中国骇客组织锁定台湾的情况不时传出,近期思科揭露的新骇客组织UAT-5918引起资安媒体高度关注,原因是这个骇客组织主要的攻击目标就是台湾,而且活动长达2年才被发现行踪。
这批人马专门针对电信、医疗保健、资讯科技的垂直产业下手,但除此之外,台湾其他关键基础设施(CI)也遭到攻击。特别的是,他们也与多组中国骇客的目标及手法存在交集,这样的情况让人不禁联想UAT-5918可能也来自中国。
【攻击与威胁】
思科旗下的威胁情报团队Talos揭露骇客组织UAT-5918的攻击行动,这些骇客自2023年开始,针对台湾关键基础设施(CI)实体而来,其中包含电信、医疗保健、资讯科技等垂直产业,但也有其他关键基础设施遭到攻击的情况。UAT-5918通常利用尚未修补的已知漏洞,攻击网站或曝露在网际网路的应用程式伺服器取得初期入侵的管道,一旦得逞,就会使用大量开源工具进行侦察,从而建立能持续存取受害组织的途径,主要目的是窃取机敏资讯。
特别的是,虽然Talos并未点名UAT-5918身分,但他们特别提及该组织专门针对垂直产业下手、攻击的地理位置、入侵后续活动,以及战略、手段、流程(TTP)与多个中国骇客组织有所交集,这些骇客组织包括:Volt Typhoon、Flax Typhoon、Earth Estries、Tropic Trooper、Dalbit,这样的情况,很难不让人联想UAT-5918可能也来自中国。
【漏洞与修补】
这项漏洞被登记为CVE-2024-11131,影响BC500、CC400W、TC500等3款网路摄影机,CVSS风险评为9.8分,去年11月群晖发布1.2.0-0525版韧体修补。
针对漏洞发生的原因,群晖指出是录影介面出现记忆体越界读取(OBR)的情况,使得攻击者有机会远端执行任意程式码(RCE)。