2024-09-10
资安业者趋势科技揭露专门锁定军事产业的中国黑客组织TIDrone,并指出这些黑客主要目标是台湾军事及卫星工业,尤其是对无人机的制造商感到高度兴趣。
这波攻击行动为何能够现形?主要是趋势科技年初开始不断收到台湾资安事故通报,经过比对及调查,发现黑客锁定军事相关产业链而来,但根据恶意软件分析平台VirusTotal的数据,台湾并非这些黑客唯一的攻击目标,呼吁其他国家也要提高警觉。
值得一提的是,这些受害组织都采用相同的ERP系统,因此他们认为,攻击者很可能透露供应链攻击,来达到散布恶意软件的目的。
北韩黑客想从加密货币业者窃取资产,锁定求职者企图散布两种恶意软件
针对Web3及加密货币环境而来的资安事故频传,最近5年已有数百起大规模挟持加密货币的事故,导致逾120亿美元资产遭窃,例如,发生在2022年的去中心化金融(De-Fi)系统Ronin Network事故引起全球关注,因为攻击者一口气偷走逾6亿美元加密货币而成为当时规模最大的事故,美国直指是北韩黑客Lazarus所为。如今有研究人员提出警告,北韩黑客偏好针对特定类型的求职者下手,目的是为了得到目标组织的初始存取管道,企图从这些组织盗取大笔加密货币。
资安业者Mandiant指出,他们近期看到北韩黑客假借征才的名义,锁定求职的开发人员、财务人员下手,从而部署恶意程序,得逞后就会试图通过电脑的密码管理员窃取帐密数据,并针对代码存储库及特定文件进行侦察,然后在受害电脑植入恶意软件。
GeoServer重大漏洞已被用于攻击行动,黑客散布后门及僵尸网络病毒
今年6月下旬地理位置信息服务器GeoServer发布2.25.2版,当中修补重大层级的漏洞CVE-2024-36401,此漏洞出现在GeoTools组件,一旦攻击者成功触发,就有机会远程运行任意代码,CVSS风险评为9.8分,到了7月中旬,美国网络安全暨基础设施安全局(CISA)提出警告,已出现实际攻击行动,并将其列入已遭利用的漏洞名册(KEV),9月5日通报此事的研究人员公布相关细节。
资安业者Fortinet指出,他们已经看到黑客将其用于散布恶意程序GoReverse、后门程序SideWalk的情况。
值得一提的是,攻击者也企图运用这类服务器进行挖矿,研究人员看到名为JenX的Mirai变种,以及僵尸网络病毒Conti,此外,他们另外发现4起部署挖矿软件的攻击行动。
SonicWall针对防火墙重大漏洞提出警告,已出现疑似遭到利用的迹象
8月下旬SonicWall针对旗下防火墙操作系统SoincOS发布资安公告,指出部分防火墙设备存在重大层级漏洞CVE-2024-40766,攻击者借由发送特制的调用可触发漏洞,而有机会在未经授权的情下存取部分资源,甚至在特定情境下还能导致防火墙当机,CVSS风险评为9.3分,如今这项漏洞传出已有实际攻击行动出现。
上周末该公司再度更新公告内容,指出这项漏洞疑似被用于实际攻击事故的情况,呼吁IT人员要尽速套用修补程序因应。不过,究竟黑客如何利用漏洞,以及受害范围,该公司并未透露其他细节。
GitHub Actions可被用于冒充网域名称攻击,开发人员若未仔细检查,恐散布恶意代码
为了上架NPM、PyPI、RubyGems等各种恶意套件引诱开发人员上当,黑客往往会使用冒充网域名称手法(Typosquatting),使用极为相似的名称假冒知名套件,但如今有研究人员发现,这样的手法也能用于攻击工作流程自动化平台。
资安业者Orca Security发现能在GitHub Actions发动相关攻击的方式,并打造概念性验证环境(PoC),他们创建14个组织,而这些组织或存储库的名称,他们刻意设置与开发者常见的字符串拼写雷同,例如:circelci、actons、docker-action、google-github-actons。
研究人员在设置为actons的组织得到最多结果,有4个公开存储库被开发人员参照,而在2个月内,有12个公开存储库被引用。这样的数字看起来不多,但这并不包含自用存储库引用的情况,因此实际受害范围将会更为广泛。
其他漏洞与修补
◆哥伦比亚保险业者遭到锁定,黑客组织APT-C-36冒充税务机关从事网钓攻击
◆车辆租赁业者Avis遭到入侵,部分客户信息外流
◆经营暗网市集WWH Club的俄罗斯和哈萨克斯坦人遭到起诉
◆【CrowdStrike更新酿灾】0719全球IT大当机回顾
其他资安产业动态
◆FreeBSD得到近70万欧元挹注,将用于强化安全功能、减少技术债
近期资安日报
【9月6日】北韩黑客使用冒牌视频会议软件感染求职者电脑
【9月4日】黑客组织Head Mare锁定俄罗斯企业组织发动攻击
