一年前欧洲刑警组织Europol协调十多个国家的执法机构,展开终局行动Operation Endgame,破坏5款被用于散布恶意程式的僵尸网路病毒,现在欧洲刑警组织采取第二波行动,受到外界的高度关注。
这次的Operation Endgame 2.0针对7款僵尸网路而来,其中特别受到注意的是,Qakbot曾在2023年就被围勦,但骇客改变手法持续犯案,这次美国起诉了其首脑,并没收2,400万美元不法所得。
【漏洞与修补】
研究人员指出Samlify于2.10.0版本之前,在XML签章验证机制上存在签章包装(Signature Wrapping)攻击风险。攻击者可利用合法签署的SAML XML文件,在原有内容插入恶意SAML断言(Assertion),并借由程式库解析逻辑缺陷,规避加密验证流程。伺服器端就可能误接受未经签章验证的身分资讯,导致攻击者可伪装成任意用户,包含系统管理员,登入目标应用或服务。
Samlify长期作为Node.js生态系内简化SAML 2.0实作的重要程式库,借由高阶API设计,供开发者简单串接身分辨识与存取管理流程,被广泛用于企业、云端供应商及开发工具。根据NPM统计,Samlify每周下载量超过20万次,且有超过60个开源专案直接相依。
其他漏洞与修补
◆◆
◆去年5月欧洲刑警组织Europol联手美国、英国等十多个国家的执法机构进行执法行动Operation Endgame,对于多款僵尸网路Bumblebee、IcedID、Pikabot、Smokeloader、Trickbot查封伺服器及相关网域,重创骇客利用这些僵尸网路病毒散布各式恶意软体的现象,如今这些执法单位采取第二波行动,并公布成果。
5月23日欧洲刑警组织Europol宣布,他们与欧洲司法组织Eurojust,以及加拿大、丹麦、法国、德国、荷兰、英国、美国的执法机关联手,从事执法行动Operation Endgame 2.0,自5月19日至22日,这些执法单位一共查封约300台伺服器、封锁650个网域,并对20名嫌犯发布全球通辑令,查获350万欧元加密货币不法所得,使得累计查获赃款达到了2,120万欧元。
而这次他们主要的执法目标,聚焦在骇客用来取得初始入侵管道,并导致受害组织被植入勒索软体的恶意程式,包含Bumblebee、DanaBot、Hijackloader、Lactrodectus、Qakbot(QBot)、Trickbot,以及Warmcookie。另一方面,美国司法部(DOJ)也根据上述执法行动,起诉从事Qakbot、DanaBot相关的网路罪犯。
在今年台湾资安大会上,生成式AI与资安的议题无疑是最大焦点,例如,来自Google Cloud国际资安合作的专家Christopher B. Porter,他剖析了攻击者运用生成式AI技术来助长其恶意行径的态势,然而,当焦点转向更具组织性与战略性的国家级进阶持续性威胁(APT)行动者时,这些国家级APT骇客族群又是怎么做?同样是资安防御者需要深入探讨的议题。
针对这样的议题,Christopher有更深入的说明,他们多年来持续追踪许多国家级骇客组织的动向,如今已观察到,这些国家级APT攻击者也试图使用Google的生成式AI服务Gemini,作为提升犯罪效率的一项工具,来帮助他们进行网路攻击。
除了积极巩固防线,尽可能不要犯错,以免增加入侵者的可乘之机,许多人可能也会想到能否反击?使对方更不敢轻易越雷池一步!但也担心因此激怒对方而发起更剧烈、更难以招架的报复行动,而得不偿失。过往我们知道的资安反制手段是欺敌(Deception),设下陷阱进行诱捕,进而获得主动防御能力,自由资安顾问PD Lee在2025台湾资安大会也针对这项议题进行探讨,他说明一种更进阶、危险性也更高的作法,称之为「逆袭中继站」,PD Lee也透过实务操作的经验,为大家提供不同的防守思路。
【资安产业动态】
微软5月21日Signal基金会宣布,他们对于在Windows 11平台执行的电脑版Signal,预设启用萤幕安全功能,阻挡微软Recall自动截图聊天内容,提升用户隐私保护。这项调整的主要原因,在于Recall于今年5月随Copilot+ PC重新预览上线后,各界对其存取敏感资讯与资讯安全的疑虑,仍旧存在。
Signal表示,根据现行微软的政策,应用程式无法主动阻挡Recall撷取画面,仅能采用DRM等既有技术因应,呼吁微软应提供更多开发者工具,以维护用户隐私。