去年9月资安业者趋势科技、Acronis揭露锁定台湾无人机制造商的中国骇客攻击行动,其共通点就是受害组织采用特定厂牌的ERP系统,这种巧合让研究人员初步怀疑是供应链攻击,如今这样的推测得到证实。
趋势科技发现,这些骇客在2023年从事另一波攻击行动Venom,主要的目标就是软体服务供应商。由于骇客几乎都使用开源工具作案,而难以察觉其踪迹,研究人员与ERP业者合作,才让这起事故公诸于世。
【攻击与威胁】
去年9月,资安业者趋势科技、Acronis揭露锁定台湾无人机制造商的中国骇客攻击行动TIDrone、Operation WordDrone,后续12月资安业者AhnLab指出这些骇客也对韩国发动攻击,而这些攻击的共通点,就是受害组织采用特定厂牌的ERP系统,研究人员认为骇客疑似透过供应链攻击而得逞,于受害组织散布恶意程式。而最近有研究人员公布新的调查结果,指出骇客在2023年已先发起另一波攻击活动。
趋势科技指出,从事相关攻击行动的中国骇客组织Earth Ammit,先后于2023及2024年发起两波攻击Venom、TIDrone,第二波如先前提及是针对军事产业而来,而第一波Venom的主要目标,就是软体服务供应商,这样的调查结果,恰巧符合先前推测骇客从事软体供应链攻击的假设。
针对察觉Venom资安事故的过程,起因是趋势科技察觉TIDrone的受害组织采用相同的ERP系统,于是与ERP供应商进行合作,从而找到前一波攻击的资讯。研究人员指出,Venom的攻击聚焦于上游供应商,广泛涵盖重工业、媒体、科技、软体服务、医疗照护领域,并指出这两波攻击行动,最早可追溯至2022年。此外,虽然骏客主要的目标是台湾和韩国,但他们也发现有加拿大上传恶意程式档案至VirusTotal的情况。
根据资安新闻网站Bleeping Computer报导,名为Machine1337(EnergyWeaponsUser)的用户在地下论坛声称,他握有Steam用户帐号密码等资料并兜售,这批共有8,900万笔,骇客也公布了3,000笔供买家检验。媒体分析这些资料发现,这些资料包含动态密码的明码文字简讯,及Steam用户手机号码等。
持有Steam的母公司Valve经过初步检视后发出声明,否认自家系统遭骇。该公司指出,外泄资料中的电话号码与Steam帐号下的资料不同。前者是较旧的文字简讯及时效仅15分钟的一次性验证码,后者包含电话号码、密码、支付资讯及其他资料。
此外,专门观察Steam生态系活动的社群MellowOnline1指称,导致Steam资料外泄的不是Steam系统本身,而是Steam用来发送双因素认证(2FA)验证码的通讯服务Twilio。
其他攻击与威胁
【漏洞与修补】
5月13日Adobe发布每月例行更新,针对旗下13款产品发布软体更新,修补39项资安弱点,数量较上个月54个减少。值得留意的是,这次大部分的漏洞都被评为重大层级,仅有8个列为高度及中度层级。
从修补的优先顺序来看,应用程式开发平台ColdFusion最值得留意,因为Adobe将其修补的优先顺序列为最高(第1级),这样的情况与上个月相同。此外,从漏洞的数量来看,这次ColdFusion修补的漏洞最多,有7个,但其中6个被评为重大风险,有5个CVSS风险达到9.1分,1个为8.4分,远高于其他应用程式的重大漏洞危险程度(7.8分)。
但除了上述的ColdFusion重大漏洞,存在于视讯会议系统Adobe Connect的弱点也值得留意,其中CVE-2025-43567为反射跨网站指令码(Reflected XSS)漏洞,攻击者可用来注入恶意指令码,从而在使用者存取网页的时候执行,一旦成功利用,就能挟持连线阶段(Session),从而提升权限,CVSS风险达到9.3分,是这次修补最为危险的漏洞。