一般而言,勒索软件的攻击目标多半是Windows电脑,到了前几年,陆续有黑客组织针对VMware虚拟化平台ESXi开发Linux版勒索软件,然而最近出现的新勒索软件,更进一步做到可横跨多个平台运作,而引起研究人员的注意。
资安业者Group-IB揭露从今年6月开始出没的新兴勒索软件Cicada3301,3个月内已有30家企业组织遭受攻击。特别的是,黑客以Rust打造勒索软件,不只能在Windows、Linux电脑,以及VMware ESXi运作,罕见的是,网络存储设备(NAS)、PowerPC架构的电脑,也无法幸免于难。
此外,该勒索软件还能终止虚拟化平台的运作,不仅能用于前述的VMware ESXi,还能对微软Hyper-V出手,将虚拟机(VM)关机。
多款热门行动程序直接将AWS与Azure帐密数据写入代码
资安业者赛门铁克警告,有多个热门的Android及iOS行动程序直接在程序中写入未加密的AWS或Azure凭证,将允许黑客破坏应用程序的后端基础设施、窃取用户数据,或是中断服务。
根据调查,有6款程序直接于代码库中嵌入了未加密的AWS凭证,包括Google Play上的拼贴程序The Pic Stitch: Collage Maker,下载次数超过500万;其他3款则是位于App Store上,包括连锁甜点店的官方程序Crumbl,下载次数超过390万;填写问卷赚现金的调查应用程序Eureka: Earn money for surveys,有超过40万次的下载;超过35万下载量的视频编辑程序Videoshop - Video Editor Videoshop;超过24万次下载的纸牌游戏Solitaire Clash: Win Real Cash;以及超过23.5万次下载量的填问卷赚现金的调查程序Zap Surveys - Earn Easy Money。
另有6款程序嵌入的是微软Azure凭证,包括Google Play上的叫车程序Meru Cabs,下载超过500万次;一个针对印度市场的黄页程序Sulekha Business,下载超过50万次;以及可以用来缓解耳鸣的ReSound Tinnitus Relief;下载超过50万次;超过10万次下载的看病程序Saludsa;下载超过10万次的车辆检查程序Chola Ms Break In,以及另一个用来缓解耳鸣的Beltone Tinnitus Calmer,亦有逾10万次下载。
其他攻击与威胁
◆勒索软件NotLockBit锁定macOS电脑而来
◆有人冒用LockBit名号发动勒索软件攻击,将窃得数据外传AWS S3存储桶
【漏洞与修补】
Fortinet网络设备管理平台API漏洞出现零时差攻击
10月23日资安业者Fortinet发布资安公告,指出旗下的网络设备管理平台FortiManager存在重大漏洞CVE-2024-47575,本地建置及云端版本皆受到影响,而且,他们已掌握用于实际攻击行动的情况,呼吁用户尽速套用相关更新。
这项漏洞存在于名为fgfmd的系统组件,起因是重要功能缺乏身分验证,导致攻击者有机会在未经身分验证的情况下,借由发送伪造请求,远程运行任意代码或命令,CVSS风险评分达到9.8。该漏洞影响本地建置6.2.0至7.6.0版、云端版6.4至7.4.4版的FortiManager,该公司推出新版程序修补。
附带一提的是,他们也提及,部分网络分析设备FortiAnalyzer提供的相关功能模块(FortiManager on FortiAnalyzer),也同样存在这项弱点而曝险。
三星修补已遭滥用的Exynos行动设备处理器漏洞
10月7日三星发布固件更新,修补出现在三星手机与穿戴设备搭配的Exynos处理器的高风险漏洞CVE-2024-44068,此漏洞涉及内存释放后再行利用(Use After Free),攻击者有机会借此提升权限,搭载Exynos 9820、9825、980、990、850、W920等处理器的设备受到影响,CVSS风险评为8.1分。
本漏洞是由Google威胁分析小组Clement Lecigene,以及设备与服务安全研究小组研究人员Xingyu Jin于7月发现,并向三星通报已遭到利用的情况。他们发现攻击者将其用来进行提升权限,并确认相关攻击链能在Galaxy S10手机发动。
苹果修补macOS的HM Surf漏洞,目前已有尝试利用的迹象
今年9月苹果发布电脑操作系统大改版macOS Sequoia 15,当中修补中度风险漏洞CVE-2024-44133,这项漏洞影响由行动设备管理平台(MDM)控管的设备,应用程序有可能借由漏洞绕过特定的隐私权组态,CVSS风险评为5.5分,通报此事的微软近日公布相关细节,并指出他们侦测到疑似漏洞利用的情况。
微软威胁情报中心指出,这项漏洞有机会让攻击者绕过macOS的Transparency, Consent, and Control(TCC)保护机制,进行在未经授权的情况下,存取受到保护的用户数据。研究人员将这项漏洞称为HM Surf,并指出该漏洞涉及移除Safari浏览器程序文件夹的TCC防护,以及更动特定文件夹的组态文件,使得攻击者有机会存取用户数据,包含浏览过的网页、设备的视讯镜头、麦克风、地理位置。
其他漏洞与修补
◆针对微软6月修补的一系列内核层级漏洞,资安业者Devcore警告可被用来提升权限
◆微软7月修补的远程注册表漏洞WinReg,若不处理攻击者可发动NTLM中继攻击
【资安产业动态】
Sophos宣布以8.59亿美元买下资安厂商Secureworks
英国杀毒厂商Sophos于10月21日宣布,以8.59亿美元现金收购美国资安业者Secureworks。Secureworks为网络安全服务供应商,提供安全监控、威胁侦测及SoC服务,该公司于2011年被Dell并购,2016年Dell将之分拆上市,并成为这家资安公司的最大股东。今年8月媒体报导,Dell有意出售Secureworks,直到本周才确定由Sophos接手。
Sophos表示,Secureworks的Taegis平台和Sophos代管服务与安全产品可相辅相成,提供进阶延伸侦测回应(XDR)及代管侦测回应(MDR)解决方案。他们计划集成二家公司产品,使Sophos添加身分威胁侦测与回应(identity threat detection and response,ITDR)、次世代安全信息与事件管理(SIEM)、操作科技(OT)及进阶弱点风险排序等,提供满足大、中、小型企业的产品。
近期资安日报
【10月23日】中国黑客组织IcePeony对亚洲国家网页服务器发动SQL注入攻击
【10月22日】资安业者ESET以色列合作伙伴惊传遭骇,黑客冒名从事网钓攻击
【10月21日】Internet Archive再传遭骇



2024-10-24
