中国骇客锁定电信业者的情况,许多人可能会想到去年9月传出Volt Typhoon攻击多家美国电信业者的资安事故,但也有专门针对亚洲电信业者而来的骇客组织。
例如,资安业者Sygina最近揭露的中国骇客组织Weaver Ant,就是这种型态的例子。这些骇客针对东南亚一家大型电信业者下手,秘密、持续从事网路间谍活动长达4年,过程中利用Web Shell及隧道工具,以便维持于受害组织活动,并用来进行横向移动。
针对这起资安事故,Sygina提及Weaver Ant在受害组织的内部伺服器当中,部署变种的中国菜刀(China Chopper)Web Shell。特别的是,研究人员提及在Weaver Ant入侵之前已有一批人马侵门踏户,而这个Web Shell的用途,很有可能是Weaver Ant对前一批人马活动中断做出的「补救措施」。
根据Bleeping Computer、HackRead、SecurityWeek等资安新闻网站的报导,3月20日名为rose87168的人士于骇客论坛声称,他手上握有超过14万个Oracle Cloud租户的资料,资料量多达600万笔,其中包含单一签入(SSO)及LDAP的帐密资料,想要寻找买主。对此,Oracle否认遭到入侵,并强调骇客公布的帐密资料无法用于Oracle Cloud,没有Oracle Cloud客户面临资料外流或是遗失的情况。
针对这起事故,显然有媒体对Oracle的说法不买单,他们根据资安业者的说法,认为这些流出的可能是真实资料,骇客的入侵管道与身分验证的环节有关。HackRead、SecurityWeek引述资安业者CloudSEK的调查结果,骇客很有可能是利用CVE-2021-35587而得逞。
事隔3天,CloudSEK公布新的调查结果,指出根据骇客提供买家验证的部分资料(1万笔),这批资料确实来自Oracle Cloud网域login.us2.oraclecloud.com,该伺服器为实际上线的SSO身分验证平台,且外流档案内容为客户的真实资料。
资安研究团队MalwareHunterTeam指出,他们近期发现恶意程式样本当中,具备Microsoft ID Verified CS EOC CA 01凭证签章,不过,该凭证效期仅有3天。研究人员认为这是首度滥用微软信赖签发(Trusted Signing)服务的凭证,签发成功的恶意程式案例。虽然凭证效期很短,但在发行者吊销凭证之前,使用该凭证签章的可执行档仍然有效。
恶意程式滥用微软签发服务可能是新兴趋势,因为有其他研究人员也发现了类似手法,为窃资软体Crazy Evil Traffer及Lumma Stealer签章,骇客还上传到恶意软体分析平台VirusTotal进行检验。对此,微软表示正在调查及追踪凭证滥用的情形,一旦发现,他们将吊销被滥用的凭证。
其他攻击与威胁
◆◆
能将Nginx网站平台作为Kubernetes环境输入控制器的软体系统ingress-nginx,本周发布更新版本,主要是为了修补4个漏洞,此事源于资安业者Wiz找到命名为IngressNightmare的一系列漏洞,危险程度达到重大层级,攻击者可远端利用,在未经授权的情况下执行任意程式码,CVSS风险评为9.8。研究人员评估全球约有43%云端环境存在相关弱点,超过6,500个丛集曝险,包含财星500大的企业,因此影响可能会相当广泛,呼吁用户应尽速套用修补程式。
这批漏洞已被登记为CVE-2025-1097、CVE-2025-1098、CVE-2025-24514、CVE-2025-1974、CVE-2025-24513,一旦遭到利用,攻击者就有机会在未经授权的情况下存取Kubernetes丛集,挖掘所有名称空间(namespace)当中的全部机密资料,而有可能借此接管丛集。
其他漏洞与修补