登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

【资安日报】7月26日,资安业者KnowBe4惊传雇用北韩黑客,对方利用深伪技术应征工作得逞,直到从事可疑行为才东窗事发

分享

支付動態

2024-07-26

在本周的资安事故里,资安意识教育训练业者KnowBe4不慎雇用北韩黑客的情况相当值得留意,因为这些黑客利用深伪技术骗过人资部门的审核,而该公司直到对方企图在公务电脑运行恶意程序,才察觉有异并着手进行调查

7月24日资安意识教育训练业者KnowBe4揭露他们近期遭遇的内部威胁资安事故,该公司最近为内部的IT AI团队招募软件工程师,他们发布求才消息,并在收到履历后安排面试、查核应征者的背景、验证推荐者等进程,最后决定聘雇。但该公司向这名新进人员提供Mac电脑工作站之后,奇怪的事情发生:这台电脑竟然开始被加载恶意软件。

该公司指出,人力资源(HR)团队其实相当尽力进行相关的检查,他们在不同场合安排了4次视频会议面试,并尽可能确认应征者是履历当中的本人,而且,该团队也进行身家调查,以及运行就职前的其他标准审查流程。然而,对方虽然是真实人物,但滥用遭窃的美国公民身分,并使用Deepfake手法,通过AI「强化」照片。

在该公司的EDR系统侦测到异状并向资安营运中心(SOC)发出警讯,SOC向该名新员工询问是否需要协助。在此同时,该公司也向资安业者Mandiant、美国联邦调查局(FBI)共享收集到的数据与初步的调查结果,从而确认这是来自北韩的假IT人员。

针对EDR更新引发全球大当机事故,CrowdStrike说明发生的原因在于验证软件臭虫

EDR更新引发全球大当机将近一周,7月24日资安业者CrowdStrike发布事件初步检讨报告(Preliminary Post Incident Review),进一步说明这起事故发生的原因。

该公司表示,造成当机的原因源自于快速回应内容(Rapid Response Content)文件的缺陷,他们在派送之前的验证流程并未察觉而酿祸。一旦Falcon Sensor加载这批有问题的文件,就会导致内存越界读取(Out-of-bounds Read,OBR)的情况,并引发蓝色当机(BSoD)画面。

对此,他们提出预防事件重演的修正措施,包括强化对于更新文件的多项测试,并对内容验证器加强验证检查,也加强内容解译器(Content Interpreter)对既有错误处理的能力。此外,该公司也将使用逐步部署策略连同加强监控、提高客户控管能力,以及在发行公告(Release Notes)提供更多信息给客户,防范事件快速蔓延。该公司也计划导入外部组织来验证软件代码,及其作业流程。

台湾资安长将视CrowdStrike灾后应变态度,作为是否采用的参考

资安业者CrowdStrike于7月19日因为EDR软件更新出包,造成许多微软电脑和服务器出现蓝色当机画面(BSOD)。也有匿名高科技制造业资安主管表示,勒索软件做不到的事情(企业电脑大规模当机),CrowdStrike做到了。另外也有不少Line资安群组,纷纷以CrowdStrike官网「62分钟就能让您的企业停止运作」的网络页面,反讽CrowdStrike真的做到让企业停止运作了。

盘点过台湾CrowdStrike引发的电脑当机灾情后,有许多资安长坦言,采用云端服务的趋势不可逆,对于已经是CrowdStrike的用户并发生大规模灾情,有高科技业资安主管已经考虑明年不再续约;但对于正在评估是否采购该厂牌产品的企业而言,CrowdStrike的应变方式和对客户的补偿方式等,则是他们后续评估是否采购的重要关键。

使用窃资软件Lumma Stealer、Connecio的黑客加入利用CrowdStrike更新大当机为幌子的行列

上周发生的CrowdStrike更新大当机事故,包含资安业者CrowdStrike自己的威胁情报团队在内的研究人员提出警告,黑客也会假借提供解决方案的名义,对于该厂牌EDR用户发动攻击,如今CrowdStrike再度公布两起这种类型的资安事故。

7月23日研究人员表示,他们看到恶意ZIP压缩档CrowdStrike Falcon.zip,黑客宣称是EDR系统Falcon的更新文件,其内容含有使用说明的纯文本文件,以及WinRAR自解压缩档(SFX)CrowdStrike Falcon.exe。一旦用户运行,电脑就会进行解压缩作业,调用以Python编程语言打造的窃资软件Connecio。

事隔一天,研究人员发现另一起窃资软件攻击行动,这回是恶名昭彰的Lumma Stealer(也有人称为LummaC2),他们发现网钓网域crowdstrike-office365[.]com,假冒该资安业者的名义散布恶意ZIP及RAR压缩档,内含MSI安装档,一旦运行,电脑就会加载窃资软件。

台湾及美国macOS用户遭到锁定,中国黑客Evasive Panda使用后门程序Macma从事攻击行动

过往黑客主要针对Windows电脑下手,但最近两到三年,他们将攻击范围扩及其他操作系统的情况越来越普遍,有黑客组织使用跨平台开发工具,打造出针对macOS、安卓操作系统的恶意程序。

例如,资安业者赛门铁克揭露中国黑客组织Evasive Panda(他们称为Daggerfly)开发的macOS恶意程序,就是这样的例子。他们针对最近一波的攻击行动提出警告,指出对方近期针对台湾企业组织、位于中国的美国非政府组织(NGO)使用新的作案工具从事网络间谍活动,过程中利用Apache HTTP服务器的漏洞散布恶意软件框架MgBot。

但值得留意的是,他们发现名为Macma的macOS后门程序,也是这些黑客开发、使用的武器之一。这个后门程序最早在2021年由Google威胁情报团队(TAG)揭露,并推测黑客2019年就开始使用,并滥用遭骇的香港网站发动水坑式攻击,来散布这支后门程序。

重大层级ServiceNow漏洞已被用于攻击行动,黑客恐借此窃取帐密数据

本月10日数位工作流程管理解决方案业者ServiceNow公布重大层级的输入验证漏洞CVE-2024-4879,并提供更新软件予以修补。隔日,通报此事的资安业者Assetnote公布相关细节,并指出这项漏洞相当严重,但攻击者若是串连另一个重大层级的输入验证漏洞CVE-2024-5217,以及中度风险的敏感文件读取漏洞CVE-2024-5178(编按:这两个漏洞也同样在10日被修补),就有机会存取数据库。这些细节公布后,很快就出相关攻击行动。

资安业者Resecurity指出,在Assetnote公布漏洞细节不久,他们就察觉有多个黑客组织开始尝试扫描尚未修补上述漏洞的ServiceNow平台,根据物联网搜索引擎FOFA的搜索结果,约有30万台ServiceNow主机有可能会被远程探测,其中又以美国超过29万台数量最多,印度、瑞士居次,分别有1.9万、1.5万台,英国、爱尔兰分别有5,867台、3,929台。

其他攻击与威胁

针对半导体硅晶圆厂环球晶圆6月遭骇事故,黑客组织Storm-1811声称是他们所为,要胁7月底公布窃得数据

电源管理设备供应商光宝科技察觉外网服务器遭到攻击

灿坤、灿星网部分信息系统遭受网络攻击

北韩黑客Andariel以经济利益为目标,发动勒索软件攻击

逾3千个GitHub帐号遭黑客组织Stargazer Goblin滥用,作为散布恶意软件的管道

网络捷径文件安全机制绕过漏洞遭到利用,攻击者用于散布窃资软件

工控系统恶意软件FrostyGoop今年初发动攻击,导致乌克兰暖气供应中断

 

【漏洞与修补】

Docker揭露严重度高达10分资安漏洞,问题出在插件程序AuthZ的身分验证,而且经过5年才发觉

本周Docker发布资安公告,指出部分版本的Docker引擎存在弱点,导致攻击者能在特定的情况下绕过用于授权的插件程序AuthZ,影响19.03版以上的Docker引擎,目前被登记为CVE-2024-41110列管,CVSS风险评为10分(满分10分)。

值得留意的是,这项弱点曾于2018年发现,该公司于隔年1月发布18.09.1版予以修补,但这项弱点的修补代码却并未延续到后续版本,直到今年4月才发现这样的状况,并在7月23日正式推出新版予以修补,使得这样的弱点存在长达5年半,目前是否已被黑客掌握并用于攻击行动,仍不得而知。

但为何已修补的漏洞代码发生没有延续到后来的版本情况?Docker并未进一步说明。

云端平台GCP的服务存在权限提升漏洞ConfusedFunction,未经授权的攻击者可借此存取敏感数据

7月24日资安业者Tenable揭露影响Google Cloud Platform(GCP)的权限提升漏洞ConfusedFunction,这项弱点发生在名为Cloud Functions的无服务器运算服务,以及称做Cloud Build的CI/CD管道服务。一旦遭到利用,攻击者有机会以未经授权的状态存取其他服务,或是敏感数据。他们通报此事,GCP已于部分的Cloud Build帐号着手采取缓解措施。

研究人员指出,ConfusedFunction这样的弱点,突显云端服务的软件架构极为复杂,导致服务之间的通信可能衍生问题的情形。

 

【资安产业动态】

史上Google最大并购案告吹!资安业者Wiz传出拒绝并购协议,将寻求IPO

外传Google欲以230亿美元收购云端资安业者Wiz,果真确有其事,只不过根据CNBC报导,Wiz已经拒绝这项提议,将寻求在股票市场挂牌上市(IPO)。

CNBC取得Wiz首席执行官Assaf Rappaport对员工的公开信,得知该公司拒绝并购。在信中,Assaf Rappaport对员工说,拒绝对这么大金额的收购提议不是容易的事,并表明公司接下来的目标是IPO,并且产生每年10亿美元的经常性收入。Wiz原本就计划通过小型并购成长,最终IPO。

报导引述另一名消息人士的说法,Wiz是考量反托斯调查、投资人的顾虑后,决定拒绝此并购协议。

其他资安防御措施

民安10号、万安47号演习也涵盖资安演练,新北市针对交通控制系统遭骇进行应变处置

 

近期资安日报

【7月23日】台湾企业因CrowdStrike产品更新造成电脑当机的情况,金融、资服、传统制造、高科技制造业都传出灾情

【7月22日】资安业者CrowdStrike更新事故冲击规模初步统计出炉,至少影响850万台电脑、67万企业用户

【7月19日】CrowdStrike旗下EDR系统更新出错酿祸,全球出现Windows电脑大量当机,影响机场、医院等设施运作

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu