11月12日资安业者BlackBerry指出,他们发现使用iOS间谍软件LightSpy的攻击者身分,就是恶名昭彰的中国黑客组织APT41,并指出这些黑客也锁定政治人物及记者的电脑,打造Windows恶意程序框架DeepData Framework,事隔数日,有其他研究人员公布新的调查结果。
资安业者Volexity指出,他们在今年7月,于运行Fortinet的VPN用户端的Windows电脑里,察觉零时差漏洞(目前尚未登记CVE编号),此为可导致帐密泄漏的弱点,攻击者可借由用户端FortiClient的处理进程,从内存内窃取帐密数据。
针对恶意程序的来历,研究人员认为开发者是中国国家级黑客组织BrazenBamboo,这组人马与LightSpy、DeepData、DeepPost恶意软件家族有所联系。他们也揭露黑客设计的部分攻击流程,包含如何利用FortiClient漏洞,以及得逞后通过DeepPost外传数据的手段。
已终止支持的GeoVision视讯监控设备存在重大漏洞,传出被用于攻击行动
11月15日台湾电脑网络危机处理暨协调中心(TWCERT/CC)发布资安公告,指出奇偶科技(GeoVision)旗下有多款已停止维护设备存在操作系统层级的命令注入漏洞CVE-2024-11120,而且,他们已经掌握该漏洞已遭到利用的迹象。
对于这项漏洞带来的影响,TWCERT/CC表示涵盖视讯主机GV-VS11、GV-VS12,车牌辨识系统GV-DSP LPR V3,以及第2、第3代的GVLX 4移动式摄影机。攻击者一旦利用这项漏洞,就有机会在未经身分验证的情况下,远程注入系统指令,并于设备上运行,CVSS风险评为9.8分。由于这些设备奇偶已终止支持,TWCERT/CC建议用户应汰换设备因应。
针对已经出现的漏洞利用情况,通报此事的Shadowserver基金会表示,他们看到该零时差漏洞有僵尸网络广泛利用,锁定该厂牌已终止支持(EOL)的设备而来。究竟有多少设备受害,研究人员并未进一步说明。
其他攻击与威胁
◆中国黑客SilkSpecter以黑色星期五为诱饵,发动网钓攻击
◆中国黑客入侵美国多家电信业者,T-Mobile传出也受害
◆恶意程序Melofee锁定RHEL操作系统而来
【漏洞与修补】
PostgreSQL发布安全性更新,修补高风险任意代码运行漏洞
11月14日关系数据库软件平台PostgreSQL开发团队发布17.1、16.5、15.9、14.14、13.17,以及12.21版一系列更新,本次修补4项资安漏洞,以及35项程序臭虫。
其中,最值得留意的是被列为高风险层级的CVE-2024-10979,此为PL与Perl环境变量变更造成的弱点,使得攻击者有机会运行任意代码,CVSS风险达到8.8(满分10分)。
这项漏洞发生的原因,在于PL与Perl环境变量出现不正确控制的现象,导致不具特权的数据库用户,有机会改变敏感处理进程的环境变量(如PATH)。开发团队进一步指出,即使攻击者并未具备数据库操作系统的用户身分,还是有可能借此运行任意代码。
【资安产业动态】
Python供应链信任措施升级,PyPI导入数位见证机制
Python软件生态系近期迎来重要功能,PyPI正式激活数位见证(Digital Attestations),让套件维护者可以在发布时,加入经过身分验证的数位签章,进一步强化软件供应链安全性。此项新措施将可提高套件的可信度并强化整体安全性。根据官方数据,目前已经有超过2万笔数位见证上传至PyPI,而这样大量采用的趋势,也显示出业界对软件安全的高度需求。
PyPI推出两个新工具供用户方便验证文件的数位见证信息,用户可以通过新设计的Integrity API程序化存取数位见证,或直接在PyPI网站的新界面,视图每个文件的详细信息,包含所有相关数位见证。这些工具提供更高的透明度,让开发者和用户能够即时查证所使用套件的安全性。
符合条件的项目将能够自动生成数位见证,不需要额外配置即可激活。使用GitHub Actions发布并依循可信发布原则,且采用pypa/gh-action-pypi-publish发布的套件,已经自动激活数位见证。之后PyPI计划逐步推展至其他可信发布环境,让更多发布环境均可自动生成见证,扩大数位见证的覆盖范围。
其他资安产业动态
◆台湾游戏业者智冠导入FIDO身分验证机制,上线3个月使用量突破百万人次
近期资安日报
【11月15日】中国黑客APT41打造恶意软件框架,锁定政治人物与记者的电脑而来
【11月14日】NTLM散列泄露欺骗漏洞5个月前被用于攻击乌克兰企业组织
【11月13日】微软本月例行更新揭露4项零时差漏洞



2024-11-18
