烏克蘭戰爭自2月底開戰至今,俄羅斯未如該國總統普丁預期,於5月9日的「勝利日」得到預期的成果,這場戰爭很可能還有一段時日才會結束,但在5月相關資安新聞裡,主要有兩件事相當引人注目,首先是美國、英國、歐盟表示已掌握相關證據,俄羅斯就是衛星網路Ka-Sat攻擊事件的幕後黑手。再者,則是俄羅斯駭客Killnet多次攻擊義大利,癱瘓該國許多政府機關的網站,印證4月底許多國家提出的警告──俄羅斯駭客的攻擊火力不再完全集中於烏克蘭,而是轉向全球個關鍵基礎設施(CI)發動攻擊。

勒索軟體攻擊的態勢也相當值得注意。當中又以4月底哥斯大黎加遭到勒索軟體Conti攻擊的事故,後續5月上旬新總統走馬上任就宣布全國進入緊急狀態,可說是不尋常。該駭客組織後續還煽動當地民眾要政府付贖金,並傳出將贖金加倍的消息。但這一切很可能只是駭客投下的煙霧彈──有資安業者指出,駭客這麼做的目的疑似是因為Conti已經遭到各界封殺,他們打算製造該組織仍在運作的假象,將重要成員分散到其他組織以便繼續運作。

在烏克蘭戰爭與勒索軟體駭客Conti的動態之餘,F5在5月初修補的BIG-IP重大漏洞CVE-2022-1388也相當值得注意,不只美國當局高度關注,有數家資安業者不約同提出警告,結果很快就出現攻擊行動,甚至有人用於進行破壞攻擊。

【攻擊與威脅】

兩家資安業者發現F5的BIG-IP系統重大漏洞極為容易利用,呼籲用戶儘速修補

網路安全業者F5於5月初修補BIG-IP重大漏洞CVE-2022-1388,此漏洞的嚴重程度引起美國當局關注,如今研究人員指出該漏洞極為容易利用,很快就可能會有相關攻擊行動。根據資安新聞網站Bleeping Computer的報導,資安業者Horizon3.ai、Positive Technologies先後於5月6日及7日提出警告,根據他們對於修補程式與漏洞的解析,已經得知攻擊者利用這項漏洞的方法,呼籲管理者要儘速修補。

Horizon3.ai亦向Bleeping Computer透露,他們兩名研究員只耗費兩天就找到漏洞的根源(Root Cause),因為,在研究此漏洞的過程中,他們發現F5提出的緩解措施提供相當關鍵的提示,因此,攻擊者很快就能從中找到漏洞的源頭,該公司推測,攻擊者很可能在一個星期內就會將這項漏洞用於攻擊行動,管理者務必要趕快安裝修補程式。對此,他們決定稍晚再公布概念性驗證(PoC)工具,希望能讓用戶能有較多時間採取行動。

F5旗下BIG-IP的重大漏洞,已出現嘗試利用的攻擊行動

網路安全業者F5於5月初修補BIG-IP漏洞CVE-2022-1388,該漏洞涉及iControl REST身分驗證元件,CVSS風險層級達到9.8分,隨後有資安業者先後於5月6日、7日提出警告,表示此漏洞極為容易利用,駭客很快就會用於攻擊行動,果然,這樣的情況目前已經出現。

根據資安新聞網站Bleeping Computer報導,資安業者Cronup研究員Germán Fernández看到,有攻擊者入侵尚未修補的BIG-IP系統,將PHP Web Shell植入主機,接著執行惡意酬載,並將前述的Web Shell刪除。該新聞網站指出,許多研究人員發現,駭客多半鎖定該系統的管理介面下手,投放Web Shell並執行惡意酬載,但Kevin Beaumont指出,也有駭客鎖定管理介面以外的元件進行漏洞利用嘗試,該名研究人員認為,假如管理者將BIG-IP設置為負載平衡設備,並透過專屬的IP位址當作防火牆使用,很可能增加會曝露於此漏洞的風險。

由於這項漏洞極為容易利用,Jake Williams、Will Dormann等資安人員認為,這個漏洞很有可能是商業間諜刻意留下,而非開發不慎所造成。

駭客透過F5的BIG-IP重大漏洞進行破壞性攻擊,意圖清除該系統上的所有檔案

網路安全業者F5於本月初修補BIG-IP重大漏洞CVE-2022-1388,研究人員約於9日開始發現嘗試利用漏洞的攻擊行為,但現在有人進行更具破壞性的攻擊行動。美國系統網路安全研究院(SANS Institute)於5月10日指出,他們從密罐裡發現了針對CVE-2022-1388的攻擊行動,駭客來源的IP位址為177.54.127[.]111,但值得留意的是,駭客對於攻擊目標的BIG-IP系統下達了rm -rf /*命令,企圖刪除該系統上的所有檔案。

研究人員Kevin Beaumont也觀察到相關的攻擊行動,並指出從物聯網搜尋引擎Shodan發現到不少BIG-IP設備都停止回應,疑似和這種破壞性攻擊有關。對此,F5表示正在尋求SANS合作調查此事,並呼籲用戶儘速採取緩解措施,且不要把BIG-IP的管理介面曝露於網際網路。

後門程式BPFDoor鎖定Linux與Solaris主機而來

有駭客組織利用後門程式感染Linux、Solaris主機,經過5年一直沒有被發現。研究人員Kevin Beaumont近日指出,他在2021年觀察中國駭客組織Red Menshen的攻擊行動,駭客利用名為BPFDoor的後門程式,鎖定Linux與Solaris的主機而來,攻擊美國、韓國、香港、土耳其、印度、越南,以及緬甸等國家的組織,受害對象涵蓋了政府機關、郵政及物流系統,以及教育平臺。此後門程式濫用Berkeley Packet Filter的監聽器,從網路層可以看到流量及傳輸資料,而不受防火牆的流量控管,攻擊者得以暗中行動超過5年。

PwC的資安研究員也對這個後門程式進行追蹤,指出這些駭客疑似透過知名主機代管供應商的虛擬專用伺服器(VPS),並向受害組織的BPFDoor下達命令,而這些VPS主機又透過位於臺灣且遭到入侵的路由器進行管理,進而建立VPN隧道。資安業者Sandfly Security指出,此後門程式能讓網路封包看起來沒有惡意行為,並竄改防火牆的iptables規則允許攻擊者傳送的封包通過,且在執行過程中偽裝成Linux系統的處理程序,而能逃過資安系統的偵測。

後門程式BPFDoor利用Solaris漏洞取得root權限

數名資安人員在5月上旬,揭露專門鎖定Linux、Solaris主機的後門程式BPFDoor,駭客運用此後門程式長達5年未被發現,最近有資安業者公布更多細節。資安業者CrowdStrike表示,他們從2019年開始針對電信業者的攻擊行動進行追蹤,也發現駭客組織Red Menshen(亦稱DecisiveArchitect)利用BPFDoor(亦稱JustForFun)的攻擊行動,並指出駭客如何掌控執行Solaris作業系統的主機。

研究人員指出,駭客在成功入侵Solaris作業系統後,就會利用存在於XScreenSaver元件的漏洞CVE-2019-3010,來取得root權限,這項漏洞存在於Solaris 11版作業系統,CVSS風險層級為8.8分,駭客很有可能連續使用了長達3年之久,且會在投放BPFDoor後利用此漏洞,然後透過LD_PRELOAD環境變數,在受害主機上進行命令列欺騙攻擊。

到了今年4月,這些駭客調整了攻擊手法,也在Linux主機上濫用相同的變數,同時透過處理程序/sbin/agetty將BPFDoor載入。除上述發現之外,研究人員也指出,駭客在初期的入侵階段也會攻擊Windows電腦,但他們沒有發現駭客對這些電腦植入惡意軟體。

鎖定Linux主機的殭屍網路病毒Mirai變種顯著增加

駭客在Log4Shell漏洞細節被公布後,針對Linux主機的攻擊行動也顯著增加。資安業者CrowdStrike指出,他們觀察到殭屍網路病毒Mirai的變種,在2022年第1季較去年同期顯著增加,而且是對於不同處理器架構的裝置都是如此。值得一提的是,研究人員指出,雖然針對Linux作業系統的Mirai殭屍網路病毒變種,多半仍是Arm架構設備而來,但論及變種數量增加的幅度,能在x86架構運作的病毒成長幅度最多,較同期增加101%,其中,又以針對32位元x86設備的變種病毒多了120%,而64位元版本x86病毒也增加57%。

研究人員認為,有越來越多駭客偏好針對x86處理器架構的設備,原因很可能是製作與維護惡意軟體所需的心力較少,而且攻擊範圍還能從物聯網設備擴及x86伺服器。

鎖定Linux主機的殭屍網路XorDDoS近半年攻擊次數增2.5倍

殭屍網路鎖定Linux主機而來的情況,最近逐漸增加。微軟在5月19日提出警告,他們在最近半年裡,發現XorDDoS的攻擊行動次數較先前增加了254%。這個殭屍網路病毒主要透過SSH連線暴力破解的方式,入侵執行Linux作業系統的設備,攻擊者利用Shell指令碼來嘗試各種可能的帳密組合,一旦成功存取,就有可能將XorDDoS的ELF檔案投放到設備上執行。

這個殭屍網路除了被用於發動DDoS攻擊,駭客還會拿來部署蠕蟲程式,以便維持受害設備的存取權限,而且還有可能投放其他惡意軟體──研究人員看到部分受感染的裝置,隨後被植入了Tsunami後門程式,以及挖礦軟體XMRig。

殭屍網路Sysrv變種鎖定Spring框架和WordPress漏洞,入侵Windows與Linux伺服器

殭屍網路病毒Sysrv自2021年4月被發現後,最近又有新的一波攻擊行動。微軟的研究人員指出,擅長透過多種網站應用程式系統漏洞入侵的Sysrv,最近出現新的變種Sysrv-K,該殭屍網路病毒大肆在網路上進行掃描,找尋存在Spring Cloud Gateway漏洞CVE-2022-22947,以及WordPress外掛程式已知漏洞的網站應用程式,針對Spring框架和WordPress發動攻擊,入侵後在執行Windows或Linux作業系統的應用程式伺服器裡,部署挖礦軟體。研究人員指出,該殭屍網路病毒還會掃描WordPress主機,找出與組態有關的檔案,並竊取資料庫的帳密,進而接管伺服器。

駭客以AWS的名義上傳2個惡意NPM套件

攻擊者假冒知名開發者的名義上傳惡意NPM套件,大型的雲端服務業者也成為受害者。資安業者WhiteSource於4月28日、30日,發現有人發動名為Package Backfill的攻擊行動,駭客假冒AWS的名義,找尋該公司曾經發布(但已下架)的NPM套件,然後以這些套件的名稱上架惡意軟體。

研究人員指出,第一個上架的套件名為hl7.fhir.r3.core,但套件內容僅有package.json檔案,很可能是實際攻擊之前的測試;而第二個名為@aws-cdk-example-dynamic-web-config/shared的套件,一旦受害者不慎安裝,攻擊者將藉此收集受害主機上的系統資訊,例如處理器架構、可用的記憶體、IP位址、MAC位址,使用的網路連接埠等資訊。研究人員指出,駭客藉由不再使用的NPM套件名稱來發動攻擊,並成功通過NPM的上架檢測機制,開發人員應透過套件的校驗機制來防範受騙。

駭客竄改知名PyPI套件與PHP程式庫,意圖竊取開發者的AWS帳密

駭客針對開發者下手的資安事故,有不少是針對NPM套件而來,但近期有人同時對於兩種不同的套件庫出手。資安業者Sonatype於5月15日發現,近期名為ctx的PyPI套件出現新的版本0.2.2,但在該公司進一步分析後,確認此版本帶有惡意程式碼,開發者安裝後將會在受害電腦收集相關環境變數,並回傳到特定的網域。

值得留意的是,研究人員在21日,看到攻擊者再度出手,針對原本於2014年發布的0.1.2版進行竄改,加入上述的惡意程式碼。對此,研究人員對開發人員提出警告,即使使用這些套件的先前版本,還是有可能遭到波及,因此,使用者下載套件後還是要進行檢查,來確保取得的是沒有遭到竄改的版本。

無獨有偶,駭客也對於ctx程式庫的PHP版本PHPass出手,提交有問題的程式碼,功能同樣是收集受害電腦的相關變數並進行回傳。而駭客發動攻擊的意圖,研究人員Somdev Sangwan推測,很有可能是為了竊取開發人員的AWS帳密與相關參數。

惡意PyPI套件pymafka對Windows、macOS、Linux電腦下手

駭客上架惡意開發套件的情況,過往大多針對NPM而來,但現在也有人開始對於PyPI套件庫下手。資安業者Sonatye於5月17日發現,PyPI套件庫裡出現了名為pymafka的惡意Python套件,疑似假冒知名的Apache Kafka用戶端Python套件「PyKafka」來讓受害者上當。上述兩個套件的名稱拼字幾乎相同,開發者若是不慎下載及部署惡意套件,Python指令碼setup.py會先偵測受害電腦的作業系統,並下載Windows、macOS、Linux等作業系統對應的木馬程式,其功能是滲透測試工具Cobalt Strike的Beacon。

其中,研究人員在受害的Windows電腦上,看到駭客將Cobalt Strike的Beacon投放於電腦使用者共用的資料夾(C:\Users\Public\),並將檔案名稱命名為iexplorer.exe(註:較IE的執行檔檔名多一個r),然後藉此檔案下載了win.exe並與位於中國的IP位址連線。

該公司亦將檔案上傳至惡意軟體分析平臺VirusTotal,結果在61款防毒引擎裡僅有20個視為無害。研究人員認為,開發人員要留意下達安裝的指令是否正確,並搭配相關檢測工具來防堵這類威脅。

有人假冒德國企業的名義發布惡意NPM套件,經追查竟是紅隊演練公司所為,引起爭議

研究人員多次在NPM套件庫裡發現惡意套件,如今疑似也有紅隊演練公司上傳這種套件來強化客戶的開發安全。資安業者JFrog、ReversingLabs,最近依循資安業者Synk於4月底找到的惡意套件gxm-reference-web-auth-server,進一步追查後發現還有其他類似特徵的套件,疑似針對德國知名媒體、物流業者、工業公司進行供應鏈攻擊。

駭客以bertelsmannnpm、boschnodemodules、stihlnodemodules、dbschenkernpm的ID名稱來上傳這些套件,他們很可能是假冒博德曼(Bertelsmann)、博世(Bosch)、Stihl、DB Schenker等德國公司的名義,想要讓開發人員相信套件是由上述企業提供。一旦開發人員安裝這些套件,電腦就有機會被植入後門程式。不過,研究人員指出,奇怪的是,駭客似乎沒有隱匿意圖攻擊的目標,使用的混淆手法也相當容易拆解。

而這起事件到了5月10日有了進一步的進展,德國紅隊演隊公司Code White表示,這些惡意套件是他們為客戶模擬紅隊攻擊的演練情境所用,製作者的身分是一名研究相依混淆(Dependency Confusion)攻擊手法的實習生,並表明他們也製作類似的Yarn套件。

別以為概念性驗證程式不會對電腦造成危害!有駭客用來散布惡意軟體

駭客針對資安人員出手的情況,在去年已有數起事故,而最近有人假借漏洞利用展示來發動攻擊。資安業者Cyble指出,有人針對微軟今年4月修補的重大漏洞CVE-2022-26809(CVSS風險層級9.8分)、CVE-2022-24500(CVSS風險層級8.8分),在GitHub上發布假的概念性驗證程式(PoC),這些軟體並未含有惡意程式碼,而可能得以逃過防毒軟體的偵測。

一旦研究人員執行這些「概念性驗證程式」,電腦上就會出現假的訊息,宣稱正在利用漏洞並執行Shell Code,但實際上該軟體卻是在背景執行PowerShell命令,並傳送惡意酬載,下載Cobalt Strike的Beacon,展開進一步的攻擊行動。GitHub獲報後已將上述的惡意軟體下架。

北韓IT人士埋伏全球企業,協助駭客進行網路攻擊

出身北韓的IT人士遭他國政府懷疑可能會與母國的國家駭客聯手,以利網路攻擊。美國國務院、美國財政部,以及美國聯邦調查局(FBI)聯手,於5月16日發布資安通告,警告全球組織要小心北韓政府派出的IT人才,這些人士會透過自由工作者招募平臺、社群網站等管道謀職,一旦組織不慎錄用這些人士,就有可能面臨資料外洩或是資金遭竊的風險,甚至有可能因此變成美國與聯合國制裁的對象,除此之外,這些人士也可能與北韓駭客裡應外合。

美國政府也提供這類人士的識別方法,要組織提高警覺。例如,會要求使用支付平臺轉帳薪資,或是以加密貨幣領取薪資,還有面試者很可能會在短時間內,從不同地區多次登入相同的帳號,很有可能就是上述可能會造成組織危害的北韓IT人員。

北韓駭客DarkSeoul利用Log4Shell漏洞入侵VMware遠距工作平臺

國家級駭客運用Log4Shell漏洞發動攻擊的情況,已有數起,且有不少是針對VMware遠距工作平臺而來。資安業者賽門鐵克於今年2月發現,北韓駭客DarkSeoul(亦稱Stonefly、BlackMine)攻擊美國工程公司,該公司與美國國防與能源領域具有合作關係。而駭客入侵該公司的管道,就是針對該公司的遠距工作平臺VMware View(舊版的VMware Horizon)伺服器下手,利用Log4Shell漏洞入侵。

在成功進入受害組織後,駭客部署後門程式Preft(亦稱Dtrack、Valefor),並利用Mimikatz收集帳密,之後於該公司內部網路進行橫向移動,進行竊密的工作。研究人員指出,這些駭客透過寄生攻擊(LoL)的手法,大量採用開源工具WinSCP、3proxy 等,並專注於竊取機密資訊的工作。他們呼籲組織應儘速修補相關系統的Log4Shell漏洞。

北韓駭客Lazarus鎖定南韓組織的VMware遠距工作平臺Log4Shell漏洞下手

又是針對VMware遠距工作平臺的Log4Shell漏洞下手的攻擊行動。資安業者AhnLab指出,北韓駭客Lazarus於今年4月,鎖定南韓組織的遠距工作平臺VMware Horizon下手,針對尚未修補Log4Shell漏洞的Tomcat元件入侵,植入後門程式NukeSped,並在受害組織裡進行間諜工作,如截取螢幕畫面、側錄輸入內容、存取敏感檔案等,與過往NukeSped不同之處在於,研究人員看到2個新模組,可用於轉存USB儲存裝置的資料,以及提供存取視訊鏡頭的能力。

駭客透過上述後門程式在受害組織站穩腳跟後,便進一步投放竊密軟體,偷取瀏覽器(Chrome、Firefox、IE、Naver Whale)與收信軟體(Outlook、Outlook Express、Windows Live Mail)的帳號資料,以及辦公室軟體(微軟Office、Hancom 2010)近期使用的檔案名稱。研究人員呼籲VMware Horizon用戶應儘速修補相關漏洞。

中國駭客Winnti竊取歐美組織的內部機密資料

駭客埋藏在受害組織的網路間諜行動,很可能長達3年才被發現。資安業者Cybereason近日指出,他們於去年調查多起針對北美、歐洲、亞洲地區科技業與製造業的入侵事件時,發現至少從2019年就開始進行的網路間諜行動Operation CuckooBees。這起攻擊行動疑似由中國駭客組織Winnti(亦稱APT41、Barium)發起,駭客主要針對受害組織的智慧財產下手,竊取有關的資料,除此之外,該組織亦偵察網路架構,並收集使用者帳號資料、員工電子郵件、客戶資料等,以利日後再度對受害組織下手,迄今已洩露數百GB的資料。

而對於駭客的攻擊手段,研究人員指出,攻擊者使用了未曾出現過的惡意軟體Deploylog,以及新版本的Spyder Loader、Privatelog、Winnkit等,並相當罕見地濫用作業系統的通用事件記錄檔案系統(CLFS)、NTFS檔案系統的機制,來規避資安系統的檢測。再者,比較特別的是,駭客所使用的惡意軟體皆相依其他元件,也就是必須具備相關元件的狀態下才能執行,使得研究人員難以各別分析就察覺攻擊意圖。

中國駭客Naikon攻擊南亞軍事單位,植入滲透測試工具Viper

資安業者Cluster25揭露中國駭客組織Naikon的網路間諜攻擊行動,目標疑似鎖定南亞國家的政府機構。這些駭客藉由釣魚郵件發動攻擊,並以網頁應用程式防火牆WAF設備的招標文件當作誘餌,一旦對方開啟這份文件,電腦就會被植入滲透測試框架Viper,駭客也在C2伺服器上部署資產探索工具Asset Reconnaissance Lighthouse(ARL)進行監控。研究人員指出,根據Naikon的武器庫分析結果,該組織長期暗中進行間諜行動,為了避免被受害者發現,也不時調整其攻擊的策略、技術、程序(TTP)。

中國駭客Moshen Dragon操弄防毒軟體元件,利用DLL側載的方式執行後門程式

駭客為了避免攻擊行動被發現,往往會透過關閉防毒軟體,或是將惡意軟體加入白名單等方式來進行,但最近有駭客竟是運用防毒軟體來側載惡意程式。資安業者SentinelOne指出,他們發現中國駭客Moshen Dragon在鎖定中亞電信業者的間諜攻擊行動裡,會濫用防毒軟體的部分元件,如Symantec SNAC、TrendMicro Platinum Watch Dog、Bitdefender SSL Proxy Tool、McAfee Agent,以及Kaspersky Anti-Virus Launcher等,以DLL搜尋順序挾持(DLL Search Order Hijacking)的方式,來側載惡意程式PlugX與ShadowPad。

在受害電腦站穩腳跟後,駭客就會進一步濫用網路流量監聽工具Impacket進行橫向移動,最終在受害組織植入後門程式竊密。研究人員認為,駭客挾持防毒軟體的做法,主要還是與Windows作業系統維持DLL呼叫的相容性有關,而能讓攻擊者運用DLL搜尋順序挾持的手法對防毒軟體下手。

網路間諜藉由Exchange伺服器竊密,並攻擊網路視訊設備

研究人員發現手法極為神秘的攻擊行動,駭客不只竊取往來郵件,還針對視訊會議系統下手。資安業者Mandiant揭露駭客組織UNC3524的攻擊行動,駭客在成功入侵受害組織後,透過Exchange伺服器(包含內部建置的伺服器與雲端服務),竊取含有公司合併資訊的電子郵件,並在沒有受到資安系統監控的網路設備上部署Quietexit後門程式,而在部分攻擊行動裡,他們也在受害組織的DMZ網路伺服器上,植入了名為reGeorg的Web Shell,來建立SOCKS隧道,可能暗中埋伏在受害組織超過18個月。

值得留意的是,這些駭客也利用Quietexit後門程式,針對曝露於網際網路的網路視訊設備下手,包含D-Link視訊監控鏡頭、LifeSize視訊會議系統來下手,疑似透過預設的管理者帳密入侵設備,來將這些設備納入殭屍網路。

駭客利用IceApple漏洞利用工具包攻擊Exchange伺服器

駭客攻擊Exchange伺服器的情況不時有事故傳出,但如今已有專門針對這套郵件系統而來的漏洞利用工具包出現。資安業者CrowdStrike指出,他們在2021年底發現名為IceApple的漏洞利用工具包,攻擊者在入侵受害組織並初步成功存取網路之後,開始利用這個工具包對Exchange伺服器下手。研究人員對於此漏洞利用工具包進行分析後發現,駭客不只能將其用來攻擊Exchange伺服器,還能對IIS網站伺服器下手,該工具包由.NET開發而成,至少內含18個模組。

而對於攻擊者的身分,研究人員根據事故受害的組織進行分析,他們推測很有可能與中國有關。

從IceApple的運作方式觀察,研究人員指出,該工具包的所有模組都是在記憶體內執行,乍看之下受害伺服器執行的工作,很像是IIS網站伺服器組合檔案的過程裡衍生了暫存檔案。而這麼做的目的,很有可能是攻擊者想要把遺留下來的資料盡可能減少,增加研究人員調查的難度。

由於此漏洞利用工具包不光能用於攻擊Exchange伺服器,還有可能對其他的Windows應用程式伺服器下手,該公司呼籲,組織應該要儘速修補包含Exchange伺服器在內網頁應用程式,以免遭到攻擊。

駭客藉由USB隨身碟散播蠕蟲程式,並濫用威聯通網路設備回傳受害電腦資料

近年來駭客多半透過網路釣魚來投放惡意程式,但濫用USB儲存裝置的攻擊手法仍有事故發生。資安業者Red Canary揭露自2021年9月出現的Raspberry Robin攻擊行動,駭客利用USB儲存裝置散布蠕蟲程式,然後濫用受害電腦的Windows Installer處理程序(msiexec.exe)來存取駭客的基礎設施,這些設施多半由威聯通(QNAP)的設備組成,並在發出的HTTP請求裡包含了受害者的使用者名稱與電腦名稱。除此之外,駭客也運用洋蔥網路(TOR)的節點來增加C2中繼站的數量。

研究人員指出,他們已經在高科技與製造相關產業看到相關攻擊行動,但尚未確認受害組織之間是否存在關連,也無法判斷攻擊者的目的,不過,很可能是為了在受害電腦持續監控,駭客成功入侵後會部署惡意DLL程式庫,並透過Windows內建的應用程式來側載執行。

駭客濫用Google的SMTP中繼服務發送釣魚郵件

駭客發動釣魚郵件攻擊的手法,也出現濫用電子郵件服務的現象。資安業者Avanan提出警告,他們在4月看到攻擊者濫用Google的SMTP中繼(SMTP Relay)服務情況大幅增加,研究人員在2個星期的時間收到2.7萬封釣魚郵件,這種郵件透過上述服務寄送,從而隱藏信件的真實來源。

研究人員指出,只要這些採用Gmail的組織沒有適當的DMARC郵件驗證協定配置,攻擊者就能藉由這種方式,把釣魚郵件送到受害者的信箱。研究人員於4月23日向Google通報駭客的攻擊行動,但Google對於此事尚未做出回應。

駭客濫用英國健保局電子郵件帳號發動網釣攻擊

組織將電子郵件系統移轉至雲端服務,可能導致安全政策改變,而成為駭客用來攻擊的管道。資安業者Inky近日指出,駭客自去年秋天開始,盜用英國健保局(NHS)員工的電子郵件帳號寄送釣魚郵件,截至今年3月已有139名員工的帳號被冒用。研究人員在今年3月共偵測到1,157封以英國健保局員工名義寄送的釣魚郵件,這些郵件以傳送傳真檔案的名義引誘對方上當,一旦收信人依照指示開啟連結,就有可能被竊取微軟帳號的資料。

但為何駭客能大肆濫用該單位的員工電子郵件帳號?研究人員認為,可能與英國健保局去年將內部建置的郵件伺服器遷移至Exchange Online,使得相關安全配置產生變動,而出現能讓駭客挾持員工電子郵件信箱帳號的機會。

駭客透過惡意軟體PrivateLoader散布NetDooka惡意框架

駭客的惡意軟體分工中,先前有資安業者揭露專門投放惡意軟體的業者,他們以感染電腦數量來向駭客收費(Pay-per-install,PPI),最近又有駭客利用這種方式散布作案工具。趨勢科技發現,近期有駭客尋求PPI業者,藉由惡意軟體PrivateLoader投放名為NetDooka的惡意軟體框架,該框架由Dropper、Loader,以及RAT木馬程式等元組成。PPI業者會先投放NetDooka的Dropper元件,該元件會解密並執行Loader。

而Loader會先確認受害電腦環境,並清除受害電腦的上的防毒軟體、封鎖防毒業者的網域,再藉由作業系統的BITS系統元件下載、以驅動程式的型式植入木馬程式,為了避免木馬程式遭到刪除或停止運作,駭客也藉由登錄檔的機碼設置了復原機制。

這個RAT程式可接受攻擊者遠端下達的命令,如執行Shell程式碼、發動DDoS攻擊、側錄鍵盤輸入的內容,以及進行遠端桌面存取等。研究人員認為,駭客透過植入惡意驅動程式的管道站穩腳跟,這樣的做法使得攻擊者能透過NetDooka惡意軟體框架,對受害電腦傳遞更多惡意軟體。

駭客以無聊猿的名義向圖像創作者散布惡意軟體

非同質化代幣(NFT)的創作當紅,駭客也看上這波熱潮,以徵求NFT作品所需的圖像為由,向創作者發動攻擊。資安業者Malwarebytes指出,近期有人鎖定DeviantArt、Pixiv等圖像作品分享網站的用戶,發送釣魚郵件,他們宣稱是NFT專案Cyberpunk Ape Executives,尋求與平面圖像的創作者合作,一旦對方被錄取,每天將會有200至350美元的報酬。

一旦收信人照作,就會從檔案共享網站Mega下載RAR壓縮檔,內含了許多GIF圖檔,但其中混入了可執行檔,一旦收信人不慎當作圖片開啟,電腦就有可能被植入竊密程式。對此Cyberpunk Ape Executives也提出警告,他們沒有相關的合作計畫,呼籲收到相關郵件的人不要回覆,也不要點選信件裡的連結。

西班牙總理、國防部長手機感染間諜軟體Pegasus

又有歐洲國家透露高層遭到間諜軟體Pegasus監控,但外界認為公布相關消息可能別有用意。西班牙政府於5月2日指出,該國總理Pedro Sanchez、國防部長Margarita Robles,兩人的手機先後於2021年5月、6月,感染了Pegasus間諜程式。

但外界認為,西班牙公布此事的動機並不單純,原因是加拿大公民實驗室於今年4月指出,63隻加泰羅尼亞人士的手機遭到Pegasus監控,這些手機的所有者包含該國總統、立法委員、公民組織成員等,背後疑似是西班牙所為,這次西班牙公布總理和國防部長遭到監控的事件,很有可能是要淡化針對加泰羅尼亞的攻擊行動。

雲端應用程式服務業者Heroku坦承因客戶資料庫遭駭,引發GitHub的OAuth憑證外洩事件

GitHub於4月中旬發出公告,指出駭客濫用他們授予雲端應用程式服務Heroku、程式碼持續整合服務Travis-CI的部分OAuth憑證,導致數十個組織GitHub儲存庫可能會遭到異常存取,這起事件最近有了新的發展。

根據資安新聞網站Bleeping Computer的報導,Heroku於5月4日陸續向用戶寄送資安事故通知的電子郵件,表明為了對上個月的資安事故做出回應,他們將會強制重設用戶的密碼,但除此之外沒有進一步做出說明,而引發用戶不滿,認為該公司的資安事故處理不夠透明,且這樣的做法代表了當時Heroku應該遭到了攻擊。

這起風波發生的隔日,Heroku終於坦承他們於4月7日遭到入侵,駭客存取該公司資料庫並下載了客戶GitHub的憑證,並於4月8日下載這些客戶GitHub儲存庫的中繼資料,9日進一步存取含有原始碼的Heroku私有GitHub儲存庫資料。該公司於13日母公司Salesforce接獲通報後著手進行調查,遂於16日註銷所有與GitHub整合的OAuth憑證,且於5月4日決定進一步重設Heroku用戶的密碼。

伊朗駭客鎖定德國汽車產業散布竊密程式

駭客鎖定特定產業發動釣魚攻擊,並使用極為近似的網域,而使得受害者難以識破意圖。資安業者Check Point揭露約自2021年7月開始的德國汽車產業攻擊行動,駭客的目標主要是當地的汽車經銷商與製造商,且假借購車的名義寄送釣魚郵件。駭客於郵件中挾帶ISO映像檔,一旦收信人依照指示開啟映像檔裡的HTML應用程式檔案(HTA),電腦就會顯示德文的汽車購買合約,但在此同時,HTA檔案也在背景執行VBScript程式碼,進而於受害電腦下載並執行Raccoon Stealer、AZORult,以及BitRAT等竊密軟體。

研究人員指出,他們將這起攻擊行動追蹤到14個與德國汽車產業有關的組織,而攻擊行動的高峰出現在2021年10月底、2021年11月底,以及2022年3月中旬,且在研究人員公布細節時攻擊行動仍在持續進行。根據駭客將竊密軟體上傳到伊朗網域,研究人員認為,攻擊者很可能來自伊朗。

伊朗駭客組織APT34使用後門程式Saitama向約旦外交單位發動攻擊

伊朗駭客組織鎖定中東國家的攻擊行動不時傳出,而且手法也變得更加隱密。資安業者Malwarebytes指出,他們在4月26日看到針對約旦外交部的釣魚郵件,駭客假冒約旦的政府官員,寄送確認文件檔案已收到的信件,並要求對方儘快填寫附件的Excel檔案,一旦收信人開啟附件,並依照指示啟用巨集功能,他們就會看到約旦政府的標誌,但另一方面,此巨集也偷偷下載後門程式Saitama到受害電腦。根據惡意文件檔案與後門程式的分析,研究人員認為攻擊者是伊朗駭客組織APT34(亦稱OilRig、Cobalt Gypsy、Helix Kitten)。

值得留意的是,駭客在Saitama後門程式反偵測機制裡,運用虛擬亂數產生器(Pseudo Random Number Generator,PRNG)的演算法來隱匿C2伺服器的IP位址,並藉由多次、長達數個小時的睡眠模式,來減少被資安系統察覺的風險。

駭客組織Bitter鎖定孟加拉散布木馬程式

思科揭露駭客組織Bitter自2021年8月開始進行的攻擊行動,駭客鎖定孟加拉政府機關下手,利用看起來像是來自巴基斯坦政府單位的電子郵件信箱寄送釣魚郵件,攻擊者很可能是透過協作平臺Zimbra的郵件伺服器弱點,進而達成欺騙收信人的目的。這些釣魚郵件有些是挾帶RTF檔案,有些則是挾帶Excel檔案,都是以公務有關的電話記錄與號碼驗證為主旨,引誘公務人員上鉤。

這件郵件的附件濫用內建於微軟Office軟體的方程式編輯器,透過CVE-2017-11882、CVE-2018-0798、CVE-2018-0802等漏洞觸發,進而在受害電腦下載並執行名為ZxxZ的木馬程式,並以Windows安全更新服務的名義執行。此木馬程式會刪除Microsoft Defender或卡巴斯基防毒軟體的處理程序,再行收集用戶資料的工作並回傳。

木馬程式Nerbian RAT鎖定義大利、西班牙、英國而來

武漢肺炎疫情蔓延至今,部分國家已經開始走向與病毒共存的階段,有攻擊者假借衛生單位的名義來散布惡意軟體。資安業者Proofpoint發現,有人自4月26日開始,針對義大利、西班牙、英國的實體,聲稱是世界衛生組織(WHO)、愛爾蘭健康服務局(HSE),以及愛爾蘭盲人國家協會(NCBI),以武漢肺炎的衛教資訊為誘餌,發動網路釣魚攻擊,進而散布以Go語言開發的木馬程式Nerbian RAT。比較特別的是,駭客在攻擊的過程中,使用名為Chacal的滲透測試框架,來回避研究人員在虛擬機器(VM)觸發木馬程式。

有人提供駭客打造惡意軟體KurayStealer的框架工具,使得衍生的變種接連出現

駭客取得惡意軟體的方式,除了自行打造或是直接向開發者購買,現在也出現了簡易開發工具,讓這些駭客能自訂想要的功能。資安業者Uptycs於4月27日發現竊密軟體KurayStealer,經調查後發現,名為Portu的西班牙人士約從23日開始,在Discord和YouTube上打廣告,提供打造此竊密軟體的Python工具,並對其他延伸功能的部分收費。比較特別的是,這組工具打造出來的KurayStealer變種,可針對21種上網應用程式竊取帳密與憑證,然後經由Discord提供的Webhook機制,將資料回傳給攻擊者。

惡意軟體工具包Eternity供駭客購買竊密程式、蠕蟲、勒索軟體

駭客取得各式攻擊工具,很可能只要向一個惡意軟體供應者下單,就能透過Telegram取得所需的工具。資安業者Cyble揭露名為Eternity的惡意軟體工具包,有人藉此提供駭客竊密軟體、DDoS機器人(Bot)、蠕蟲程式,以及勒索軟體等,駭客只要點選想要使用的攻擊工具與相關功能並付款後,就能利過Telegram機器人自動產生攻擊程式。研究人員指出,雖然他們還沒逐一驗證所有模組是否都具備開發者宣稱的能力,但已經看到有人利用上述機器人產生的工具進行攻擊。

安卓木馬FluBot透過多媒體簡訊向芬蘭散布

芬蘭國家網路安全中心(NCSC-FI)於5月10日發布資安通告,指出安卓惡意程式FluBot的攻擊行動再度升溫,但有別於去年底出現的大規模攻擊行動,駭客不只使用一般的文字簡訊發動網釣攻擊(Smishing),也可能透過多媒體簡訊(MMS)來進行。攻擊者可能以語音訊息、未接來電通知等名義,引誘對方透過簡訊裡的連結下載、安裝惡意程式FluBot。雖然這起攻擊行動的主要目標是安卓手機用戶,但NCSC-FI指出,iPhone用戶若是點選簡訊的連結,將會被引導到詐騙網站。

駭客鎖定SQL Server進行寄生攻擊,透過公用程式執行PowerShell指令碼,可躲避系統事件記錄而不會留下足跡

針對SQL Server伺服器下手的攻擊行動近期再度出現,而且是利用公用程式來進行。微軟於5月18日提出警告,他們近期發現到鎖定SQL Server的攻擊行動,駭客藉由暴力破解的方式入侵這些資料庫系統,然後透過內建的PowerShell命令列公用程式SQLPS.EXE來執行PowerShell命令,以進行寄生攻擊(LOLBin),而不會在受害的伺服器上留下事件記錄。

研究人員指出,透過這樣的攻擊手法,駭客不只能夠長期滲透SQL Server,還能建立新的使用者帳號,並配置管理員權限,進而接管整個SQL Server系統。研究人員認為,上述攻擊行動的發現,突顯管理者需要掌握指令碼執行動態的重要性。資安新聞網站Bleeping Computer則認為,管理者也應從強化密碼管理著手,來防範SQL Server遭到入侵。

駭客利用客服機器人進行網路釣魚,竊取信用卡資料

利用釣魚郵件發動網路釣魚攻擊的情況算是相當常見,但現在有人結合了線上客服的手法,讓受害人放下戒心。資安業者Trustwave指出,他們看到駭客假冒物流業者DHL的名義,寄送包裹無法送達的通知訊息,並要求受害者依照指示處理。一旦收信人照辦就會下載PDF檔案,該文件內含指向釣魚網站的連結,受害者點選後便會被引導到與客服聊天機器人(Chatbot)的對話框。這個機器人會表明包裹上的標籤已經遭到破壞,而無法寄送,要求重新提供公司或住家地址、姓名、電話號碼,並告知對方要刷卡支付額外的運費。收信人若是照做,信用卡的資料就有可能遭側錄。

為了取信對方,這個客服機器人的對話內容還會包含無法寄送的包裹圖片,以及在刷卡的過程裡,還會要求輸入手機簡訊的驗證碼,讓受害者以為真有其事。由於駭客納入許多實際網站運用的機制,而很難分辨真假,研究人員提出警告,使用者若是收到相關的寄送通知,應另外開啟物流公司的網頁查詢,而非直接透過信件提供的連結回覆。

駭客利用線上遊戲開發平臺Roblox散布木馬程式

熱門線上遊戲平臺機器磚塊(Roblox),允許玩家創作與開發遊戲,而廣受許多青少年喜愛,美國更有逾半數兒童遊玩,但這樣的普及程度,也成為駭客用來發動攻擊的管道。資安業者Avanan於3月底,發現專門鎖定Roblox的惡意檔案,駭客疑似將原本的Roblox注入惡意程式,再上傳到該公司客戶的OneDrive帳號,並濫用Roblox的程式碼引擎Synapse X,在受害電腦上部署木馬程式。一旦使用者下載、執行惡意檔案,就會於Windows系統資料夾部署惡意DLL檔案,進而有可能導致應用程式無法運作、資料造成毀損、回傳用戶資訊等。研究人員警告,儘管Roblox用戶多半是兒童,但他們很可能使用父母的電腦上網,而使得當中存放的資料曝露於危險。

WordPress外掛程式Tatsu Builder漏洞遭到鎖定,出現近6百萬次攻擊

研究人員於3月底揭露WordPress外掛程式Tatsu Builder的漏洞CVE-2021-25094,開發者亦發布3.3.13版修補,並於4月7日寄送電子郵件通知用戶升級,但在一個月後出現了大規模的攻擊行動。資安業者Wordfence指出,他們約自5月9日開始,發現針對上述漏洞的攻擊行動顯著增加,並於14日達到高峰──約有590萬次攻擊,鎖定140萬個網站而來。

而對於攻擊來源的部分,研究人員指出,大部分攻擊行動來自3個IP位址,它們各攻擊超過百萬個網站;再者,也有15個IP位址攻擊超過10萬個網站。研究人員呼籲用戶,儘速將Tatsu Builder升級到3.3.13版來防堵相關漏洞。

駭客利用惡意PHP程式碼截取網站的信用卡資料

最近3年,全球針對電商網站側錄信用卡資料的攻擊行動不時有事故發生,且攻擊者目標從針對前端的JavaScript程式碼,轉換到後端PHP程式碼上,這也使得美國政府提出警告。

美國聯邦調查局(FBI)近日針對當地電商網站發布警訊,指出有人自2020年9月開始,針對美國電商網站下手,將惡意PHP程式碼植入結帳網頁,截取相關資料並傳送到攻擊者控制的伺服器,並成功欺騙了本來處理信用卡交易的伺服器;而到了今年初,駭客藉由除錯功能在網站伺服器下載2個Web Shell,然後建立後門,以便攻擊者能進一步對受害組織下手。

而這樣的情況,也有資安業者提出相關的觀察──資安業者Sucuri發現,在2021年的電商網站側錄攻擊中,有41%是針對PHP程式碼而來,而有可能使得攻擊者進一步存取電商網站的檔案系統,而使得該公司呼籲網站管理者,必須加強相關的網站防護措施。

Zyxel防火牆重大漏洞已被駭客用於攻擊行動

資安業者Rapid7於5月12日,公布Zyxel防火牆產品的遠端命令注入漏洞CVE-2022-30525,影響USG Flex、ATP產品線,CVSS風險層級達9.8分。這樣的重大漏洞很快就有駭客加以利用。資安研究團隊Shadowserver Foundation於5月15日提出警告,他們在13日開始看到嘗試利用CVE-2022-30525的攻擊行動,呼籲用戶要儘速修補。

根據研究人員的調查,全球總共約有20,800臺Zyxel設備可能曝險,其中又有近半數(1萬臺)是USG20-VPN,其次是USG20W-VPN有5,700臺。從這些防火牆所在的區域來看,大部分位於歐洲,其中以法國4,500臺、義大利4,400臺最多,美國有2,400臺次之。

駭客利用Windows事件記錄機制埋藏惡意軟體行蹤

駭客為隱藏惡意軟體的行蹤,他們最近也濫用作業系統的事件記錄工具,而引起研究人員的注意。卡巴斯基最近揭露他們在今年2月,發現將Shell Code存放於Windows事件記錄的惡意軟體攻擊行動SilentBreak,駭客藉此隱匿無檔案(Fileless)的木馬程式。

駭客透過惡意軟體投放器(Dropper),將Shell Code的酬載注入到Windows大量授權金鑰管理服務(KMS)的事件記錄日誌,並複製及濫用作業系統元件WerFault.exe、wer.dll,藉由DLL搜尋順序挾持(DLL Search Order Hijacking)載入惡意程式碼。而上述的投放器也會在Windows的事件記錄尋找特定內容,再組合成下一個階段的攻擊程式碼。研究人員指出,這樣的手法過往幾乎沒有出現過,他們推測很可能是APT駭客所為。

駭客組織SideWinder橫行歐亞,2年發動近千次攻擊行動

資安業者卡巴斯基於5月10日到13日,在新加坡舉行的Black Hat Asia 2022大會上,揭露APT駭客組織SideWinder(亦稱RattleSnake、T-APT-04)近期的攻擊行動,指出該組織於2020年4月至今,兩年內發動接近一千次攻擊行動,是全球攻擊行動最為頻繁的駭客。這個駭客組織主要目標是中亞國家的警察、軍隊、海軍部隊,近年範圍則擴及歐洲、中東、亞洲、非洲等區域,並針對外交、國防、航空、IT產業而來。根據該組織近期註冊的新網域,研究人員認為他們打算將攻擊範圍擴及更多國家。

這些駭客約從2021年底開始,使用RTF、LNK,以及OpenOffice文件檔案OOXML,挾帶含有混淆的JavaScript程式碼,進而在受害電腦植入後門程式,然後與C2伺服器建立連線。研究人員認為,辦公室應用程式的已知漏洞很可能是該組織主要的入侵管道,呼籲用戶要保持相關軟體為最新狀態。

駭客一口氣散布3種無檔案惡意軟體,意圖竊取受害電腦資料

攻擊者在4月、5月,透過釣魚郵件散布竊密軟體的情況不時傳出,但如今有人一口氣利用三種惡意軟體來偷取電腦裡的機密。資安業者Fortinet指出,他們近期發現有人透過付款結果的通知信件,發動釣魚郵件攻擊,一旦收信人開啟附件的Excel附加元件檔案(XLAM),並依照指示啟用VBA巨集時,此巨集就會呼叫作業系統的WMI元件,竄改MSHTA.EXE執行檔檔名並下載惡意HTML檔案,然後觸發PowerShell程式碼下載AveMariaRAT、BitRAT、PandoraHVNC等無檔案式(Fileless)的惡意軟體,進行竊取電腦各式機密的工作。

為何駭客要同時部署這麼多個惡意軟體?研究人員沒有進一步說明,但很有可能是駭客想要藉此收集更為完整的資料。

鎖定macOS的惡意軟體UpdateAgent出現變種,被用來投放更多惡意程式

專門針對Mac電腦出手的惡意程式UpdateAgent,最近出現新的變種,而可能使駭客能夠透過程式碼批次進行攻擊。資安業者Jamf近期看到新的UpdateAgent變種,駭客使用程式語言Swift重新改寫,並命名成PDFCreator,以及ActiveDirectory的可執行檔案散布,研究人員分析後發現,這兩個版本的變種會連往AWS S3儲存桶的網址,下載並執行一段bash指令碼,再到S3下載並執行第二階段的DMG映像檔。而關於這些檔案,目前能識別為有害的防毒軟體可能不多,因為研究人員在5月13日,將這些可疑的檔案上傳到惡意軟體分析平臺VirusTotal進行檢測之後,當中尚未有防毒軟體引擎能將其識別為有害。

該公司指出,雖然先前在2月的版本被駭客用於投放廣告軟體,但用戶仍不能掉以輕心,因為,攻擊者可利用這款惡意軟體,在受害電腦植入其他的惡意程式,以進行第二階段的攻擊行動。

變種Facestealer竊密程式鎖定手機用戶,截取臉書帳密或假藉挖礦服務洗劫加密貨幣錢包

駭客透過應用程式市集提供手機App為由,來散布惡意軟體的情況近期時有所聞,且用戶可能難以分辨。趨勢科技最近偵測到逾200款安卓竊密軟體Facestealer變種,攻擊者企圖用來竊取受害者的臉書帳密,或是宣稱提供挖礦服務,來騙取受害者的錢包私鑰或是通關密語(Seed Words)。

針對竊取臉書帳密的惡意軟體,駭客將其偽裝成VPN軟體、相機應用程式,或是健身軟體等,其共通點是在受害者首度啟動App時,便會要求他們登錄臉書帳號才能使用,進而透過JavaScript程式碼側錄用戶輸入的資料,此外,這些應用程式也會藉由收集Cookie,拼湊個人身分資料並加密,再傳送到攻擊者的伺服器。

而研究人員也發現了超過40款宣稱提供雲端挖礦服務的App,一旦受害者啟動了App,駭客就會要求輸入私鑰來連接錢包,以便將挖取的加密貨幣匯入,但他們同時要求受害者收款的錢包至少要有100美元的加密貨幣,並佯稱提供新用戶0.1個以太幣獎勵,以吸引受害者連結多個錢包。值得留意的是,這些App大多成功上架到Google Play市集,且有部分被安裝超過十萬次,受害者可能相當廣泛。

美國汽車製造商通用遭到帳號填充攻擊,導致車主資料外洩

先前有駭客針對航空公司的里程點數下手,入侵旅客的帳號,但最近汽車產業走向數位轉型,有些車廠藉由提供車主保養記錄,並搭配消費贈送紅利點數的制度,長期經營客戶,有人鎖定上述汽車製造商提供車主的系統發動攻擊。

美國汽車製造商通用(General Motors,GM)自5月16日開始,開始發送電子郵件通知部分車主,他們的GM帳號可能在4月11日至29日之間,出現異常登入的情形,而且,這些車主的紅利點數疑似遭到盜用。

經過調查後發現,車主外洩的資料包含了姓名、電子郵件帳號、照片、搜尋記錄、累積點數的記錄等,不包括生日、社會安全碼、駕照、金融資訊。該公司察覺此事後已停用這些帳號的點數功能,並要求用戶重設密碼。

而對於此事造成的原因,GM指出駭客是透過帳號填充(Credential Stuffing,亦稱撞庫)攻擊而得手,藉由車主已遭外洩的其他網站應用程式帳密,嘗試存取GM網站,他們呼籲用戶,不要在多個服務使用相同的帳號和密碼,讓攻擊者有機可乘。根據資安新聞網站Bleeping Computer的報導指出,GM的車主網站未提供雙因素驗證機制,也是這起事件之所以發生的另一項原因。

美高梅度假村外洩1.4億筆資料出現在Telegram頻道供人下載

駭客透過加密通訊軟體Telegram的頻道,來洩露竊得資料的情況,有可能讓許多人能夠進行濫用。例如,美高梅度假村(MGM Resorts)於2020年上半傳出資料外洩,駭客在地下市集以2,900美元的價格,出售逾1.42億筆住宿資料,但最近這些資料傳出有人透過即時通訊軟體免費散布。

VPN服務介紹網站vpnMentor的資安研究人員於5月22日表示,他們看到駭客在Telegram的頻道裡,免費提供上述外洩的資料,這些資料的檔案大小約8.7 GB,共有142,479,938筆住房記錄,至少有3千萬房客受到波及。這些資料的內容,包含了2017年以前的資料,內有房客全名、生日、地址、電子郵件信箱、電話號碼等。

不過,上述事故並非駭客首度透過Telegram公布竊得的資料,在今年5月上旬,有人透過Telegram頻道散布2,100萬名VPN用戶的個資,這些服務包含了SuperVPN、GeckoVPN,以及ChatVPN。

攻擊者利用PDF檔案散布惡意程式Snake Keylogger

駭客濫用PDF檔案發動攻擊的情況,雖沒有Office巨集檔案氾濫,但使用者仍不能掉以輕心,因為有人同時結合PDF檔案和Office巨集文件檔案出手。HP旗下的威脅情報團隊發現散布竊密軟體的攻擊行動,駭客近期利用名為匯款發票的名義,透過釣魚郵件挾帶有問題的PDF檔案,一旦收信人開啟,Adobe Reader就會要求載入一個DOCX檔案,駭客刻意將該文件檔名命名為「已經通過驗證」開頭,而使得對話框內容看起來像是「這個檔案已經通過驗證」,讓對方降低戒心依照指示開啟檔案並啟用巨集。

一旦巨集啟用後,DOCX檔案就會下載RTF檔案,進而利用方程式編輯器已知漏洞CVE-2017-11882,在受害電腦部署Shell Code,最終下載竊密軟體Snake Keylogger。研究人員指出,駭客在攻擊行動中利用了4年前被公布的漏洞,代表上述漏洞仍能有效發動攻擊。

攻擊者以提供Windows 11更新的名義散布竊密軟體Vidar

微軟自去年底推出Windows 11後,有攻擊者以免費提供相關的安裝工具來發動攻擊。例如,資安業者Zscaler最近發現,有人架設假的Windows 11網站,來散布名為Vidar的竊密軟體,駭客使用了與此作業系統名稱相關的網域(如:ms-win11[.]com)讓受害者難以察覺有異。

這些網站提供ISO映像檔下載,且檔案相當大,超過300 MB,研究人員指出駭客這麼做的目的,是為了規避防毒軟體偵測,而該映像檔內容含有EXE可執行檔,並冒用防毒業者Avast的過期簽章,來源疑似是2019年系統清理軟體CCleaner遭駭所洩露的簽章。研究人員分析後發現,實際的檔案大小只有3.3 MB,其餘為駭客填充的內容。

一旦受害者執行該EXE檔案,電腦就會被植入Vidar,該竊密程式會從建置於加密即時通訊軟體Telegram、社群網站Mastodon伺服器的C2中繼站下載程式庫,進而竊取上網應用程式與網頁瀏覽器的資料。研究人員發現,這些駭客也以免費提供Adobe Photoshop的名義散布Vidar,他們呼籲使用者要從開發者的網站下載軟體。

網路間諜公司在2021年利用5個零時差漏洞對安卓手機植入惡意軟體

間諜軟體Pegasus被植入iPhone手機,用於跟蹤政要、記者、民運人士的情況不時有消息傳出,但也有其他間諜軟體鎖定安卓手機下手的情況。根據Google的威脅情報小組(TAG)的統計,網路間諜公司Cytrox於2021年至少運用了5個安卓作業系統的零時差漏洞,其中有4個與Chrome有關(CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003),目的就是為了在受害人的手機植入間諜程式Predator。

研究人員指出,這家網路間諜公司的客戶很可能在埃及、亞美尼亞、希臘、馬達加斯加、西班牙等國家。值得留意的是,該公司在零時差漏洞之外,也看上安卓生態圈部署更新檔案的時間落差,運用了尚待手機廠商推送修補程式的已知漏洞(N day)。研究人員正積極跟蹤逾30家專門向政府出售相關漏洞的供應商。

曝露於網際網路的資料庫於自2021年開始不斷增加

隨著這幾年疫情的蔓延,遠距工作成為常態,使得企業的網路環境變得更加複雜,而可能使得曝露在網際網路上的資料庫大幅增加。資安業者Group-IB指出,他們在2021年共發現了30.8萬個曝露的資料庫,且自2021年第1季開始幾乎不斷增加,而這樣的情況到了今年第1季更加惡化,新增了9.1萬個資料庫。而對於這些資料庫的類型,研究人員發現,近4成是Redis,其次是MongoDB和Elastic,而根據這些資料庫位於的國家來看,主要是美國,中國次之。

 

【烏克蘭戰爭】

美國、英國、歐盟提出證據並指控俄羅斯是衛星網路Ka-Sat攻擊事件的幕後黑手

美國衛星網路Ka-Sat於俄羅斯進軍烏克蘭當日(2月24日),就遭遇到駭客攻擊而癱瘓,美國衛星通訊業者Viasat於3月底公布調查結果,資安業者SentinelOne隨後揭露駭客所使用的惡意程式,而此事到了最近又有新的進展。美國、英國、歐盟紛紛於5月10日指控,根據他們所掌握的情報,此起網路攻擊是俄羅斯所策畫,目的是為了擾亂烏克蘭軍隊的指揮與聯繫,以利俄羅斯軍隊的武裝行動。

但這起網路攻擊同時也波及德國的風力發電,並對於其他歐洲國家造成影響,突顯俄羅斯在網路空間為所欲為,完全不考慮可能會危及其他國家的情況。對此,歐盟正考慮採取進一步的措施來防範類似的攻擊行為,亦表明會對烏克蘭提供必要的資源,來強化該國的網路韌性。

俄羅斯駭客Killnet攻擊義大利政府多個機關的網站

多個國家於4月下旬提出警告,俄羅斯駭客不再完全集中火力攻擊烏克蘭,而是打算報復曾經援助烏克蘭的國家,攻擊他們的關鍵基礎設施(CI),這樣的情況如今真實上演。根據資安新聞網站Infosecurity Magazine的報導指出,義大利警方於5月20日表示,俄羅斯駭客組織Killnet約於當地時間19日晚間8時發動攻擊,導致約50個政府機關的網站無法運作,這些受害的單位包含了義大利最高司法委員會、外交部、教育部等,且攻擊行動到20日下午仍在進行。

但此起網路攻擊事故已非Killnet第一次對該國下手──該組織曾於11日宣稱對義大利參議院、上議院、國家健康研究所(ISS)等政府機關的網站發動攻擊,癱瘓這些網站運作;義大利警方於5月15日宣布,他們於10日成功攔截該組織對歐洲歌唱大賽的攻擊行動。

駭客竄改俄羅斯勝利日的電視節目表,並攻陷當地影音串流平臺RuTube

俄羅斯總統普丁於5月9日的「勝利日」發表談話,並舉行閱兵典禮,但在同一天駭客也針對該國的新聞媒體出手,竄改網站上的節目表內容。根據資安新聞網站Bleeping Computer報導,英國廣播公司記者Francis Scarr發現,有人在當天早上對Russian TV網站上的電視節目表內容動了手腳──大部分節目名稱,被換成:「你的雙手流著數以千計烏克蘭人的血,數百名孩童被謀殺,電視臺和當局正在說謊。請對戰爭說不。」上述遭到竄改的節目表內容,也被Google與Yandex搜尋引擎轉載,間接散播到搜尋該電視臺節目表資訊的用戶。

除了電視臺的網站,駭客也癱瘓俄羅斯的影音串流平臺RuTube,該網站也發布公告表明遭到網路攻擊,並強調用戶上傳的影響與資料不受影響。究竟這兩起與勝利日時間點相當巧合的攻擊行動,背後的攻擊者是該國內部反戰人士,還是其他國家的駭客組織,目前仍不得而知。

CrowdStrike的Docker蜜罐發現兩個可能引發阻斷服務的映像檔,疑似鎖定俄羅斯、白俄羅斯政府機關

烏克蘭戰爭開打至今,雙方的網路攻擊行動也不斷出現,但最近駭客的攻擊手法發生了變化。資安業者CrowdStrike近日指出,他們在2月27日至3月1日之間,看到疑似是烏克蘭政府發起的IT軍隊(UIA),利用曝露於網路的Docker引擎API,向俄羅斯與白俄羅斯24個政府機關、新聞網站,發動分散式阻斷服務(DDoS)攻擊。

這些駭客了上傳兩個Docker映像檔到Docker Hub,若有人去下載、部署這些映像檔,可能會啟動相關的攻擊,上述兩個檔案目前已被下載超過15萬次。

俄羅斯駭客APT29濫用工作行程安排平臺Trello發動攻擊

俄羅斯駭客鎖定外交單位發動攻擊的情況,也開始採用更為隱密的手段進行。資安業者Mandiant自1月中旬,發現俄羅斯駭客APT29的釣魚郵件攻擊,鎖定數個外交單位與政府機關而來。攻擊者假借大使官行政通知的名義,並冒用合法的電子郵件信箱寄信,挾帶名為Rootsaw的HTML投放器,以HTML挾帶(HTML Smuggling)的方式,投放IMG或ISO光碟映像檔到受害電腦,而這個映像檔的內容是Windows連結(LNK)檔案與惡意DLL程式庫。一旦受害者點選LNK檔案,便會觸發Beatdrop、Boommic下載器來攻擊受害電腦。

研究人員指出,他們觀察這些駭客在初始入侵不久後,12小時之內取得網域管理員的權限,最終投放了Cobalt Strike的Beacon。研究人員指出,這些駭客為了規避資安系統的偵測,他們利用工作管理平臺Trello架設C2中繼站,而在去年攻擊行動中,這些駭客曾濫用應用程式開發平臺Firebase、檔案共用服務Dropbox。

俄羅斯駭客針對羅馬尼亞政府發動DDoS攻擊

俄羅斯駭客不只針對烏克蘭發動網路攻擊,也鎖定援助烏克蘭的其他國家下手。羅馬尼亞情報局(SRI)於4月29日發出公告指出,從當地時間凌晨4時開始,該國與金融機構的一系列網站遭到分散式阻斷服務(DDoS)攻擊,駭客利用羅馬尼亞境外的網路設備發動攻擊,攻擊者的身分是俄羅斯駭客Killnet。該駭客組織坦承是他們發起的攻擊行動,並指出原因是羅馬尼亞眾議院主席馬塞爾·喬拉庫(Marcel Ciolacu)近期發表的聲明提及,該國將盡其所能,提供烏克蘭包含武器在內的各式援助。

駭客以軍事情報為幌子寄送釣魚郵件,向烏克蘭人散布竊密軟體Jester Stealer

俄羅斯軍隊傳出在發動攻擊的過程使用生化武器,引起烏克蘭民眾的恐慌,有駭客假借提供俄羅斯軍隊攻擊情報的名義來進行網路攻擊。烏克蘭電腦緊急應變小組(CERT-UA)近日提出警告,有人假借提供俄羅斯軍隊即將使用化學武器攻擊的時間點,發動釣魚郵件攻擊,郵件裡挾帶了含有巨集的Excel附件,一旦收信人開啟檔案,此巨集將會從遠端下載竊密程式Jester Stealer的可執行檔(EXE),並在受害電腦上執行。該單位指出,駭客將竊密程式上傳到已遭入侵的網站,藉此埋藏駭客的基礎設施。

一旦受害電腦感染Jester Stealer,瀏覽器、收信軟體、即時通訊軟體的資料,將會透過AES-CBC-256的加密連線,透過洋蔥網路(Tor)伺服器回傳到駭客手上,攻擊者再用於其他攻擊行動或是在黑市出售。

俄羅斯勒索軟體駭客LockBit攻擊保加利亞難民收容機構

隨著烏克蘭戰爭的情勢對於俄羅斯越來越不利,原本表態不涉及政治的駭客組織也參與了攻擊行動。根據新聞網站CyberScoop的報導,勒索軟體駭客組織LockBit於5月4日宣稱,他們已經攻陷保加利亞政府收留難民的機構國家難民署,並打算在9日公布從該單位竊得的資料,但該組織是否索討贖金不得而知。由於保加利亞政府已經收留逃離家園的數十萬名烏克蘭難民,此次攻擊事件很可能會涉及難民的人身安全。保加利亞國家難民署也在網站上發布公告,表示他們的電子郵件信箱因為網路問題,暫時無法使用。

由於LockBit在俄羅斯開始向烏克蘭出兵的時候,表態他們以經濟利益為主要目標,對於此事保持中立態度,沒有打算力挺俄羅斯或是烏克蘭,此起攻擊事件顯然打破該組織不插手烏克蘭戰爭的承諾。

駭客組織NB65聲稱入侵俄羅斯支付平臺Qiwi,但遭到否認

與匿名者(Anonymous)有關的駭客組織NB65,最近再度對俄羅斯出手,這次他們於5月1日宣稱,攻擊了俄羅斯支付業者Qiwi,取得10.5 TB資料,內容包含了3千萬筆付款記錄,以及1250萬張信用卡,並透過勒索軟體加密該業者的網路環境。由於Qiwi的業務範圍橫跨俄羅斯與獨立國家國協(CIS),這些駭客表示,他們發動攻擊的動機,就是要癱瘓俄羅斯的金融系統,並揚言若是Qiwi不予理會,將會在3天之後每日公布100萬筆記錄。

後來,NB65於5月5日發布了2個檔案下載連結,並宣稱內含700萬個信用卡卡號,以及完整的付款記錄。針對這起攻擊事件,Qiwi向俄羅斯官方媒體塔斯社(TASS Russian News Agency)否認此事,並表示付款服務皆正常運作。

烏克蘭發動DDoS攻擊,鎖定俄羅斯酒品供應鏈

烏克蘭戰爭開打後,俄羅斯大型企業也接連遭到聲援烏克蘭的駭客攻擊,而可能會波及俄羅斯的民生。根據俄羅斯新聞網站Vedomosti的報導指出,烏克蘭IT軍隊、提供攻擊俄羅斯DDoS工具的業者DisBalancer,兩個組織疑似在5月2日至3日,癱瘓了俄羅斯的酒品會計資訊系統EGAIS,其中一家生產烈酒的公司員工向Vedomosti透露,該公司在5月2日發現部分系統出現異常,隔日災情持續擴大。而這起DDoS事故影響了當地伏特加、葡萄酒,以及其他酒精飲料的出貨,導致這些供應商無法將這些貨物送至物流中心配送。雖然俄羅斯政府聲稱,EGAIS出現故障與酒精飲料需求大增有關,而非遭到網路攻擊,但後續情況有待觀察。

中國駭客鎖定俄羅斯航太產業下手,植入多種惡意軟體

中國與俄羅斯之間的關係匪淺,被認為彼此交好,而在烏克蘭戰爭尚未落幕的此刻,中國駭客鎖定俄羅斯攻擊行動,近期竟時有所聞,而最近更鎖定該國的航太產業下手。

資安業者Positive Technologies指出,他們從去年夏天開始,發現名為Space Pirates的中國APT駭客組織從事的間諜行動,該組織自2019年對於俄羅斯4個實體下手,並使用了相同的惡意軟體與基礎設施,其中兩起行動涉及該國政府參與的俄羅斯企業。

研究人員指出,其中一起攻擊行動裡,駭客在10個月內接連存取20臺伺服器,竊取逾1,500份文件,以及員工個資等敏感資料;而在另一起攻擊事件中,駭客停留在受害組織的網路超過一年,並進行竊密的工作,同時將惡意軟體安裝到3個分公司、12個網路節點。

而這些駭客所使用的惡意軟體,包含了多個中國駭客組織採用的PlugX、ShadowPad等,以及3個過往未曾出現過的Deed RAT、BH_A006,以及MyKLoadClient,它們分別被用於竊密、繞過資安防護系統,以及透過DLL側載惡意程式。

勒索軟體Chaos破壞受害電腦檔案,並表達力挺俄羅斯的訴求

自烏克蘭戰爭開打以來,許多駭客組織表態支持的對象,而最近又有勒索軟體組織藉由攻擊行動表達政治訴求。資安業者Fortinet指出,他們近期發現勒索軟體Chaos的攻擊行動,該勒索軟體在執行後會先盤點所有磁碟機上的檔案,估算檔案大小、進行分類,對於大部分的檔案,會產生20字元長度的密碼,並使用AES-256-CBC加鹽的演算法進行加密,而對於大於2,117,152位元的檔案,則是寫入隨機資料破壞,但另一部分引起研究人員注意的是,這些檔案加密後的副檔名變成了f**kazov,azov很可能指的是烏克蘭國民警衛隊的特種作戰部隊「亞速營」。

而在加密檔案後,駭客也透過名為stop_propaganda.txt的檔案留下勒索訊息,但這個訊息與過往的攻擊事故相當不同:他們呼籲停止烏克蘭戰爭,大家不值得為像小丑一樣的烏克蘭總統澤倫斯基而死,並要求受害者閱讀特定網站了解真相。內容完全沒有提及贖金,也沒有聯絡攻擊者的管道。受害者難以復原電腦上的資料。

俄羅斯駭客Sandworm利用惡意軟體Arguepatch變種,投放作案工具

日前俄羅斯駭客Sandworm曾利用資料破壞軟體CaddyWiper、操弄工控系統的惡意軟體Industroyer2,對烏克蘭的關鍵基礎設施(CI)下手,但這些駭客在投放上述攻擊工具的過程中,也透過惡意軟體投放器(Malware Dropper)來減少被察覺的機會。資安業者ESET指出,他們與烏克蘭電臘緊急應變小組(CERT-UA)聯手,發現新的惡意軟體ArguePatch變種,駭客透過ESET的可執行檔案來隱匿ArguePatch的行蹤,將這個變種惡意軟體用來投放上述的CaddyWiper、Industroyer2等作案工具,研究人員指出,有別於過往出現的ArguePatch,新的變種不再使用Windows工作排程器安排下一階段的攻擊行動,而使得相關蹤跡更難被察覺。 

俄羅斯駭客Turla對愛沙尼亞、奧地利進行偵察

先前Google的威脅情報小組(TAG)於3月下旬提出警告,俄羅斯駭客開始鎖定烏克蘭週邊的東歐與北約國家下手,進行網路釣魚與惡意軟體攻擊,這樣的情況延續到5月,有資安業者提出進一步分析。資安業者Sekoia於5月23日指出,他們根據TAG提及的俄羅斯駭客攻擊行動裡,所使用駭客組織Turla的基礎設施進行調查,結果發現,這些駭客鎖定的對象,是位於波羅的海的軍校Baltic Defence College(BALTDEFCOL),以及奧地利聯邦經濟商會Wirtschaftskammer Österreich(WKO)。

前者是位於愛沙尼亞的軍事學院,由愛沙尼亞、拉脫維亞,以及立陶宛共同經營,是波羅的海的戰略研究中心,且經常舉辦北約與歐洲官員的會議;後者是在烏克蘭戰爭中保持中立的奧地利組織。研究人員認為,駭客攻擊軍校的目的,很可能是為了要打聽這些歐洲國家接下來打算採取的行動;而針對奧地利聯邦經濟商會的部分,則疑似是探聽奧地利組織對於俄羅斯的看法。

再者,前述提及Turla用於攻擊行動的網域裡,存在名為War Bulletin 19.00 CET 27.04.docx的惡意Word檔案,該檔案內嵌了PNG圖檔,但沒有網釣攻擊裡會出現的惡意程式碼或是巨集,研究人員認為,攻擊者主要的工作很可能在於偵察。

駭客組織匿名者攻陷俄羅斯組織Killnet

俄羅斯駭客組織Killnet自5月初開始,針對義大利多次發動網路攻擊,癱瘓該國政府機關的網站,現在有聲援烏克蘭的駭客開始對該組織出手。根據資安新聞網站Infosecurity Magazine的報導,駭客組織匿名者(Anonymous)於22日宣稱,他們將對Killnet發起網路攻擊,接下來就讓對方的網站Killnet.ru離線。這是該組織在3月上旬聲稱竊得俄羅斯聯邦機構逾36份機密檔案後,他們再度公布攻擊俄羅斯的相關行動。

中國駭客假冒俄羅斯聯邦衛生部,攻擊國防研究機構

中國與俄羅斯關係匪淺,但在中國政府遲遲沒有具體表明烏克蘭戰爭的立場下,近期卻不斷傳出該國駭客攻擊俄羅斯的情況。例如,資安業者Check Point揭露他們在上個月發現的Twisted Panda攻擊行動,中國駭客組織APT10(亦稱Cicada、Stone Panda)與Mustang Panda(亦稱HoneyMyte、RedDelta)聯手,針對俄羅斯國防公司Rostec旗下的兩個研究機構,以及位於白俄羅斯明斯克的實體下手,這些駭客假冒俄羅斯聯邦衛生部(Russian Ministry of Health),並以美國對當地企業進行制裁的名義,發動釣魚郵件攻擊,挾帶含有惡意內容的Word檔案。

一旦收信人開啟,該文件就會從外部下載DOTM範本檔案,而這個Word範本內含的巨集程式碼則會從作業系統核心導入API函數並使用,進而載入名為cmpbk32.dll或cmpbk64.dll的程式庫,並在受害電腦植入後門程式Spinner。

研究人員指出,根據他們進一步調查的結果,這些攻擊工具約從2021年3月開始開發,並採用進階的規避偵測手法,像是透過記憶體內多層載入,或是編譯器層級的混淆手法等,很可能約自2021年6月就用於攻擊行動。

中國駭客發起多次釣魚郵件攻擊,意圖對俄羅斯散布木馬程式

隨著烏克蘭戰爭的進行,有中國駭客暗中向俄羅斯政府發動攻擊,散布惡意軟體。資安業者Malwarebytes指出,他們從2022年2月至4月,發現疑似中國駭客發動了至少4次的網路釣魚攻擊,目的是向對方散布RAT木馬程式。

第一起攻擊行動出現在俄羅斯入侵烏克蘭數日後,駭客以提供互動式的烏克蘭地圖為誘餌,想要引誘收信人上當;第二波攻擊行動中,駭客針對俄羅斯聯邦數位發展局、電信業者、聯邦大眾通訊部,宣稱提供Log4Shell漏洞修補程式,其中大部分釣魚郵件寄到了當地國有電視臺RT。

而在第三起攻擊行動裡,這些駭客針對該國國防企業Rostec出手,並設置Rostec.digital網站、Instagram與臉書帳號,想要讓開啟信件的人認為真有這家公司;最後一起則是假冒沙烏地阿拉伯國家石油公司(Saudi Aramco)發出徵才訊息,並引誘收信人打開Word附件檔案後啟用巨集。

研究人員指出,駭客透過控制流程扁平化(Control Flow Flattening)的手法,來混淆木馬程式的惡意內容,而使得這些駭客的意圖不易被察覺。

 

【勒索軟體攻擊】

哥斯大黎加遭到勒索軟體Conti攻擊,宣布進入緊急狀態

哥斯大黎加政府的基礎架構於4月下旬,傳出遭到勒索軟體Conti攻擊,影響該國財政部、勞動部等機關,駭客索討千萬美元贖金遭到該國政府拒絕。然而,這起事故引發的效應似乎在持續擴大當中。該國新任總統羅德里戈.查韋斯(Rodrigo Chaves)於5月8日上任當日簽署42542號行政命令,宣布全國將進入緊急狀態,原因是勒索軟體Conti仍在持續發動攻擊。

資安新聞網站Bleeping Computer指出,這些駭客宣稱竊得672 GB資料,目前對外洩露的比例約為整體內容的97%,根據該新聞網站分析,這些外洩的資料波及該國的財政部、勞動部(MTSS)、社會發展暨家庭津貼基金(FODESAF)、阿拉胡埃拉校際總部(SIUA)等。

勒索軟體Conti提高對哥斯大黎加的贖金,煽動推翻政府

勒索軟體Conti於4月下旬攻擊哥斯大黎加政府,使得該國新任總統於5月8日上任隨即宣布全國進入緊急狀態,而這起事件最近又有了新的進展。根據資安新聞網站Recorded Future的報導,勒索軟體駭客約於5月15日,將贖金從原先的1千萬美元加倍為2千萬美元,並煽動該國民眾叫政府趕快支付贖金,揚言若不給錢,將於7天內刪除解密金鑰,這可能意味著連駭客自己也沒辦法解開遭加密的檔案。

此外,這些駭客也宣稱,他們這麼做的目的是要透過網路攻擊,來推翻新總統的政權。自先前遭到勒索軟體攻擊後,哥斯大黎加政府目前仍尚未恢復正常運作,該國財政部於5月13日表示,報稅需人工計算,且民眾必須透過銀行繳納。

勒索軟體Conti停止營運,駭客成立多個組織,另起爐灶

先前有資安人員發現,勒索軟體Black Besta可能就是Conti東山再起,現在有資安業者揭露更多跡象。威脅情報業者Advanced Intelligence(AdvIntel)指出,駭客於5月19日終止使用勒索軟體Conti的品牌,僅留下羞辱受害者的部落格Conti News,但該組織提供駭客上傳要脅受害者資料,以及讓受害者付款的相關功能皆已失效。

研究人員發現,有別於先前其他駭客組織直接淡出網路犯罪生態圈,Conti背後的駭客已是早有預謀──這些駭客因烏克蘭戰爭開打時表態聲援俄羅斯,導致歐美國家封殺他們收取贓款的管道,該組織領導者就已經策畫要分散成多個較小的組織,包含KaraKurt、BlackByte、Black Basta等,來掩人耳目,但這些駭客在移轉的同時,也試圖讓外界認為Conti仍在運作。

首先,是該組織以排程的方式,持續公布從受害組織竊得的資料,再者,這些駭客策畫了一場大型攻擊行動來引起外界關注,那就是針對哥斯大黎加於4月中旬的事故──外傳駭客向該國政府索討1千萬美元贖金,一個月後更提高價碼到2千萬美元。但根據研究人員的追蹤後發現,該組織高層的目的並非贖金,而是要讓外界眾所周知Conti的存在,且根據成員的對話記錄,駭客向對方提出的贖金遠低於百萬美元;此外,該組織亦相當罕見地在對外聲明裡加入政治論點(例如,在提高贖金時指控美國是地球的癌症)。而他們這麼做的目的,就是讓關鍵成員轉換到其他組織之後,不致直接遭到執法單位圍剿。

勒索軟體Black Basta竄改傳真服務並在安全模式執行

在上個月首度出現的勒索軟體Black Besta,傳出很可能是駭客組織Conti成員另起爐灶,有資安業者揭露其攻擊手法的獨特之處。資安業者Minerva指出,攻擊者想要利用Black Besta加密檔案,必須要使用管理員的身分執行,若是透過一般的使用者權限,則不會發動攻擊。

研究人員發現,該勒索軟體開始執行後,不只會刪除磁碟區陰影複製(Volume Shadow Copy)的備份檔案,還會企圖竄改受害電腦已經存在的傳真服務(先刪除再建立相同名稱的服務),然後透過安全模式重新開機,並啟用上述的服務再度執行勒索軟體──先枚舉所有的磁碟機並逐一加入勒索訊息,然後占用大部分處理器的資源來加密所有檔案。研究人員指出,因為勒索訊息與公鑰都是針對特定組織而來,使得每個受害組織出現的Black Basta都不盡相同。

Avast防蠕蟲元件遭到勒索軟體AvosLocker濫用,用於停用防毒軟體,並掃描Log4Shell漏洞

勒索軟體駭客不只是會加密電腦的檔案,還會探測受害組織是否存在Log4Shell漏洞。趨勢科技最近偵測到勒索軟體AvosLocker的攻擊行動,駭客疑似先利用Zoho ManageEngine ADSelfService Plus的漏洞CVE-2021-40539,入侵受害組織,然後從C2伺服器下載HTML應用程式檔案(HTA)並執行,這個HTA檔案將會觸發含有Shell Code的PowerShell程式碼,並連線到C2中繼站接收指令。接著,駭客透過PowerShell的處理程序,下載ASPX檔案格式的Web Shell,並收集伺服器上的系統資訊,然後下載遠端桌面軟體AnyDesk,藉此讓駭客通過防火牆進行控制,並下載作案工具。

值得留意的是,他們濫用Nmap掃描受害組織的Log4Shell漏洞,並藉由Avast Anti-Rootkit的驅動程式檔案(asWarPot.sys)來關閉受害主機上的防毒軟體,然後執行勒索軟體。而對於上述防蠕蟲工具遭到濫用的情形,Avast表示,相關漏洞已於2021年6月修補,他們也與微軟合作,微軟已在Windows 10與11封鎖Avast的舊版驅動程式。

劫富濟貧?以慈善之名道德勒索被攻擊者?勒索軟體GoodWill要求受害者向貧民捐輸,以換取解密金鑰

勒索軟體駭客往往要求受害者支付贖金,以換取解密金鑰,但也有駭客要求對方從事公益活動來換取。資安業者CloudSEK指出,他們在今年3月發現名為GoodWill的勒索軟體攻擊行動,而這些駭客最引起研究人員注意的地方,在於提供受害者解密金錀的條件,他們要求對方必須依照指示幫助窮人,然後在臉書、Instagram、WhatsApp等社群網站上公開發布相關訊息。

這3件事分別是為無家可歸的人士提供新衣服、帶5個貧窮的兒童到速食店(達美樂、必勝客、肯德基擇一)飽餐一頓,以及為需要緊急醫療的窮人支付相關費用。受害者完成上述要求後,還必須在社群網站上發布訊息,表明自己因為遭到勒索軟體GoodWill攻擊後,依照駭客的要求成為願意幫忙他人的人士。如此一來,駭客就有可能會提供給他們可復原檔案的解密金錀。

根據研究人員的調查,駭客很可能來自印度,GoodWill疑似修改自土耳其開發者的勒索軟體HiddenTear,入侵受害電腦後會休眠722.45秒來干擾端點防護系統的分析,並使用AES演算法加密檔案,此外,該勒索軟體還會檢查受害電腦的地理位置。

勒索軟體REvil重出江湖,研究人員發現新的惡意軟體檔案

之前已有研究人員發現勒索軟體REvil疑似東山再起的跡象,駭客重新恢復其公告受害者的網站運作,如今又有了新的進展。根據資安新聞網站Bleeping Computer的報導,資安研究員R3mrum、Advanced Intelligence執行長Vitali Kremez、Avast研究員Jakub Kroustek等多名資安研究人員,不約而同發現新的REvil勒索軟體檔案。

R3mrum指出,使用新版勒索軟體的駭客擁有原始碼,但目前的檔案不會執行加密;Vitali Kremez則表示,這個勒索軟體在4月26日編譯完成,並具備針對特定受害者的驗證機制;Jakub Kroustek則是指出,他們偵測到疑似是REvil變種的勒索軟體,組態配置與受害者ID都有所不同,目前並不會加密檔案,但會向受害者索討42個比特幣(BTC)的贖金。

北韓駭客Lazarus利用多種勒索軟體發動攻擊

因攻擊銀行而惡名昭彰的北韓駭客組織Lazarus(亦稱APT38、Hidden Cobra),有研究人員發現,這些駭客最近2年疑似也透過勒索軟體來牟利。資安業者Trellix指出,他們發現Lazarus的成員運用勒索軟體VHD的跡象,進一步分析與比對後,發現該組織還有利用Beaf、PXJ、ZZZZ、ChiChi等多款勒索軟體,這些勒索軟體共用部分程式碼,其中又以Beaf和ZZZZ的相似程度最高。

這些駭客鎖定的目標,很可能是亞太地區的實體,不過,研究人員提及,其中發生在2020年的一起攻擊行動中,駭客只收到2.2個比特幣(時價約2萬美元),獲利並不高,研究人員認為,上述的勒索軟體攻擊事故,很可能是大型攻擊行動的一部分。

美國林肯學院因勒索軟體攻擊被迫閉校

學校在疫情中苦撐,若是再遇到勒索軟體攻擊,很可能將是壓倒校方的最後一根稻草,讓經營者不得結束學校的運作。位於美國伊利諾州的林肯學院(Lincoln College)近日發布公告,該校在經歷了這兩年的武漢肺炎大流行,再加上去年12月的勒索軟體攻擊事故,導致校方決定於今年5月13日關閉學校,結束長達157年的運作。林肯學院指出,這起勒索軟體攻擊事故導致該校網站停擺,招生、募款相關系統亦無法運作,直到今年3月才完全復原,此時發現今年秋季招生將不如預期,將即使他們透過募款、出售資產等方式調度資金,該校財務狀況仍不見起色,迫使他們不得不做出上述的決定。

美國農業設備製造商AGCO遭勒索軟體攻擊

美國日前才針對農業單位提出警告,勒索軟體駭客會利用耕作關鍵時機來對於合作社下手,但最近有生產相關設備的業者也成為受害者。美國農業設備製造商愛科(AGCO)於5月6日發布新聞稿證實,他們於5月5日遭到勒索軟體攻擊,部分的生產設施受到影響,預計影響接下來幾天的營運,但不確定恢復服務的時間。

該公司對於遭到攻擊的原因沒有進一步說明。但愛科旗下的農業基金會(AAF)在5日宣布對烏克蘭捐款5萬美元,這筆錢將用於為當地農民購買種植蔬菜的種子,這起攻擊事件很有可能是俄羅斯駭客對於愛科向烏克蘭提供援助的報復行動。

日本服飾業者思夢樂傳出遭勒索軟體LockBit 2.0攻擊

鎖定日本企業的勒索軟體事件最近已有數起,先前有汽車大廠Toyota的零件供應商小島工業(Kojima Industries)、電綜(Denso)受害,而如今這樣的攻擊也出現在服飾業。根據NHK、讀賣新聞、Yahoo!新聞等多家日本新聞媒體於5月10日的報導,日本服飾業者思夢樂(Shimamura)於黃金周假期(4月29日至5月5日)遭到了勒索軟體攻擊,NHK亦指出發動攻擊的勒索軟體是LockBit 2.0。

思夢樂也在11日證實,他們於5月4日晚間遭到網路攻擊,導致隔日全日本2,200家門市無法提供現金以外的付款方式,門市沒有現貨的產品也無法訂貨,到了6日,所有門市的非現金付款機制恢復正常。該公司尚未發現客戶或員工個資外洩的情形。根據Yahoo!新聞於12日的報導指出,LockBit 2.0於9日宣稱竊得思夢樂逾16 GB的資料,並要求該公司於16日前支付贖金,否則就要洩露這些資料。

伊朗駭客利用Windows內建的磁碟加密工具,對美國組織發動勒索軟體攻擊

駭客利用Windows作業系統內建的BitLocker來加密檔案,這種攻擊手法已有前例,但最近又有類似的攻擊事故發生。資安業者Secureworks指出,他們觀察到名為Cobalt Mirage的伊朗駭客組織,於今年的1月、3月,分別對於美國慈善機構與地方政府發動的攻擊行動,其共通點是使用Windows作業系統內建的BitLocker,或是開放原始碼的DiskCryptor。

值得一提的是,這兩起攻擊事件駭客入侵的管道,前者為利用Fortinet SSL VPN與Exchange伺服器漏洞,後者則是透過VMware Horizon的Log4Shell漏洞,因此研究人員指出,在加密檔案的手法以外,駭客嘗試以不同的途徑來發動攻擊。

日經新聞遭到勒索軟體攻擊

勒索軟體駭客攻擊的對象,近期也盯上了東亞新聞媒體。日經新聞於5月19日公布,他們新加坡辦公室的一臺伺服器主機,於5月13日遭到勒索軟體攻擊,該公司當日察覺異狀後已關關此伺服器,並採取相關回應措施。該公司表示他們正在了解攻擊的情況與受害範圍,並指出遇害的伺服器有可能存放客戶的資料,但目前尚未發現資料外洩的跡象。

航空液壓設備製造商傳出遭勒索軟體Conti攻擊

勒索軟體Conti攻擊航空產業的事故再添一樁。根據資安新聞網站Bleeping Computer的報導,專精航空液壓設備的派克漢尼汾(Parker Hannifin)於5月16日證實,他們在3月11日至14日,遭到未經授權存取內部資訊系統的攻擊行動,經過調查後於5月12日向資料可能遭到外洩的人士發出電子郵件通知,並承諾提供兩年的身分竊盜保險。

關於攻擊者的身分來歷,駭客組織Conti於4月1日表明是他們所為,並於4月20日公布竊得的419 GB資料,該新聞網站認為,駭客有可能取得機密程度極高的設計圖,有可能讓取得相關資料的競爭對手能夠應用。

威聯通針對近期出現的勒索軟體DeadBolt攻擊行動提出警告

勒索軟體針對NAS設備下手的情況,最近又有攻擊行動出現。臺廠威聯通(QNAP)於5月19日發出警告,他們的產品資安事件應變團隊(QNAP PSIRT)偵測到勒索軟體DeadBolt的攻擊行動,鎖定執行QTS作業系統4.3.6版與4.4.1版的NAS設備,根據他們的調查,主要受到影響的設備為TS-x51、TS-x53產品線的機種。他們呼籲用戶要儘可能使用最新版本的QTS作業系統,並避免將NAS曝露於網際網路。

製作勒索軟體Jigsaw、Thanos的駭客被起底

網路罪犯年齡層有逐漸下降的情形,但也有高齡駭客製造出破壞力驚人的勒索軟體。美國司法部(DOJ)於5月16日指出,開發及銷售Jigsaw、Thanos等勒索軟體的駭客身分,是居住於委內瑞拉的55歲心臟科醫生Moises Luis Zagala Gonzalez。

美國司法部提到,這名醫生打造的Jigsaw,在加密受害電腦檔案之餘,還會記錄使用者試圖刪除勒索軟體的次數,以供判斷受害人會支付贖金的意願;再者,若是受害者企圖重開機防堵檔案被加密,該勒索軟體就會刪除1千個檔案,要受害者就範。而另一款勒索軟體Thanos,則是該名醫生提供他人建置自訂版本勒索軟體的工具,以便進一步用於攻擊行動,或是發展成租賃服務分享利潤。假如該名醫生被定罪,將可能會被判處最高10年的徒刑。

Linux勒索軟體Cheerscrypt鎖定VMware ESXi而來

勒索軟體駭客組織LockBit、Hive、RansomEXX等,這兩年紛紛投入Linux版勒索軟體開發,且主要目標就是鎖定組織的虛擬化平臺VMware ESXi,最近有新的勒索軟體也加入行列,同時攻擊手法出現了變化。

趨勢科技揭露名為Cheerscrypt的勒索軟體,駭客在成功入侵VMware ESXi伺服器後,下達要加密檔案的資料夾路徑,該勒索軟體便會先執行ESXCLI命令來終止所有正在運作的虛擬機器(VM),並在加密檔案之前,先為這些檔案加入.cheer的副檔名,這種先更動檔案名稱再加密的做法算是相當少見,但為何駭客要這麼做?研究人員認為,駭客的目的是為了確認能夠擁有足夠的權限,存取即將要加密的檔案。再者,該勒索軟體也在加密所有檔案後,找出事件記錄(Log)檔案與ESXi相關的檔案(VMDK、VMEM、VSWP、VMSN),並留下勒索訊息,向受害組織索討贖金。

值得留意的是,在檔案加密的過程裡,駭客透過一組公鑰與私錀,來產生私鑰,並透過Sosemanuk串流加密法製造密鑰(Secret Key),並在遭到加密的檔案嵌入公鑰,然後刪除受害系統上的私鑰,一旦受害者想要恢復檔案,就要向駭客取得前述的私鑰才有機會進行解鎖。

印度廉價航空SpiceJet遭勒索軟體攻擊,導致航班延誤起飛

勒索軟體攻擊航空業者的事故,有可能導致航班受到波及。印度廉價航空業者SpiceJet於5月25日上午,證實前一天晚間部分系統遭到勒索軟體攻擊,而使得當天航班起降受到延遲,但表示IT團隊成功阻止攻擊行動,該公司運作將恢復正常。但在此同時,有許多該公司的客戶在推特、臉書上指出,他們不只遇到誤點,打電話給客服也不通,網路訂票系統亦無法使用。

根據資安新聞網站Bleeping Computer進一步了解,只有SpiceJet的首頁、航班狀態頁面正常運作,該公司發言人表示,25日出現的航班誤點,是前一天的事故產生的連鎖效應,部分航班也被取消。

 

【漏洞與修補】

F5公布BIG-IP系統出現重大漏洞,恐被攻擊者用於RCE攻擊

網路安全業者F5於5月4日發布資安通告,指出他們修補了BIG-IP系統的漏洞CVE-2022-1388,這項漏洞存在於iControl REST元件裡,影響從11.6.1至16.1.2的多個版本BIG-IP。一旦攻擊者加以利用,就藉由發送特定的請求來繞過iControl REST的身分驗證流程,進而有可能接管整個系統,CVSS風險層級達到9.8分。這項漏洞的嚴重程度,也使得美國網路安全暨基礎設施安全局(CISA)同日發出資安警示。

F5發布了新版軟體修補上述漏洞,而對於無法升級的用戶,該公司也提供了緩解措施,但指出用戶採用前,應留意部分的措施有可能會影響該系統運作。

關於曝露在資安風險當中的BIG-IP系統數量,資安人員Nate Warfield提出警告與預估,根據他透過物聯網裝置搜尋引擎Shodan兩年來的追蹤,可能有1.6萬套BIG-IP系統曝露在網際網路上。

VMware修補旗下產品的身分驗證繞過漏洞,美國要求公部門限期完成修補

自4月初VMware修補旗下身分驗證平臺重大漏洞CVE-2022-22954,不久後陸續出現數起漏洞攻擊事件,使得美國政府繃緊神經,對於相關系統的重大漏洞緊急要求修補。

美國網路安全暨基礎設施安全局(CISA)於5月18日發布緊急指令22-03,要求該國各行政機關必須在5月23日前,修補VMware同日發布修補程式的漏洞CVE-2022-22972、CVE-2022-22973。其中,比較值得注意的是CVE-2022-22972,該漏洞屬於身分驗證繞過漏洞,攻擊者可用於取得受害系統的管理者權限,CVSS風險層級達9.8分,該公司旗下的Workspace ONE Access、Identity Manager,以及vRealize Automation都存在上述漏洞。

CISA表示,有鑑於CVE-2022-22954遭到利用的經驗,他們才會以緊急指令的方式,要求聯邦機關在5天內進行處理,若無法修補,機關也應暫時將該系統移除組織的網路環境。

三個月前修補的SharePoint漏洞被研究人員繞過,微軟再度進行修補

微軟於今年2月,修補SharePoint的反序列化漏洞CVE-2022-22005,但有研究人員發現,還有其他的方式能夠觸發上述漏洞。

資安業者Security Technologies and Advanced Research Labs(STAR Labs)指出,他們在微軟修補CVE-2022-22005不久之後,就發現另一種能輕易繞過修補程式觸發漏洞的手法,攻擊者可透過在伺服器上建立SharePoint的清單,並上傳惡意PNG圖片檔案的附件,來進一步利用漏洞發動攻擊。一旦成功,將使得攻擊者執行網頁應用程式的IIS排程工作權限,進而在受害伺服器主機上執行任意程式碼。微軟獲報後於5月份例行修補(Patch Tuesday)予以修補,並將該漏洞登記為CVE-2022-29108進行列管。

雲達修補存在3年的伺服器BMC韌體漏洞Pantsdown

伺服器的基板管理控制器(BMC)元件,可供管理者進行遠端管理,一旦出現漏洞,很有可能被攻擊者用於掌控主機,但最近有研究人員發現,先前揭露的漏洞,影響的範圍可能還會更廣泛。資安業者Eclypsium指出,他們在2021年10月向雲達(QCT)通報,該廠牌有多款伺服器型號,受到BMC重大漏洞Pantsdown(CVE-2019-6260)影響,CVSS風險層級達9.8分。

這項漏洞最早在2019年1月揭露,與臺廠信驊科技(Aspeed)生產特定版本的BMC元件有關,當時揭露的研究人員指出,該BMC的SoC硬體功能存在共用組態的情況,導致攻擊者可在未經授權就能執行惡意程式,並在BMC實體位址空間讀寫,而有可能藉接管伺服器,植入勒索軟體、竊密,或是關閉BMC,甚至有機會攻擊其他伺服器。雲達獲報後已著手修補,但表示這些新版韌體將私下提供客戶,不會公開發布。

用於嵌入式系統的程式庫存在DNS漏洞,恐波及數百萬物聯網設備

廣泛受到物聯網設備運用的程式庫,一旦出現漏洞,影響層面將相當廣泛。資安業者Nozomi Networks指出,他們發現uClibc、uClibc-ng程式庫所提供的DNS功能存在漏洞,攻擊者可用來發動DNS中毒,或是DNS欺騙攻擊,重新將受害者導向攻擊者控制的IP位址。

由於上述兩款程式庫受到Netgear、Axis、Linksys等網路設備廠商,以及供嵌入式應用的Linux發行版採用,可能超過200家廠牌的產品恐面臨上述風險。這項漏洞研究人員在2021年9月發現,並於2022年1月通報前述廠商,但目前尚無修補程式可用,這些廠商正試圖協助開發修補軟體中。

TLStorm 2.0漏洞波及Aruba、Avaya交換器

繼資安業者Armis於3月底發現存在於APC不斷電系統(UPS)的重大漏洞TLStorm,他們也在其他廠牌的網路設備找到相關漏洞。Armis近日指出,Aruba與Avaya多個型號的交換器裡,發現TLS通訊實作存在5個漏洞,這些漏洞存在於TLS程式庫NanoSSL,一旦攻擊者利用這些漏洞,將能打破受害組織的網段,並藉由交換器橫向移動,或是竊取受害組織的機密資料。研究人員將上述交換器的漏洞命名為TLStorm 2.0。Aruba、Avaya獲報後,已針對受影響的交換器發布修補韌體。

Avast、AVG防毒軟體存在近10年的高風險漏洞

日前研究人員發現駭客在攻擊行動裡,利用Avast防蠕蟲程式(Anti Rootkit)的元件停用防毒軟體,而最近研究人員揭露了更多可被濫用的漏洞。資安業者SentinelOne於2021年12月向防毒業者Avast通報,他們在該公司旗下Avast、AVG防毒軟體的防蠕蟲程式裡,發現了兩個相當嚴重的漏洞CVE-2022-26522、CVE-2022-26523,這些漏洞自2012年Avast防毒軟體12.1版存在至今,很可能影響數百萬用戶。

這些漏洞一旦遭到利用,攻擊者就有可能關閉資安產品、覆蓋系統元件,或是導致電腦出現藍白畫面(BSOD)。研究人員指出,這些漏洞可能會被攻擊者用於第二階段的瀏覽器攻擊,或是執行沙箱逃逸。Avast、AVG獲報後已於22.1版防毒軟體修補上述漏洞,並將陸續派送給用戶。

趨勢科技修補已遭中國駭客濫用的DLL挾持漏洞

資安業者於5月初,揭露中國駭客組織Moshen Dragon在攻擊行動中,濫用多個廠牌的防毒軟體元件執行惡意程式,最近有防毒業者針對旗下產品修補相關弱點。根據資安新聞網站Bleeping Computer的報導,趨勢科技於5月20日發布資安通告,表示他們針對Moshen Dragon駭客組織利用的漏洞著手修補,並已透過主動式更新機制(ActiveUpdate)派送到用戶電腦。該公司指出,這項漏洞波及的範圍,主要是個人版的端點防護產品,企業版解決方案不受影響,但沒有明確列出受影響的產品名單。

但對於其他遭到駭客濫用的防毒軟體元件,相關業者是否會跟進予以修補?資安新聞網站Bleeping Computer指出,目前僅有Bitdefender向他們提出說明,表示旗下防毒產品用戶不會受到DLL搜尋順序挾持(DLL Search Order Hijacking)攻擊影響,該公司也不會發布資安通告。

Zoom修補可讓攻擊者任意傳送訊息的漏洞

隨著遠距工作成為常態,視訊會議系統一旦出現漏洞,有可能讓他人可以隨意向用戶發送訊息。Zoom於5月17日發布用戶端軟體5.10.0版,這個版本修補了Google研究人員通報的4項漏洞,影響電腦版(Windows、macOS、Linux)與行動裝置(Android、iOS)用戶。

這些漏洞個別的CVSS風險層級為5.9分至8.1分,但研究人員指出,駭客一旦串連上述4個漏洞 ,就有可能發動XMPP Stanza Smuggling的攻擊行動,進而以發送XMPP訊息的方式,從遠端伺服器下載並部署惡意程式到對方裝置上,而且過程中無須受害者執行任何操作。Zoom呼籲用戶儘速更新軟體修補上述漏洞。

Mozilla修補瀏覽器與收信軟體重大漏洞

Mozilla於5月20日發布資安通報,該公司近期修補了電腦版、行動裝置版Firefox瀏覽器,以及收信軟體Thunderbird的兩個重大漏洞CVE-2022-1802、CVE-2022-1529,與Top-Level Await實作的原型鏈污染(Prototype Pollution)有關,一旦攻擊者利用這些漏洞,就有可能藉由上述軟體執行惡意JavaScript指令碼。

雖然該公司僅指出這些漏洞為重大層級,並未列出CVSS評分,但根據IT業者紅帽的資安通告,兩個漏洞的危險程度都達到8.8分。Mozilla發布電腦版瀏覽器Firefox 100.0.2、ESR 91.9.1、收信軟體Thunderbird 91.9.1,以及安卓版本Firefox 100.3,並呼籲用戶應儘速安裝新版軟體。

蘋果Apple Silicon處理器存在Augury漏洞,恐洩露準備要執行的命令

蘋果自行設計的Apple Silicon處理器晶片中,可能也存在類似推測執行(Speculative Execution)的漏洞。美國伊利諾大學香檳分校(UIUC)、華盛頓大學(UW),以及以色列特拉維夫大學的數名研究員聯手,在蘋果的A14、M1、M1 Max處理器上發現名為Augury的漏洞,這項漏洞與該廠牌處理器所採用的記憶體資料預先讀取機制(Data Memory-Dependent Prefetcher,DMP)有關,一旦攻擊者利用這項漏洞,就有可能洩露處理器核心或指令集尚未讀取的資料。再者,該漏洞也會讓這些蘋果處理器對於Spectre漏洞的防禦措施失效。

研究人員指出,雖然這個漏洞目前尚未遭到利用,但此漏洞可能會被攻擊者用於破壞作業系統,使得記憶體使用位址空間隨機載入(ASLR)的機制失效。研究人員已經通報相關分析結果,不過目前蘋果沒有進一步回應。

研究人員發現可濫用iPhone低耗電模式的漏洞

遺失的iPhone手機即使電源遭到關閉,還是能透過Find My功能定位,這與蘋果導入了名為低耗電模式(Low Power Mode,LPM)的機制有關,但有研究人員發現當中存在可被濫用的弱點,甚至有可能讓攻擊者在即將斷電的設備上執行惡意軟體。

德國達姆施塔特工業大學(Technical University of Darmstadt)的研究人員在針對iOS 15作業系統進行研究後發現,近期iPhone手機的藍牙、NFC、超寬頻(UWB)無線通訊,即使在關機的狀態下仍然能夠運作24小時,研究人員指出,這是因為LPM是透過硬體的元件來運作,例如,Find My功能要透過Always-on Processor(AOP)晶片執行,因此,LPM很有可能遭到攻擊者濫用。

他們透過逆向工程的方式發現,這類晶片沒有透過數位簽章的機制保護,而有可能讓惡意軟體入侵iPhone後,在LPM模式下持續運作,或是讓攻擊者察覺LPM模式相關晶片的弱點後入侵手機。研究人員認為,蘋果應該加入新的開關元件來切斷電源,來防範相關的弱點被用於攻擊行動。

Intel修補UEFI韌體高風險漏洞

Intel於5月10日發布資安通告,指出旗下多款處理器存在漏洞並提供新版韌體修補。其中最嚴重的4個漏洞CVSS風險層級為8.2分,可被攻擊者用於本地提升權限,這些漏洞是CVE-2021-0154、CVE-2021-0153、CVE-2021-33123,以及CVE-2021-0190,影響部分採用Core i第7至第10代處理器的筆電和桌上型電腦,以及搭載Xeon處理器的工作站與伺服器。再者,該公司也針對安全啟動防護機制Boot Guard與可信賴執行技術(TXT),修補CVE-2022-0004,攻擊者有機會用於提升於受害電腦的權限,CVSS風險層級為7.3分。

HP修補逾200款HP電腦與筆電的韌體漏洞,若不修補,恐被攻擊者取得作業系統核心權限執行程式碼

HP於5月10日針對旗下的PC與筆記型電腦韌體,修補CVE-2021-3808CVE-2021-3809兩個漏洞,這些漏洞可能被攻擊者用來執行任意程式碼,CVSS風險層級為8.8分。該公司的公告指出,商用筆電產品線EliteBook、Elite Dragonfly、ProBook、Zbook、ZHAN Pro系列,以及桌上型電腦、POS主機、精簡型電腦(Thin Client)等都有機種存在上述漏洞,總共超過200款裝置受到影響。根據向HP通報漏洞的研究員Nicholas Starke指出,攻擊者透過這些漏洞,能將權限提升到系統管理模式(SMM)層級,而得以完全控制受害電腦,且攻擊者可從作業系統觸發SMI Handler來進行攻擊,他呼籲用戶應儘速安裝新版韌體來緩解漏洞。

微軟發布5月例行修補,修補75個漏洞,其中3個為零時差漏洞

微軟於5月10日發布例行修補(Patch Tuesday),當中總共修補了75個漏洞,當中有8個為重大漏洞,一旦攻擊者利用,有可能藉此發動RCE攻擊,或是提升權限。這些漏洞當中有3個為零時差漏洞,又以CVE-2022-26925最值得留意,因為駭客已將該漏洞用於攻擊行動。此漏洞與NT LAN Manager(NLTM)有關,CVSS風險指數為8.1分,攻擊者可在未經身分驗證的情況下,強制網域控制器以NTLM向攻擊者進行身分驗證,進行NTLM中繼攻擊(NTLM Relay Attack),所有版本的Windows用戶端、伺服器版作業系統都存在上述漏洞。

微軟特別提到,若是攻擊者透過AD憑證服務(AD CS)與此漏洞串連,CVSS風險層級將大幅提升至重大等級的9.8分。該公司亦建議組織的IT人員,參考他們去年對於PetitPotam漏洞發布的資安通告,來取得緩解NTLM中繼攻擊的相關資訊。

物聯網與工控設備資料自動化處理平臺OAS重大漏洞恐造成資訊洩露、服務停擺

資料自動化排程及處理系統的資安威脅,有可能洩露組織的機敏資料,甚至讓攻擊者遠端執行任意命令。思科威脅情報團隊Talos指出,他們在自動化系統Open Automation Software Platform(OAS Platform)上,找到8個漏洞,當中包含了重大漏洞CVE-2022-26833與CVE-2022-26082,這兩個漏洞的CVSS風險評分達到9.4分、9.1分。攻擊者一旦利用這些漏洞,就有可能在未經身分驗證的情況下使用REST API,或是能執行任意程式碼。

其餘的6個漏洞,部分可讓攻擊者透過偽造的網路請求,發動阻斷服務(DoS)攻擊,有的則能讓攻擊者取得資料夾清單,甚至能截取使用者帳密列表,而也有漏洞可被攻擊者用於從外部竄改組態,建立新的群組與使用者帳號。

上述漏洞OAS獲報後,已發布OAS Platform 16.00.0112版予以修補,研究人員呼籲用戶應儘速安裝新版程式。

微軟修補Azure PostgreSQL租戶隔離漏洞

雲端資料庫的漏洞,很有可能讓駭客能用於存取其他租戶的資料庫內容。資安業者Wiz Research發現在微軟Azure Database for PostgreSQL的服務裡,存在名為ExtraReplica的漏洞,這項漏洞包含兩項缺陷,其中之一是微軟為強化PostgreSQL Flexible Server功能所做的修改,而能被攻擊者用於提升權限,另一項則是允許攻擊者使用正向表達式,發布含有萬用符號結尾的憑證,而運用於跨租戶攻擊的弱點。攻擊者一旦串連上述漏洞,就有可能藉讚此取得其他Azure PostgreSQL Flexible Server用戶資料庫的讀取權限,微軟獲報後已於4月28日完成修補。

套件管理平臺RubyGems出現可用來竄改套件的漏洞

NPM開發套件管理平臺日前爆發數起冒名發布惡意軟體的攻擊事故,駭客疑似利用該平臺的漏洞,假冒知名套件的開發者上架惡意軟體,但最近其他套件管理平臺也出現類似漏洞。RubyGems套件管理平臺近期指出,他們甫修補平臺的重大漏洞CVE-2022-29176,這項漏洞與該平臺的取消發布(亦稱為Yank)功能有關,一旦攻擊者加以利用,就能先下架原本的Gem套件,並以相同的檔案名稱與版本,重新上架帶有攻擊意圖的惡意版本。

RubyGems指出,專案名稱含有波折號、在30天內建立的新專案,以及超過100天沒有更新的專案,就有可能受到上述的漏洞影響。根據該平臺的內部調查,最近18個月裡沒有出現利用此漏洞的惡意行為,他們也著手完成了相關修補。

思科修補的IOS XR路由器作業系統軟體零時差漏洞,已出現攻擊行動

思科於5月20日發布資安通告,指出他們修補了已遭利用的路由器作業系統軟體IOS XR漏洞CVE-2022-20821,攻擊者一旦利用這項漏洞,就可能在未經身分驗證的情況下,遠端存取NOSi Docker容器裡執行的Redis實例。該公司指出,這項漏洞與軟體運作狀態的健康監控機制裡,預設會開放TCP的6379埠有關,從而讓攻擊者能用來連線Redis實例,甚至將任意檔案寫入容器檔案系統,並瀏覽Redis資料庫的內容。

針對上述漏洞的影響範圍,該廠牌8000系列的路由器,並部署及啟用上述提及的軟體狀態監控機制,就有可能曝露於這項漏洞的風險當中。由於該公司的產品資安事件應變小組(PSIRT)在本月發現相關攻擊行動,他們呼籲用戶要儘速安裝新版軟體,或是採取緩解措施因應。

威聯通視訊監控錄影系統存在漏洞,恐被用於RCE攻擊

威聯通(QNAP)於5月6日,針對旗下的視訊監控錄影(DVR)解決方案發布資安通告,指出執行QVR作業系統的VS系列NVR設備,存在重大漏洞CVE-2022-27588,一旦攻擊者利用這項漏洞,將有可能遠端執行任意命令,CVSS風險層級為9.8分。這項漏洞存在於QVR作業系統5.1.6版、組建20220401版之前的版本,該公司呼籲用戶應儘速安裝新版軟體。資安新聞網站Bleeping Computer提出警告,這樣的漏洞很可能會被用於RCE攻擊。

研究人員揭露Zyxel防火牆遠端命令注入漏洞,並指控廠商未經公告就上架修補程式恐讓用戶曝險

資安業者Rapid7於今年4月中旬,發現臺廠Zyxel資安設備的漏洞CVE-2022-30525,這項漏洞存在於部分支援零接觸部署(Zero Touch Provisioning,ZTP)功能的防火牆設備,包含ATP、USG Flex產品線,以及USG20-VPN與USG20W-VPN兩款機種,影響執行ZLD 5.00至5.21 Patch 1韌體的設備。攻擊者一旦利用上述漏洞,就有機會在沒有經過身分驗證的情況下,透過nobody使用者進行遠端命令注入攻擊,CVSS風險層級達到9.8分。

但研究人員指控,Zyxel在沒有通知他們的情況下,就在4月28日悄悄地推出新的5.30版韌體予以修補,沒有發布資安通告,或是登錄CVE漏洞編號,直到5月9日Rapid7察覺此事,Zyxel才於5月10日將漏洞登記為CVE-2022-30525進行列管,並於12日發布資安通告。研究人員認為,這種悄悄推出修補程式的做法,形同公開漏洞的細節,因為駭客能藉由逆向工程的方式解析修補程式,得知如何精確利用漏洞,而使得還不知道要修補的用戶曝露於漏洞的風險當中。

針對Rapid7的說法,我們也向兆勤科技進一步詢問,該公司表示:「此事係因雙方對於揭露的定義不同,在Rapid7通報我們漏洞60天的期限內,剛好遇到防火牆定期韌體更新,RD就順勢將patch放進去,而Rapid7認為這樣就算公告,但我們其實是有排定對外公告的時程,且都有遵守相關規定。在溝通後,Rapid7也同意了我們說法。」

Zyxel修補防火牆、無線基地臺、AP控制器漏洞

臺廠兆勤科技於5月24日,發布資安通告,修補旗下防火牆、無線基地臺、AP控制器等多項產品的漏洞,這些漏洞包含了CVE-2022-0734、CVE-2022-26531、CVE-2022-26532、CVE-2022-0910。其中最嚴重的是CVE-2022-26532,這是追蹤流量封包的CLI命令漏洞,波及該廠牌的防火牆、無線基地臺、AP控制器等設備,攻擊者可在取得本機權限的情況下,利用此漏洞於CLI命令注入惡意參數,進而執行作業系統的命令,CVSS風險評分為7.8分。

另一個需要注意的部分,有些漏洞只影響特定類型的產品。CVE-2022-0734、CVE-2022-0910會影響防火牆產品,前者為跨網站指令碼(XSS)漏洞,後者為CGI程式存取權限控制不當漏洞,恐讓雙因素驗證降級,使得攻擊者可繞過第2層驗證。

SonicWall修補SSL VPN設備的高風險漏洞

資安業者SonicWall於5月10日發布資安通告,指出他們修補了SMA 1000系列(6200、6210、7200、7210、8200v)SSL VPN設備的3個漏洞,這些漏洞可讓攻擊者用於在未經身分驗證的情況下,繞過存取控制措施,CVSS風險層級從5.7分至8.2分不等,影響執行12.4.0與12.4.1版韌體的SMA 1000系列設備,該廠商推出12.4.1-02994版修補上述漏洞,並指出這些漏洞目前尚未出現遭到利用的跡象。

網站追蹤器元件可能會在用戶送出前截取輸入表單的資料

網站為分析用戶的喜好,往往會透過外部追蹤器來解析,但研究人員發現,這些追蹤器可能會在網站收到相關資料之前,先行截取用戶輸入表單的內容。

來自荷蘭Radboud大學、瑞士洛桑大學與比利時魯汶大學的研究人員,針對全球前10萬個網站、280萬個網頁展開調查,從歐盟與美國執行爬蟲程式,並透過電腦版與行動裝置的網頁瀏覽器,搭配3種Cookie配置來進行分析。結果發現,從歐盟執行的爬蟲程式共找到1,844個網站,在使用者填寫表單但尚未送出之前,就允許追蹤器收集使用者提供的電子郵件信箱;從美國執行的爬蟲程式,則找到2,950個有上述情況的網站。其中,有不少是新聞網站,研究人員通報後,於今年2月修補相關漏洞。而對於收集這類未送出表單資料的追蹤器,主要來自Adobe、Oracle、Saleforce、Meta、TikTok等。

此外,俄羅斯大型搜尋引擎Yandex等52個網站,不慎允許連線重放供應商(Session Replay Provider)收集用戶填入的密碼,研究人員亦進行相關通報。

WordPress外掛程式JupiterX、Junipter存在重大漏洞,恐被駭客用來接管網站

WordPress佈景主題外掛程式存在的重大漏洞,很可能讓駭客得以控制整個網站。資安業者Wordfence指出,WordPress外掛程式JupiterX、Junipter,存在CVSS風險層級達9.9分的重大漏洞,攻擊者一旦利用這項漏洞,可在經過身分驗證的情況下,獲得管理者的權限,進而可能竄改網站內容、注入惡意指令碼等攻擊行為。

這項漏洞與名為uninstallTemplate的函式有關,用途是在管理者移除佈景主題後重設相關版面配置,但這個函式會把使用者的權限提升為管理員,如果有登入網站的使用者發送含有action參數的AJAX請求,就有可能在沒有通過其他檢查情況下,成功提升權限。開發商ArtBees獲報後,於5月10日發布JupiterX 2.0.8、Junipter 6.10.2修補上述漏洞。

研究人員揭露可以透過藍牙進行中間人攻擊的手法,能遠端偷走特斯拉汽車或打開智慧門鎖

電動汽車提供能以手機App作為遙控器,透過藍牙解鎖車門,可說是相當普遍,但也有可能成為駭客進行中間人攻擊(MitM)的對象。

資安業者NCC Group於5月16日指出,他們發現了能夠解鎖特斯拉Model 3、Model Y的藍牙漏洞,研究人員利用iPhone手機與Model 3汽車進行實驗,結果發現,他們藉由自行打造的延遲訊號中繼設備,使得手機超出藍牙通訊的距離,仍能成功解鎖車輛。而這樣的藍牙通訊弱點也存在於智慧門鎖,該公司也成功在Kevo系列智慧鎖上,利用類似的方法在遠端開啟門鎖。此外,這種弱點亦可能存在於透過手機App解鎖的門禁系統、筆電等設備。

研究人員認為這不完全是藍牙規格上的缺陷,而是藍牙身分驗證機制原本並非為重要系統規畫。他們為設備製造商、系統業者,以及使用者提出緩解建議,可透過調整相關的配置來防範這類遠端中間人攻擊手法,並通報特斯拉,以及智慧門鎖製造商Kwikset與Weiser。

PayPal漏洞可被駭客用於點擊劫持攻擊,挾持用戶帳號與金錢

研究人員揭露去年通報的漏洞,有可能被用於點選挾持攻擊(Clickjacking)而引起外界關注。資安人員h4x0r_dz最近公布他在去年10月向PayPal通報的漏洞,並指出攻擊者一旦利用這項漏洞,有可能藉著劫持網頁上可點選的內容,引誘使用者點選另一個網頁上的按鈕或是連結。

該名研究人員指出,攻擊者可透過這樣的管道,從他人的PayPal帳號偷取金錢,或是利用受害者的PayPal帳號,為自己的Netflix、Steam等線上服務儲值。研究人員也提供概念性驗證攻擊影片驗證上述漏洞。PayPal獲報後已修補相關漏洞,並提供20萬美元獎勵。

漏洞挖掘競賽Pwn2Own溫哥華賽事落幕,參賽者找出Windows 11、Ubuntu、特斯拉汽車漏洞

漏洞挖掘競賽Pwn2Own 2022 Vancouver於5月18日至20日,在加拿大溫哥華舉行,此賽事正逢Pwn2Own邁入第15週年。本次共有17個隊伍參賽,總共有21個攻擊目標,Zero Day Initiative(ZDI)總共發出了115.5萬美元的獎金,並由Star Labs團隊以27點的成績得到最高分,抱走抓漏大師(Master of Pwn)的殊榮。

在這3天的賽程裡,最引起關注的是每一天都有參賽者成功攻陷Windows 11作業系統,總共找出6個漏洞。其次,則是微軟的Teams、Ubuntu桌面版本、特斯拉Model 3,以及Firefox與Safari瀏覽器都遭到破解。

 

【資安防禦措施】

OpenSSF推出能檢測惡意NPM與PyPI套件的工具

惡意NPM套件的攻擊事故近期已有數起,有鑑於這種現象,研究人員開發了相關的分析工具。開源安全基金會(OpenSSF)於4月28日,公布了軟體套件分析(Package Analysis)專案的系統原型,研究人員藉此系統來解析開源市集NPM、PyPI裡的惡意套件,經過一個月測試,他們找到超過200個惡意套件。研究人員指出,目前該系統所識別出的惡意套件,多數與程式碼的混淆與偽造網址有關,有些僅有簡單的程式碼,很有可能是資安人員為了漏洞懸賞而上架的概念性驗證程式(PoC)。OpenSSF呼籲社群要協助強化此系統的能力,以便此專案能早日實際應用於開發社群,以便更快找到有問題的開發套件。

Linux基金會、開源安全基金會將投入1.5億美元,用於改善開源程式碼安全

為了改善開源軟體安全,美國於5月12日二度召開開源軟體高峰會,由Linux基金會(Linux Foundation)與開源安全基金會(OpenSSF)主持,總共集結37家IT業者、逾90名高階主管,以及美國國家安全委員會(NSC)、網路安全及基礎設施安全局(CISA)、國家標準暨技術研究院(NIST)、白宮網路主任辦公室(ONCD)、能源部(DOE)、行銷管理和預算局(OMB)官員。

本屆會議的焦點,就是他們要在未來兩年運用1.5億美元經費,改善開源軟體十大主要問題,並立下3個工作目標,分別是健全開源安全生產流程、促進漏洞發現與修補,以及縮短修補回應的時間。上述計畫的經費來源中,Amazon、Ericsson、Google、微軟、VMware承諾捐款逾3千萬美元,來做為此計畫前期資金。

Google推出經過安全驗證的開源軟體套件

為了提供更為安全的開源軟體,大型IT業者打算推出套件驗證服務。Google於5月18日宣布,他們將透過Google Cloud推出Assured Open Source Software(Assured OSS)服務,來提供該公司已經檢查過的開源軟體。這些軟體Google的掃描、分析、模糊測試,並能通過軟體供應鏈安全框架(SLSA)合規驗證,由Google簽章,並透過Google Cloud的容器映像檔及語言套件代管平臺Artifact Registry代管,預計於今年第三季推出預覽版本。

該公司亦宣布與開源軟體安全供應商Snyk合作,Assured OSS將整合到Snyk的服務,而Snyk漏洞資料庫則會整合到Google Cloud安全與開發生命周期管理工具。

研究人員發起Malvuln專案,找尋勒索軟體的漏洞來阻止攻擊行動

為了防堵勒索軟體加密電腦檔案,有研究人員試圖找出漏洞來阻止運作。資安研究員John Page(Hyp3rlinx)於2021年1月發起名為Malvuln的專案,該專案的目標是找出並公布惡意軟體與勒索軟體的漏洞,該專案上線至今此專案已揭露數百個惡意程式漏洞,並提概念性驗證(PoC)攻擊程式,到了5月3日,Malvuln進一步公布多款惡名昭彰的勒索軟體漏洞細節,這些勒索軟體包含了WannaCry、REvil、Conti,以及LokiLocker等。

研究人員本次揭露的漏洞,主要與勒索軟體的運作方式有關,因為駭客都會搜尋現有資料夾裡的DLL檔案,並用來側載惡意程式,一旦研究人員利用勒索軟體的漏洞,就能透過DLL挾持(DLL Injection)來置換駭客的檔案,進而終止加密資料的攻擊行為。雖然該專案立意良善,但也有資安專家認為,駭客會修補Malvuln公布的軟體漏洞,而讓資安人員無法用來反制。

歐洲推出第二版網路暨資訊系統安全指令,將擴大適用範圍

歐洲議會與歐盟會員國於5月13日,正式對於2020年歐盟委員會(EC)提出的網路暨資訊系統安全(Security of Network and Information Systems)修訂指令「NIS 2 Directive」達成共識,主要修訂內容將擴大此指令的適用範圍,延伸到電子通訊服務供應商、數位服務業者、廢水或廢棄物處理業者、產品製造商、郵政與物流業者、公共行政單位等,同時,新版指令也將提升歐洲組織的資安要求,例如,要著手解決供應鏈與供應商之間的資安問題,並對於組織沒有遵守相關義務的行為,向高階管理人員究責。歐盟成員國與歐洲議會將公布新版指令,並於20日後正式生效,歐盟會員國需在21個月內納入國家法令。

臺灣百貨業者的網站、帳密保護、郵件安全尚待加強

在最近3年受到疫情的衝擊,百貨業者紛紛進行數位轉型,推出電子支付工具與電商網站,但在此同時資訊安全也相形變得更加重要,有資安業者針對臺灣百貨業者進行調查。資安業者Cymetrics近日針對臺灣前十大百貨業者檢測資安曝險的情況,結果發現,這些百貨公司的網站普遍出現配置不當,或是元件沒有即時更新的情況,攻擊者很可能藉由跨網站攻擊繞過相關安全驗證機制,或是利用舊版軟體的已知漏洞入侵。

再者,電子郵件安全與帳號保護的部分,也出現仍需加強的情況。研究人員指出,有半數業者疏於電子郵件安全防護,亦有高達4家業者曾出現帳號資料外洩的事故,而可能成為攻擊者下手的目標。

 

【資安產業動態】

趨勢科技宣布成立車用資安新公司VicOne,布局電動車資安防護領域

趨勢科技5月4日宣布成立車用資安新公司VicOne,這是該公司繼2019年與四零四科技共同成立TXOne Networks,擴展工控資安領域後,加強布局電動車產業資安防護領域。此舉將致力於解決電動車日益升高的資安需求,同時將推動「策略合作夥伴計畫」,目標是協助國內的汽車系統整合及零組件製造商,做到汽車品牌廠的資安合規要求。同時,鴻海推動的MIH開放電動車聯盟,也將參加VicOne策略合作夥伴計畫,而SOAFEE、AUTOSAR等產業聯盟,亦與VicOne進行合作。

Synopsys併購DAST服務業者WhiteHat Security

美國電子設計自動化(EDA)業者新思科技(Synopsys)於4月27日宣布,他們將以3.3億美元的價格,買下NTT Security旗下的應用程式安全服務公司WhiteHat Security,併購後將為新思科技帶來動態應用程式安全測試(DAST)的相關技術,這起併購案預計在該公司的今年第3財季完成。

美國允諾不會控告從事資安研究的白帽駭客

資安威脅加劇,政府與企業往往需要藉由白帽駭客協助,找出軟體的資安漏洞,但這些人士遭到相關廠商或單位控告的情況屢見不鮮,例如,有記者在去年10月,通報密蘇里州中小學教育網站DESE曝露教職員個資,卻傳出該州州長認為記者入侵網站而打算起訴。自去年零時差立法專案(Zero Day Legislative Project)提出呼籲,政府應修改過時法律保護白帽駭客,最近美國政府終於釋出善意。美國司法部於5月19日表示,針對自1986年施行的電腦詐欺與濫用法(CFAA),他們將修改實施的政策,不會依據相關法令控告善意進行研究的資安人員。

但這項消息一出,多個非營利組織與新聞媒體認為,新政策對相關研究人士的保護仍然不足。例如,電子前線基金會(EFF)指出,新政策很可能因明文列出無罪行為,造成更多不在範圍的資安研究、揭露遭到起訴;ZDNet分析新政策內容認為,美國司法部列出的範圍與時下電腦安全研究相差甚遠;TechCrunch表示,該單位沒有將相關做法納入法律而是只有調整政策,很可能日後生變。

 

2022年4月資安月報

2022年3月資安月報

2022年2月資安月報


熱門新聞

Advertisement