版本植入挖矿软体,其相依性套件SwarmUI和ComfyUI也受影响,且后续仍传出相关攻击行动。
●中国骇客今年6至7月入侵南欧B2B资讯科技服务供应商,两资安业者联手揭露其特殊隐匿手法,指出骇客滥用VSCode远端开发的tunnel功能来控制受害电脑。
●企业员工上网若采用浏览器隔离技术进行保护,仍有机可乘,仍要关注与研究可能威胁,有资安厂商红队发现用QR Code传递C2命令的技俩,可突破RBI等三大类型浏览器隔离防护机制。
●DroidBot安卓远端存取木马(RAT)自今年6月起锁定77家银行的客户,资安业者特别指出此木马显示行动恶意软体生态系也出现开发与攻击分工的情况。
●资安业者Lockout发现新一个安卓间谍软体EagleMsgSpy,循线追查背后使用该程式的是中国公安。
还有一起关于2020年国家级骇客攻击的幕后凶手浮上台面,11月资安业者Sophos公布历时5年调查的「Pacific Rim」行动,揭露骇客在四川进行漏洞研究与开发,并将结果提供给中国政府支持的骇客团体使用。美国财政部外国资产控制办公室于12月10日指控,当时利用Sophos防火墙零时差漏洞、入侵全球近8.1万台设备的是四川无声信息技术(Sichuan Silence)员工关天峰,美国国务院则祭出关于该嫌情报的千万美元奖金悬赏。
勒索软体攻击事件仍不断发生,这一星期有两则消息,特别是罗马尼亚电力公司Electrica Group遭遇网路攻击的事故,罗马尼亚国家网路安全局(DNSC)已指出是遭到勒索软体Lynx攻击,并呼吁其他能源业者要严加防范;另一是上月SaaS软体服务供应商Blue Yonder遭网路攻击,如今传出攻击者是勒索软体Termite。
在资安防御上,以台湾加入FIRST国际资安应变组织的消息最受瞩目,今年数量从17个变25个,特别是电子业有更多类型的公司加入,包括IC设计、工业电脑与电脑设备大厂,而且还有国内金融机构首度成为FIRST成员。
在国际间则有多项打击网路犯罪成果发布,包括欧洲警方关闭网路犯罪市集Manson Market,欧洲刑警组织号召15国合作关闭27个非法DDoS租用服务,以及比利时与荷兰联手、西班牙与秘鲁联手,各自破获跨国电话网钓集团,这也突显跨国界合作成为打击犯罪的关键,特别是欧洲地区在执法合作上持续有进展与突破。
告别2024年在即,回顾12月第4个星期的资安新闻,我们优先推荐TeamT5威胁分析师高峰会上的重要揭露,他们解析这一年来的中国APT攻击态样与假讯息态势,恶意活动显著增加,不仅结合AI与边缘装置漏洞发动精准攻击,而且过去由政府资助的中国骇客组织,因经济压力而必须自力更生,于是,不只攻击国家、军方与大企业,也开始以金钱为目的锁定中小企业攻击。
另一重要消息,在于资安防护层面的作法。由于中国骇客对美电信业发动网路间谍攻击,美CISA在12月初针对电信业者发布资安强化指引,到了18日,再发布行动通讯最佳实作指引,呼吁政府机关的高层等高风险用户,应改用iOS与Android双平台皆支援全程加密(E2EE)的加密通讯软体,以因应中国骇客入侵电信业的间谍活动威胁。
此外,继上星期美国政府传出禁用TP-Link路由器,该国参议院通过新一年度国防授权法,当中要求无人机大厂大疆(DJI)在一年内证明自己并未威胁美国国家安全,否则美FCC将禁止其产品在美国境内销售,也不会授权DJI广播其无线电波使用美国固网连线。
在威胁态势上,有3起资安事件与僵尸网路病毒相关,其中两起突显资安界一直提醒的网路设备安全管理问题:使用Admin、0000等预设密码、使用厂商停产且不再支援的设备。这些不安全状态迟迟无法改善,持续成为攻击者积极锁定的目标。
●Juniper Networks发布资安公告,指出有用户回报其Session Smart Router路由器遭植入僵尸网路病毒Mirai,并指出受害设备共通点是使用预设密码的状况。
●台厂永恒数位通讯(Digiever)已EOL的NVR设备DS-2105 Pro遭锁定,被散布Mirai僵尸网路病毒变种Hail Cock,Akamai指出骇客可能利用零时差漏洞入侵。
●恶意软体BadBox攻击升温,德国12月中旬以DNS陷坑技术中断当地BadBox运作,全球仍有19.2万台安卓装置被骇客控制并组成僵尸网路,其中包括Yandex智慧电视与海信智慧手机。
还有一项消息涉及开源软体供应链攻击,企业与开发者需重视,有资安业者揭露新的Python恶意套件,指出Zebo与Cometlogger这两款套件看似一般开源程式,但利用合法Python函式库结合混淆技术,来隐藏其窃取凭证的目的。
在资安事件方面,这一星期有合晶美国子公司Helitek、日本航空JAL遭骇,另外,有两起多年前发生的资安事故如今有后续消息。
●上柜半导体业合晶在12月26日代子公司Helitek公告发生网路资安事件,说明部分资讯系统遭受攻击。
●日本航空(JAL)在12月26日早上公告连接内外网路环境的路由器设备出现异常,导致国内外航班延误,当地媒体指出是伺服器遭DDoS攻击造成。
●思科10月传出资料遭窃的事故,如今有骇客声称握有4.5 TB资料。
●2014到2020年间万豪国际及喜达屋连锁饭店发生大规模资料外泄,美FTC指控饭店谎称具合理适当的资安防护,如今祭出新和解条件,限期半年内强化资安。
●Meta、WhatsApp在5年前对以色列间谍软体公司NSO Group提告,指控其利用WhatsApp零时差漏洞入侵逾1,400台行动装置,如今判决WhatsApp胜诉。
在物联网云端平台安全议题上,资安业者Claroty发现中国网路设备业者锐捷网路(Ruijie Networks)云端设备管理平台的10个漏洞,已通报该业者修补,并指出MQTT通讯协定实作的问题。
在漏洞利用方面,有个零时差漏洞利用活动需关切后续发展,苦主是资安厂商Palo Alto Networks,他们修补防火墙与Prisma Access的漏洞CVE-2024-3393,并指出该漏洞已被用于攻击行动。
在重要漏洞修补动向上,Apache基金会针对Tomcat重大RCE漏洞(CVE-2024-50379)修补不全,再度发布资安公告,要求用户调整Java元件部分组态因应,另也针对开源CDN软体Traffic Control修补重大漏洞。
其他可留意的漏洞修补消息,包括基于Git而成的程式码管理系统Gogs修补一系列漏洞,Sophos修补两项防火墙漏洞,以及MinIO修补物件储存平台漏洞等。
●新一起锁定图博及维吾尔族的间谍行动被揭露,资安业者趋势科技指出,Earth Minotaur骇客组织会针对安卓与Windows装置部署DarkNimbus后门程式,且暗中活动已长达5年,近日才被发现。
●韩国警方公布逮捕生产卫星接收器的执行长与员工,原因是买家向他们要求设备必须含有DDoS攻击能力,该业者竟然配合对方制造这类型产品。
●美国、泰国、阿拉伯联合大公国的航太及半导体产业遭锁定,威胁情报业者ThreatBook指出此事件是伊朗骇客APT35所为,并会利用假征才网站发动攻击。
●上市观光餐旅新天地说明网路遭受骇客网路DDoS攻击
●英国电信龙头BT Group传出遭遇勒索软体Black Basta攻击
●勒索软体骇客组织Brain Cipher声称入侵德勤(Deloitte)英国分公司
●中国骇客今年6至7月入侵南欧B2B资讯科技服务供应商,两资安业者联手揭露其特殊隐匿手法,指出骇客滥用VSCode远端开发的tunnel功能来控制受害电脑。
●企业员工上网若采用浏览器隔离技术进行保护,仍有机可乘,仍要关注与研究可能威胁,有资安厂商红队发现用QR Code传递C2命令的技俩,可突破RBI等三大类型浏览器隔离防护机制。
●DroidBot安卓远端存取木马(RAT)自今年6月起锁定77家银行的客户,资安业者特别指出此木马显示行动恶意软体生态系也出现开发与攻击分工的情况。
●资安业者Lockout发现新一个安卓间谍软体EagleMsgSpy,循线追查背后使用该程式的是中国公安。
另一重要消息,在于资安防护层面的作法。由于中国骇客对美电信业发动网路间谍攻击,美CISA在12月初针对电信业者发布资安强化指引,到了18日,再发布行动通讯最佳实作指引,呼吁政府机关的高层等高风险用户,应改用iOS与Android双平台皆支援全程加密(E2EE)的加密通讯软体,以因应中国骇客入侵电信业的间谍活动威胁。
此外,继上星期美国政府传出禁用TP-Link路由器,该国参议院通过新一年度国防授权法,当中要求无人机大厂大疆(DJI)在一年内证明自己并未威胁美国国家安全,否则美FCC将禁止其产品在美国境内销售,也不会授权DJI广播其无线电波使用美国固网连线。
在威胁态势上,有3起资安事件与僵尸网路病毒相关,其中两起突显资安界一直提醒的网路设备安全管理问题:使用Admin、0000等预设密码、使用厂商停产且不再支援的设备。这些不安全状态迟迟无法改善,持续成为攻击者积极锁定的目标。
●Juniper Networks发布资安公告,指出有用户回报其Session Smart Router路由器遭植入僵尸网路病毒Mirai,并指出受害设备共通点是使用预设密码的状况。
●台厂永恒数位通讯(Digiever)已EOL的NVR设备DS-2105 Pro遭锁定,被散布Mirai僵尸网路病毒变种Hail Cock,Akamai指出骇客可能利用零时差漏洞入侵。
●恶意软体BadBox攻击升温,德国12月中旬以DNS陷坑技术中断当地BadBox运作,全球仍有19.2万台安卓装置被骇客控制并组成僵尸网路,其中包括Yandex智慧电视与海信智慧手机。
还有一项消息涉及开源软体供应链攻击,企业与开发者需重视,有资安业者揭露新的Python恶意套件,指出Zebo与Cometlogger这两款套件看似一般开源程式,但利用合法Python函式库结合混淆技术,来隐藏其窃取凭证的目的。
在资安事件方面,这一星期有合晶美国子公司Helitek、日本航空JAL遭骇,另外,有两起多年前发生的资安事故如今有后续消息。
●上柜半导体业合晶在12月26日代子公司Helitek公告发生网路资安事件,说明部分资讯系统遭受攻击。
●日本航空(JAL)在12月26日早上公告连接内外网路环境的路由器设备出现异常,导致国内外航班延误,当地媒体指出是伺服器遭DDoS攻击造成。
●思科10月传出资料遭窃的事故,如今有骇客声称握有4.5 TB资料。
●2014到2020年间万豪国际及喜达屋连锁饭店发生大规模资料外泄,美FTC指控饭店谎称具合理适当的资安防护,如今祭出新和解条件,限期半年内强化资安。
●Meta、WhatsApp在5年前对以色列间谍软体公司NSO Group提告,指控其利用WhatsApp零时差漏洞入侵逾1,400台行动装置,如今判决WhatsApp胜诉。
在物联网云端平台安全议题上,资安业者Claroty发现中国网路设备业者锐捷网路(Ruijie Networks)云端设备管理平台的10个漏洞,已通报该业者修补,并指出MQTT通讯协定实作的问题。
在漏洞利用方面,有个零时差漏洞利用活动需关切后续发展,苦主是资安厂商Palo Alto Networks,他们修补防火墙与Prisma Access的漏洞CVE-2024-3393,并指出该漏洞已被用于攻击行动。
在重要漏洞修补动向上,Apache基金会针对Tomcat重大RCE漏洞(CVE-2024-50379)修补不全,再度发布资安公告,要求用户调整Java元件部分组态因应,另也针对开源CDN软体Traffic Control修补重大漏洞。
其他可留意的漏洞修补消息,包括基于Git而成的程式码管理系统Gogs修补一系列漏洞,Sophos修补两项防火墙漏洞,以及MinIO修补物件储存平台漏洞等。