Sign in

Member Benefits

Get Demands

View Business Cards

Exclusive Service

Noble Identity

AS LOW AS 1.5U /DAY

【资安周报】2024年7月29日到8月2日

Share

支付動態

2024-08-05

这一星期的资安威胁态势,以勒索软件、网钓攻击最受关注,像是今年有企业因遭受勒索软件攻击付了7,500万美元赎金,以及有网钓行动竟可发送具有通过SPF和DKIM签章验证的邮件;在漏洞消息方面,以VMware ESXi的漏洞最受瞩目,因为该漏洞在上月修补当时已是被积极利用的零时差漏洞

这一星期的资安新闻中,在资安威胁态势上,我们认为有3项消息需要特别重视,涵盖勒索软件、网钓攻击、GitHub遭滥用。

(一)黑客开出的勒索金额出现狮子大开口的情形,在Zscaler的一份最新报告指出,勒索软件集团Dark Angels今年成功勒索一家企业7,500万美元(约24亿元),区块链分析业者Chainalysis也证实此情形,并担心引起其他黑客集团仿效。

(二)有资安业者揭露一起大规模网络钓鱼攻击行动,攻击者竟然可以发送具有通过SPF和DKIM签章验证的大量邮件,调查后发现,黑客疑似利用Proofpoint的邮件防护服务漏洞EchoSpoofing。Proofpoint也提出说明,表示这起事件呈现的弱点并非他们的系统独有。

(三)关于代码存储库GitHub遭黑客滥用的情形,最近又有新的发现,有资安业者示警,发现黑客组织Stargazers Ghost专门经营大量帐号并提供存储库让黑客与犯罪集团使用,进而形成庞大的网络犯罪生态圈。

在APT威胁与资安事件方面,主要有2个重点,分别是关于APT45、APT10的攻击活动揭露,还有国内外的2起重大资安事件。我们整理如下:
●近日北韩黑客组织APT45的攻击行动被大量揭露,包括Google旗下Madiant、微软,还有美国司法部起诉APT45中一名北韩黑客成员Rim Jong Hyok,当中更是透露受害者不只美空军基地、NASA,还有台湾与美、韩的国防承包商。
●在上个月,日本JPCERT/CC揭露当地制造业、研究机构发动攻击遭受攻击,被植入后门程序NoopDoor,如今有资安业者公布该恶意程序细节并指出是中国黑客组织APT10所惯用的恶意程序。
●华经信息发布资安重讯,说明已启动相关防御机制与复原作业。
日本夏普的网络商店Cocoro Store遭入侵,逾10万人个资恐外流。

在漏洞消息方面,本星期共有7个漏洞利用状况,其中Broadcom在6月底修补VMware ESXi的漏洞CVE-2024-37085最要注意。因为通报的微软最近揭露相关细节,并指出这个漏洞在修补前就已遭多个攻击者锁定利用。换言之,该漏洞在当时就已是零时差漏洞被积极利用,但修补发布当时公告并未提及此一状况。

其他已知漏洞遭利用的情形,有2个是7月初才修补,包括: ServiceNow的漏洞(CVE-2024-4879、CVE-2024-5217),以及Twilio的Authy漏洞(CVE-2024-3989),还有1个是去年底Acronis修补的漏洞(CVE-2023-45249)。特别的是,2012年微软修补的IE漏洞(CVE-2012-4792),最近也被美国CISA列入已知漏洞利用清单。

还有一个Secure Boot绕过漏洞「PKfail」的揭露,有资安业者发现共发现22个独特但不可信的平台密钥,影响将近900款产品,包括技嘉、Supermicro、Dell等9大业者,并指出这是固件供应链在加密密钥管理实务上的严重问题。

关于0719的CrowdStrike引发大当机事件,持续有后续消息,例如,有黑客趁机利用这起事故锁定CrowdStrike用户发动攻击,佯称提供当机报告程序,但其目的是散步恶意软件;iThome持续追踪当时的发生状况原因,以及对于整个资安产业的影响,我们找到几位台湾资安专家,分享对此事故的观察,他们指出CrowdStrike的病毒特征码设计不良之余,也提及类似CrowdStrike更新出包的意外,是所有端点防护公司都可能发生的,因此,要避免类似意外发生,一定需要重复经过各种验证进程。

至于资安防御态势上,有3个重要消息不容错过,涵盖AI评估测试、同态加密技术相关工具的发布,以及cookie theft的防范。例如,美国CISA发布可用于评估AI安全及可靠性的软件测试平台的Dioptra 1.0版,以及Apple将自家发展用于保护隐私的同态加密技术,以开源Swift开源套件发布。此外,Google为了应对现在许多窃资软件具有cookie theft手段,宣布将针对Windows版Chrome浏览器,提供应用程序导向的加密(App-Bound Encryption)。

 

【7月29日】北韩黑客APT45遭美国司法部通缉,揭露受害者涵盖美国、台湾、韩国的国防承包商

近日北韩黑客组织APT45的攻击行动被大量揭露,但值得注意的是,美国司法部也公告缉拿该组织一位北韩黑客成员,当中意外揭露了有台湾国防承包商也是APT45的受害者。

由于许多媒体报导可能忽略了这一消息,但这样的状况是需要我们国防单位去进一步了解。

【7月30日】上个月公告、修补的VMware ESXi身分验证绕过漏洞,去年已有多组人马将其用于攻击行动

VMware虚拟化平台的漏洞,最近几年已是黑客频频锁定的攻击目标,这样的情况,在最近微软发布的漏洞警讯也能反映这种情况。

研究人员针对博通上个月发布的身分验证绕过漏洞CVE-2024-3708进行调查,指出这项漏洞已在去年就遭到利用,而且,Storm-0506、Storm-1175、Octo Tempest、Manatee Tempest等多个黑客组织都加入利用漏洞的行列。

【7月31日】研究人员揭露针对性的PyPI恶意套件攻击行动,意外扯出AI搜索引擎被误导的新型态社交工程危机

通过NPM、PyPI等软件套件存储库发动攻击的情况日益频繁,但通常都是针对特定套件的用户下手,通过模仿网域名称的手法,引诱开发人员上当,但如今出现了结合社交工程的攻击手法。

例如,资安业者Checkmarx近期揭露的恶意PyPI套件攻击行动,黑客的目的是窃取特定用户的Google Cloud帐密数据,但为了诱骗用户,疑似还设置专门的LinkedIn帐号,并误导知名的AI搜索引擎产生错误的结果。

【8月1日】Azure服务出现不稳定的异常情况,微软表示起因与DDoS攻击有关

本周再度传出微软多项云端服务运作异常的现象,许多用户面临不稳定,甚至是无法存取,由于一周前才发生了类似的情况,因此,这起事故发生的原因,引起许多用户的高度关注。

7月31日微软对此提出说明,起因是Azure的基础设施遭到DDoS攻击时,他们实作的防护措施竟然放大了流量而酿祸,导致重要组件运作性能大幅降低,严重影响各项云端服务的运作。

【8月2日】黑客通过网络问答平台Stack Exchange散布恶意PyPI套件,目标是Raydium区块链用户

过往黑客发动恶意NPM、PyPI套件攻击,通常会针对知名套件的用户而来,借由网域名称模仿的手法让开发人员上当。但如今,黑客改变了做法,他们利用网络问答平台,假装认真解答问题,借此散布恶意套件。

最近资安业者Checkmarx揭露的资安事故,就是这种例子。黑客在Stack Exchange针对特定问题进行回答,「顺便」提供恶意套件的下载链接,使得用户降低警觉而有可能因此上当。

Disclaimer:
Details

Please Play Responsibly:

Casino Games Disclosure: Select casinos are licensed by the Malta Gaming Authority. 18+