曾在6年前引发大规模攻击的漏洞BlueKeep(CVE-2019-0708,CVSS风险为9.8分),当时骇客引发全球各地蓝色当机画面(BSOD)灾情,如今传出一年半前又有人使用这项漏洞从事攻击行动,直到最近才被公开。
资安业者AhnLab揭露北韩骇客发起的攻击行动Larva-24005,被称做Kimsuky、APT43、Emerald Sleet、TA427、Velvet Chollima的骇客组织,透过远端桌面连线(RDP)软体的资安弱点BlueKeep渗透受害组织,得逞后部署恶意软体MySpy、RDPWrap,建立能够持续存取的管道。这些骇客也侧录受害者键盘输入的内容,来进行后续的监控。
这波攻击主要针对韩国的软体、能源、金融产业而来,骇客自2023年10月开始,对韩国及日本寄送钓鱼信来接触受害者。AhnLab根据骇客的基础设施进行分析,攻击行动很可能从2023年9月就已经进行,而且,骇客攻击的范围相当广,不光是韩国及日本,还包括了美国、中国、德国、新加坡、南非、荷兰、墨西哥、越南、比利时、英国、加拿大、泰国、波兰。
资安公司Socket揭露针对Telegram机器人开发者的供应链攻击事件,攻击者透过在NPM平台发布与热门函式库名称相近的恶意套件,诱导开发者误用,进而在Linux系统中植入具持久性存取能力的SSH后门,并将系统资讯回传至攻击者伺服器。
攻击者锁定使用node-telegram-bot-api函式库进行开发的社群,推出三个伪冒套件,名称分别为 node-telegram-utils、node-telegram-bots-api与node-telegram-util。这些恶意套件复制原函式库的说明文件与GitHub页面连结,甚至以Starjacking手法借用原专案超过19,000星数背书,在NPM页面侧栏混淆视听,让开发者在浏览与安装时难以察觉异常。
根据研究人员的分析,该后门程式码共约40行,嵌入于正常函式库的架构,具高度隐蔽性。开发者在汇入套件时,如果没有进行程式码审查或相依性检测,就可能忽略隐藏的恶意逻辑。更严重的是,单纯移除套件并不会清除被植入的SSH金钥,系统仍存在风险。
资安业者Varonis揭露新攻击手法,透过窃取cookies绕过多因素验证(MFA)而能骇入企业Microsoft 365存取档案、信件。Varonis威胁实验室研究人员设计出名为Cookie-Bite的手法,利用自制Chrome浏览器扩充程式及自动化指令窃取用户Cookies,且能重复使用来冒充合法使用者,无需密码,还能多次存取云端服务。
研究人员表示,除了Azure外,只要知道该用什么凭证,同样的手法也可用来攻击Google Cloud、AWS、GitHub、Okta等云端平台。
要防止Cookie-Bite攻击,企业管理员应监控任何异常登入,最好能设定条件式存取政策(conditional access policies,CAP)以限制特定IP和装置登入云端。此外,应限制PowerShell script,改用Python或VBScript。Chrome扩充程式管理方面,管理员最好也能执行Chrome ADMX政策,只允许事前许可的扩充程式执行。
其他攻击与威胁
◆◆
【漏洞与修补】
【资安产业动态】
备份平台的勒索软体防护能力发展,正迈向新的阶段,从前几年强调的隔离与备份复本不被恶意删改,进化到确保备份内容不受恶意软体感染。
我们在3、4年前的台湾资安大会中,便见到Dell介绍其CyberRecovery资料避风港解决方案中,为备份复本提供的自动威胁侦测与分析功能,借此确保备份复本内容的干净,从而可用于还原。
到了今年的台湾资安大会,我们见到其他参展的备份解决方案厂商,如Druva与Nakivo,也各自在其产品中结合了恶意软体扫描功能,以保证备份复本的可用性,这样的发展趋势,也让针对备份复本的侦测与扫描,俨然成为当前备份平台的必备能力。而作为这个领域领跑者的Dell,今年则提出「备份干净度」的概念,并介绍他们在备份复本侦测技术方面的新发展。