美国政府大幅缩减行政预算的情况,其中网路安全暨基础设施安全局(CISA)也受到影响,先是一度传出广泛受到全球资安界运用的「常见漏洞披露(CVE)」资料库,他们将暂停委托MITRE维护,如今又有新的消息传出。
本周传出CISA将停止采用部分资安工具,当中包含Censys威胁情报服务,以及恶意软体分析平台VirusTotal,后续影响有待观察。
【攻击与威胁】
最近两到三年,不断有新的勒索软体出现,这些骇客通常都在短短几个月攻击大量受害组织,从而得到资安圈的关注,但如今有新兴的骇客团体打著美国政府团队的名号,吸引研究人员的目光。
趋势科技近期发现勒索软体Fog最新一波攻击行动,他们一共在恶意软体分析平台VirusTotal看到9个恶意酬载,这些档案上传的时间介于3月27日至4月2日,一旦执行,受害电脑的档案就会被加密,并将副档名窜改成.flocked,然后留下勒索讯息。特别的是,研究人员发现骇客在勒索讯息当中,自称是美国的政府效率部(Department of Government Efficiency,DOGE),由于3月底DOGE才有成员被起底疑似曾协助网路罪犯窃取资料,这样的情况引起他们注意。
针对攻击行动发生的过程,趋势科技指出骇客透过钓鱼邮件接触受害组织,信件挟带声称是与调整薪资有关的LNK附件,一旦收信人开启,电脑就会下载PowerShell指令码stage1.ps1并执行,启动多阶段的攻击流程,接收勒索软体载入工具及其他的PowerShell指令码。附带一提的是,stage1.ps1还会在受害电脑开启与政治有关的YouTube影片,但为何攻击者这么做,研究人员没有说明。
资安公司Cleafy揭露名为SuperCard X的安卓恶意软体,能利用NFC中继技术,伪造实体信用卡进行诈骗交易。这款恶意软体采用恶意软体即服务(MaaS)模式,具备低侦测率与即时资料传输能力,已在多起案例中被用于未经授权的POS消费与ATM提款。
根据研究人员的分析,SuperCard X有两个主要元件,其一是部署在受害者装置上的Reader,以及安装在攻击者端的Tapper。Reader应用程式会在用户授权NFC权限后,于背景中拦截卡片感应时传输的资料,并透过HTTP协定与C2伺服器进行通讯,将资料即时转发至Tapper端。攻击者可借由Tapper应用模拟实体卡片,对POS或ATM进行交易操作,绕过实体卡验证流程。
此中继攻击的技术核心,与NFCGate开源专案有高度相似之处。研究团队发现,SuperCard X与2024年ESET所揭露,曾于捷克出现的NGate恶意软体,在程式码与功能模组上重叠,推测SuperCard X可能沿用开源工具或前代恶意软体进行包装,并导入商业化平台运营逻辑,使其具备模组化、帐号管理与区域部署的弹性。
4月23日晚间资讯服务业者倍力资讯发布资安重讯,表示他们的资讯系统遭到网路攻击,事发当下立即启动资安应变机制,清查受影响的系统。对于这起事故可能带来的影响,该公司表示,他们正在清查,但目前对公司营运无重大影响。
◆◆今年3月,资安业者Eclypsium揭露American Megatrends(AMI)基板管理控制器(BMC)系统MegaRAC重大漏洞CVE-2024-54085,这项漏洞相当危险,CVSS风险评为10分(满分10分),本周有设备制造商发布修补程式。
4月23日华硕发布资安公告,指出他们为旗下4款主机板发布韧体,修补CVE-2024-54085,这些主机板的型号是:Pro WS W790E-SAGE SE、Pro WS W680M-ACE SE、Pro WS WRX90E-SAGE SE、Pro WS WRX80E-SAGE SE WIFI。
对于这项弱点带来的影响,攻击者能借由Redfish远端管理介面或是BMC介面,于本机或远端触发漏洞,一旦成功利用漏洞,攻击者就有机会远端控制伺服器,并远端部署恶意软体、勒索软体、窜改韧体,并造成主机板BMC或UEFI元件损坏,甚至让伺服器硬体受损,或是无限循环地重开机,而且受害者无法阻止。