去年美国网路安全暨基础设施安全局(CISA)、资安业者Akamai揭露升泰科技(Avtech)的IP摄影机漏洞CVE-2024-7029,并表示已有攻击行动出现,如今有资安业者发现,可能还有其他骇客用于僵尸网路攻击。
资安业者Qualys揭露绑架超过5,500台装置的僵尸网路Murdoc,并提及攻击者运用已知漏洞对装置散布恶意软体,其中一个就是CVE-2024-7029。
【攻击与威胁】
资安业者Qualys发现大规模的僵尸网路Murdoc攻击行动,此恶意程式为Mirai的变种,主要锁定升泰科技(Avtech)的IP摄影机及华为路由器而来,利用已知弱点入侵设备,包括升泰网路摄影机AVM1203的命令注入漏洞CVE-2024-7029,以及华为路由器HG532任意命令执行漏洞CVE-2017-17215,CVSS风险评为9.8、8.8。
针对攻击发生的经过,Qualys资深资安研究员Shilpesh Trivedi指出,这波攻击行动从去年7月开始,他们透过物联网搜寻引擎FOFA查询,被感染的装置来自1,377个IP位址、数量有5,513台,其中有2,029台是升泰的装置。
根据受害设备分布的地区,马来西亚、泰国最多,分别有3,196台、776台,但墨西哥、印尼、越南也有遭到感染的情况。
代号为TA446、TAG-53或UNC4057的俄罗斯骇客Star Blizzard,从2023年至2024年8月从事大规模网路钓鱼攻击,美国司法部与微软2024年10月联手,破坏该组织用来攻击的网站,但传出不久这些骇客又死灰复燃。
微软威胁情报团队指出,Star Blizzard从去年11月中旬开始,发起新一波的攻击行动,他们近期发现该骇客组织的战术、手段、流程(TTP)出现了重大变化,那就是骇客开始要求受害者加入即时通讯软体WhatsApp的群组。
一旦收信人依照指示照做,攻击者就有可能透过他们的帐号存取对话内容,并利用浏览器延伸套件的汇出功能,外泄相关资料。
骇客假扮知名机构引诱使用者上当的情况不时传出,其中最常见的是冒充政府机关,也有佯称是资安业者的情况,但如今也有声称是网路安全机构的事故传出。
乌克兰电脑紧急应变团队(CERT-UA)近期提出警告,有人冒用他们的名义,表示要进行审核及评估安全层级为由,要求使用者开放远端桌面软体AnyDesk的存取权限,呼吁使用者必须提高警觉。
针对这起事故,CERT-UA也呼吁使用者必须经由其他管道确认后,才能提供对方远端存取电脑;再者,远端管理工具及远端桌面软体在没有使用的时候,不应开启常驻在系统。
本月初中华电信海底电缆遭货轮破坏,数位发展部后来证实此事,表示会配合加强执法避免类似事故再度发生。但除了人为破坏,海底电缆也有可能因为天候等其他因素损坏,而造成服务中断的情形。
今天上午11时数位发展部召开记者会,说明台马海缆再度出现断线状况。他们在清晨5时34分接获通报,台马二号海缆疑似断裂,且台马三号也是全面中断的状态,对此他们已请求中华电信启用微波通讯进行备援,并尽速协调海缆船修复海缆。而对于台马二号断裂的原因,他们表示根据初步分析,很可能是芯线老化所致。
数发部收到通报后,要求中华电信根据关键基础设施(CI)安全防护计划启动备援,以12.6Gbps的微波频宽,优先提供政府、银行、医院等关键基础设施通讯服务,确保民生相关的服务不致出现间断的现象。
其他攻击与威胁