澳洲网络安全中心(ACSC)与美国、英国、加拿大、新西兰、德国、韩国、日本的执法机构联手,针对中国资助的黑客组织APT40(别称Kryptonite Panda、Gingham Typhoon、Bronze Mohawk)的攻击行动提出警告,指出这些黑客为中国国家安全部(MSS)效力,多次针对澳洲政府机关及企业组织下手,呼吁盟国要提高警觉。
APT40具有快速解析研究人员公布的概念性验证(PoC)代码的能力,从而将漏洞用于攻击关键基础设施的网络环境,也会定期对于偏好下手的目标进行侦察,寻找网络环境当中易受攻击、不再维护,或是生命周期已经结束的设备,伺机渗透。
至于这些黑客隐匿攻击行动的媒介,ACSC提及APT40过往较常入侵澳洲网站并将其充当C2服务器,如今滥用小型办公室及家用的网络设备架设基础设施,因为这类设备有不少并未定期修补,或是生命周期已经结束而不再受到维护,一旦拿下之后,就有可能将它们用来发动攻击,将相关流量混入合法流量,而能对防守方隐匿攻击行踪。ACSC也公布两起事故的发生过程,供外界了解该组织的作案手法。
黑客公布近百亿组密码外泄数据集RockYou2024,疑为3年前流出数据持续维护、更新而成
根据资安新闻网站Cybernews的报导,他们的资安研究员于黑客论坛发现有人于7月4日公布一批帐密数据「RockYou2024」,这个文件的名称是rockyou2024.txt,内含多达9,948,575,739笔明文密码,公布上述纯文本文件的人士,ID名称是ObamaCare。
值得留意的是,研究人员认为,这批数据并非突然出现,源自3年前他们发现的RockYou2021外泄数据库延伸,当时约有84亿明文密码数据曝光。换言之,维护这批数据的黑客,3年后的现在,总共添加15亿组数据,单是这些新内容,大约占RockYou2024的15%。
攻击Ticketmaster的黑客继外泄该平台用户数据、行动门票条码后,又公布实体门票文件
美国最大售票平台Ticketmaster今年5月遭到黑客入侵,黑客Shiny Hunters先是在论坛上兜售该平台5.6亿名用户的数据,索价50万美元,继之外泄约17万张的Taylor Swift演唱会门票条码,将价码提高到200万美元,在Ticketmaster宣称该门票条码是变动的,几秒钟就会替换之后,近日黑客再公布逾3.8万张、由消费者在家自行打印的各种活动的门票条码。
根据资安新闻网站BleepingComputer的报导,Shiny Hunters宣称Ticketmaster有一个Ticketfast实体门票服务,允许用户于家中印出活动门票,这些门票上的条码无法轮替,同时公布了一个内含38,745张Ticketfast门票条码的文件链接。
台美联手合作,查获通过暗网市集Genesis Market购买台湾民众个资的嫌犯
7月8日法务部调查局宣布,他们破获有人企图通过创世纪市集(Genesis Market)取得国人个资的情况。调查局在去年6月接获美国联邦调查局(FBI)情资,有网络罪犯在该暗网市集贩售台湾民众个资的情况,调查局资安工作站根据相关线索展开调查,掌握林姓、虞姓、陈姓3名男子涉及购买多种台湾民众个资,这些个资的范围,涵盖身分证字号、手机号码、社群网站存取权限,以及电商网站虾皮、露天的帐密数据。
资安工作站掌握主嫌身分后,随即报请台湾台北地方检察署指挥,分别于今年4月18日及7月2日,会同新北市调查处、台北市调查处、花莲县调查站运行搜索约谈,查扣案关主机及电磁纪录等证物,并约谈3人到案。
经送检察官复讯后,认定林男所涉犯罪情节重大,有灭证及串证之虞,已向法院声请羁押禁见获准,另谕知陈男20万元交保,虞男2万元交保,全案朝向违反个人数据保护法及刑法妨害电脑使用等罪侦办。
其他攻击与威胁
◆文档转换程序库Ghostscript存在RCE漏洞,传出已被用于攻击行动
◆CI/CD平台Jenkins的脚本主控台遭到锁定,黑客将其用于挖矿
【漏洞与修补】
微软7月修补143个安全漏洞,包括4个零时差漏洞
7月9日微软发布本月例行更新(Patch Tuesday),总共公布了139个新的CVE编号,并揭露4个与第三方组件有关的弱点,使得本次修补的漏洞数量达到143个,这样的规模仅次于4月的149个。
这些漏洞的类型,有26个是权限提升漏洞、24个安全功能绕过漏洞、59个远程代码运行(RCE)漏洞、9个信息泄露漏洞、17个阻断服务(DoS)漏洞,以及7个可用于欺骗的漏洞。
值得留意的是,上述漏洞当中,有4个零时差漏洞,已有2个被用于攻击行动,另外2个则是在微软修补之前就被公开。
其他漏洞与修补
◆Adobe针对Premiere、InDesign、Bridge修补重大层级漏洞
◆SAP修补生命周期成本会计工具PDCE、Commerce高风险漏洞
【资安产业动态】
Google宣布暗网监控功能将提供所有用户使用
Google近日宣布,原本隶属于Google One付费服务的暗网监控功能「Dark web report」,将在今年7月底开放所有用户使用,它将被整合到允许用户移除搜索结果个资的Results about you中。
Dark web report主要是用来协助用户监控于暗网中流传的个资,诸如姓名、地址、电话号码与电子邮件帐户,只要激活了该功能,每当Google于暗网中发现用户个资时,便会通知用户。该功能原本只提供给付费的Google One订阅用户,但Google现在决定让所有具备Google帐户的用户都能取用,现阶段Dark web report支持包括台湾在内的46个国家。
近期资安日报
【7月9日】留意BEC诈骗攻击,恶意软件沙箱服务业者遭网钓攻击后,查出邮件备份程序PerfectData恐泄漏电子邮件
【7月8日】勒索软件Eldorado同时锁定Windows与Linux电脑、虚拟化平台VMware ESXi发动攻击



2024-07-11
