适逢农历年节前夕,在2025年第三星期资安新闻的主要焦点,是国家级骇客的最新进展,显现电信业在2024已成骇客攻击头号目标的态势,不只最近美国9家电信业遭中国骇客渗透的事故,还有多国电信业近年持续被发现遭中国骇客入侵。
此次报导亦整理出最新威胁态势,突显这些组织不只直接攻击企业组织,更聚焦于边缘装置漏洞利用等方式渗透,而且供应链攻击也深入台湾发展的软体与服务,像是近年一起资安事故就是透过ERP入侵,并且真正攻击目标是台湾无人机产业。
在资安事件方面,这一星期国内多家上市柜公司发布资安事件重讯,最大焦点是以AI机器视觉与机器人当红的所罗门,因为这又是一起同集团均受影响的状况;韩国VPN业者IPany遭入侵所引发的供应链攻击事件亦受关注,资安业者指出是中国骇客PlushDaemon所为。
●上市公司联钧光电1月19日说明部分资讯系统遭遇勒索软体攻击。
●上市公司所罗门在1月23日说明资讯系统遭受骇客攻击,同日所罗门集团旗下的上柜公司新门科技,亦发布相同资安重讯内容。
●韩国VPN业者IPany遭骇,攻击者在原厂提供的安装档加料散布恶意程式SlowStepper,这起供应链攻击目标包含韩国半导体、软体业,日本用户也受害。
●HPE内部系统凭证、产品原始码疑遭窃取,知名初始入侵管道掮客IntelBroker在骇客论坛上兜售。HPE表示已著手调查。
在威胁态势与事件上,僵尸网路的威胁揭露是一大焦点,因为有4起消息与之有关,占据本星期新闻事件不少版面。
●1.3万台MikroTik路由器被骇客绑架组成僵尸网路,借此发送垃圾邮件并散布木马,特殊之处是骇客利用DNS记录设定不良来通过SPF的验证,2万网域遭利用。
●骇客透过Mirai变种僵尸网路发动创下新高的5.6 Tbps的UDP DDoS攻击,Cloudflare一家东亚ISP的客户成为目标,且攻击时间是2024万圣夜期间。
●cnPilot路由器被僵尸网路Airashi利用零时差漏洞绑架,攻击者不只用于发动DDoS攻击,也借此提供非法代理伺服器服务。
●Mirai变种僵尸网路Murdoc的攻击活动被揭露,主要锁定升泰IP摄影机、华为路由器。
在漏洞消息方面,有两则漏洞利用的消息,一是今年1月初,专为多云环境设计的云端网路控制平台Aviatrix Controllers,修补CVSS评分10分的重大漏洞CVE-2024-50603,在1月23日美国CISA将其列入已知被利用漏洞清单(KEV),对当地机构要求限期修补;另一是2020年JQuery的老旧漏洞CVE-2020-11023,同样在当日被列入KEV清单。
另外,我们观察到2个研究人员发现的新资安问题,值得大家留意,一是资安研究人员发现可滥用Cloudflare快取,进而推测用户地理位置的手法;另一是发现群组原则已设定只接受NTLMv2的情况下,仍有部分应用程式可透过ParameterControl的参数,来请求NTLMv1验证讯息。
至于资安防御发展新闻中,有一项重要消息是,Google释出新的软体组成分析函式库OSV-SCALIBR,将有助于协助生成精准的SBOM,并提升漏洞检测效能。
去年底初始入侵管道掮客IntelBroker先后于值得留意的是,这些骇客并非首次表明窃得HPE内部的资料,去年2月,去年美国网路安全暨基础设施安全局(CISA)、资安业者Akamai揭露升泰科技(Avtech)的IP摄影机漏洞CVE-2024-7029,并表示已有攻击行动出现,如今有资安业者发现,可能还有其他骇客用于僵尸网路攻击。
资安业者Qualys揭露绑架超过5,500台装置的僵尸网路Murdoc,并提及攻击者运用已知漏洞对装置散布恶意软体,其中一个就是CVE-2024-7029。
骇客锁定安卓手机收集资料的情况,随著全球国际局势的紧张,这种攻击也不断出现,其中,最常见的就是要受害者授予各式的存取权限,从而大肆搜刮手机的资料并监控使用者,如今这样的手法出现变化。
资安业者Cyfirma揭露印度骇客组织DoNot(APT-C-35)近期的攻击行动当中,骇客的恶意App在取得辅助功能权限后,竟是透过讯息推播的方式,发动第二波网钓攻击
资安业者Cyfirma揭露印度骇客组织DoNot(APT-C-35)近期的攻击行动当中,骇客的恶意App在取得辅助功能权限后,竟是透过讯息推播的方式,发动第二波网钓攻击