【資安週報】2023年8月21日到8月25日
在這一週有多個漏洞利用消息,其中併入Ivanti的MobileIron產品線與WinRAR的開發商Rarlab各修補了一項零時差漏洞。
●Ivanti在8月21日修補行動裝置安全閘道Sentry的CVE-2023-38035漏洞,並表示已有部分用戶遭受相關漏洞攻擊。
●RARLab在7月20日修補WinRAR的CVE-2023-38831漏洞,不過近期有資安業者研究發現,今年4月已出現針對該漏洞的攻擊。
●由Ignite Realtime社群開發的開源即時通訊系統Openfire,今年5月修補了主控臺路徑穿越漏洞CVE-2023-32315,最近出現有關攻擊手法。
●Veeam今年3月修補Backup & Replication(VBR)備份解決方案的漏洞CVE-2023-27532,近日發現勒索軟體Cuba針對未修補的系統進行攻擊。
還有兩起已知漏洞後續出現遭成功利用狀況,本週收錄的資安日報新聞尚未提及,也必須要重視:
●
●
其他值得注意的漏洞消息,包括開源網路管理軟體OpenNMS於8月9日修補一重大漏洞,以及Dell Compellent的vCenter整合工具DSITV有一資訊洩露漏洞的揭露,但由於產品生命週期已終止,廠商不再修補,可能成為駭客鎖定目標。
在重要資安消息方面,有三起事件值得我們關切,包括:
●惡意軟體HiatusRAT攻擊的揭露,因為有資安業者指出該木馬程式原先3月駭客鎖定歐洲及拉丁美洲,但在今年6到8月間已將目標轉向臺灣及美國,並觀察到有臺灣半導體、化學製造廠與縣市政府遭鎖定情況。
●關於勒索軟體Akira的威脅態勢上,近日有新的研究調查結果,指出該組織很有可能鎖定思科VPN軟體的漏洞下手,繞過身分驗證流程以入侵目標系統。
●AT&T的資安研究團隊揭露名為ProxyNation的惡意活動,攻擊者主要鎖定Windows電腦並部署代理伺服器應用程式(Proxyware)。
其他值得關注的消息與事件,在國際間,我們看到丹麥主機代管業者CloudNordic、Azero Cloud遭遇勒索軟體攻擊,災情非常嚴重,伺服器磁碟資料與主要次要備份系統全遭加密,這導致大多數的用戶資料無法復原,還有大型語言學習網站DuoLingo傳資料外洩,中國駭客鎖定東南亞賭博產業攻擊行動的揭露。
關於攻擊手法上,在最近的資安新聞中我們看到幾個惡意活動也不容輕忽,例如,建置殭屍網路Smoke Loader的駭客,正散布名為Whiffy Recon的Wi-Fi掃描惡意程式,其特性是會向C2回傳受害電腦的無線網路與地理位置資訊;有攻擊者假冒網管工具Advanced IP Scanner名義,透過SEO Poisoning手法來散布惡意程式DarkGate;又有新一波針對Mac電腦攻擊的活動,是假借OfficeNote等生產力應用程式名義並帶有開發人員簽章,用以散布惡意軟體XLoader。
至於防禦焦點上,近日我國鴻海研究院聯手美國麻省理工學院(MIT)多媒體實驗室推出黑客松的競賽,相當難得,當中推出了更容易入門的輕型無人車車用平臺EVπ,盼推動電動車創新服務將Security by Design視為基礎。此外,美國CISA公布JCDC遠端監控與管理(RMM)的網路防禦計畫,強調將提升RMM生態系的安全性與韌性。
駭客鎖定安卓裝置散布惡意軟體的情況,近期可說是相當頻繁, 但最近出現較為罕見的攻擊手法引起研究人員關注。因為,這種手法鎖定研究人員而來,防止他們利用各式的工具拆解惡意APK檔案。有資安業者進一步調查,發現市面上至少有3千個惡意App採用此類方法來打包安裝程式,從而影響各式靜態分析工具的運作。
屏東借錢。感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器。大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車。三洋服務站全台據點。
值得一提的是,上述手段並非新的攻擊手法,有研究人員指出,最早曾在2014年就出現類似的攻擊行動。
木馬程式HiatusRAT今年3月被揭露,當時研究人員發現駭客主要針對歐洲及拉丁美洲而來,但事隔3個月,現在這些駭客轉移目標,竟然針對臺灣的製造業、縣市政府,以及美國軍事採購系統而來,由於目標出現如此大幅度的轉變,使得研究人員推測這群攻擊者很可能與中國政府有關。
另一起與地緣政治有關的攻擊行動,則是針對美韓進行的大規模軍事演習Ulchi Freedom Shield而來,傳出北韓駭客Kimsuky對參與演習的承包商發送釣魚郵件。
有駭客使用了較為罕見的攻擊模式,使得研究人員難以找出其確切的作案手法和過程。例如,勒索軟體Akira的攻擊行動,最早是資安業者Sophos於5月發現跡象,直到最近有了新的進展。惡意軟體分析員Aura、資安業者SentinelOne指出,駭客鎖定特定廠牌的VPN系統入侵受害組織,但究竟他們如何成功通過身分驗證?兩組研究人員有不同的推測。
另一方面,資安業者SentinelOne指出這些駭客還會利用開源的遠端桌面連線工具RustDesk存取受害組織網路,而這是他們首度看到有人濫用此工具來進行網路攻擊。
駭客透過網頁抓取手法收集網站使用者的資料,屢見不鮮,然而面對這類資料外洩行為,站方不易察覺,通常要等到駭客兜售之後,網站服務業者才意識到商譽嚴重受損,而開始著手進行調查,但為時已晚。例如,有人在駭客論壇BreachedForums宣稱取得260萬筆語言學習網站DuoLingo的用戶資料,該公司著手調查此事,並強調他們沒有遭到入侵。
但值得留意的是,有資安新聞網站指出,駭客很可能是利用該公司曝露超過半年的API漏洞,取得相關資料,後續情況有待進一步觀察。
北韓駭客Lazarus近期的動作頻頻,不時傳出對於臨近的韓國,以及位於地球另一端的歐洲國家發動攻擊,而最近研究人員揭露的新一波攻擊行動,是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是,駭客在漏洞公布的數天後,就將其用於攻擊行動,而讓尚未修補的企業組織措手不及。
另一方面,研究人員發現駭客也改良了作案工具,使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。
https://www.ithome.com.tw/news/158454