俄羅斯駭客山頭林立,犯案累累,本週英國、美國等5個國家組成的五眼聯盟特別提出警告,呼籲大家注意Star Blizzard的攻擊行動,指出這些駭客聽令於俄羅斯軍情單位,甚至曾干預選舉
別名為Fancy Bear、Strontium、Fighting Ursa的俄羅斯駭客組織APT28,最近又犯案了!微軟對這群駭客利用Outlook零時差漏洞CVE-2023-23397(CVSS風險評分9.8)發動攻擊提出警告,並指出他們的目的是從Exchange伺服器盜取電子郵件帳號,目前也有其他研究人員揭露更多調查結果。
例如,資安業者Palo Alto Networks就揭露這些駭客攻擊行動的規模。這些駭客約在20個月裡發動3波攻擊行動,針對14個國家、逾30個企業組織而來。這些駭客從俄羅斯對烏克蘭進行軍事行動之後,在2022年3月就開始利用這項漏洞攻擊烏克蘭移民署;同年4月中旬至12月,該組織將其用於入侵歐洲15國政府、軍事單位、能源組織、交通單位的網路環境,竊取俄羅斯入侵烏克蘭有關的軍事情報電子郵件;而在微軟今年3月修補漏洞後,這些駭客仍舊透過這項漏洞竊取帳密資料,從而於受害組織進行橫向移動,相關的攻擊行動在5月另一個MSHTML漏洞CVE-2023-29324(CVSS風險評分6.5)公布後顯著增加。
Palo Alto Networks的研究人員指出,遭到這些駭客攻擊的國家,除了烏克蘭、約旦、阿拉伯聯合大公國(UAE),其餘皆為北約組織(NATO)會員國,且有北約快速部署兵團遭到鎖定。
Google、蘋果證實多國政府向其調閱行動裝置應用程式推播資料
12月6日美國參議員Ron Wyden寄信給司法部(DOJ),要求Google、蘋果這兩大科技公司,公開各國政府向他們調閱行動裝置推播通知(Mobile Push Notification)的情況。
這項要求源於Ron Wyden在2022年接獲的消息,得知有許多美國以外的國家,向Google、蘋果要求相關資料的記錄,該名參議員展開調查,發現是美國政府禁止這些IT業者公布相關資訊,從而得知許多國家會利用這種資料的情況。值得留意的是,這種行動裝置推播的功能,並非直接從程式開發者傳送至手機,而是中間透過作業系統的服務來進行傳遞的工作,意即過程裡Google、蘋果扮演仲介的角色。
對此,這兩家業者向科技新聞網站TechCrunch證實,Google表示已發布透明度報告揭露政府請求的各式用戶資料;蘋果也表明將在透明度報告公布相關資訊。
1. https://www.wyden.senate.gov/imo/media/doc/wyden_smartphone_push_notification_surveillance_letter.pdf
2. https://techcrunch.com/2023/12/06/us-senator-warns-governments-spying-apple-google-smartphone-users-via-push-notifications/
研究人員揭露針對iPhone的新型態攻擊手法,假借啟動封閉模式降低用戶戒心
為了針對特定人士提供較為嚴謹的防護,防範間諜軟體等目標式攻擊,蘋果自去年9月,對旗下的行動裝置、電腦、穿戴裝置作業系統:iOS 16、iPadOS 16、watchOS 10、macOS Ventura,開始提供封閉模式(Lockdown Mode)的機制,但現在研究人員發現,攻擊者也可以反向操作,讓受害者以為自己的蘋果裝置執行這種模式而降低警戒。
資安業者Jamf提出警告,這種模式雖然能大幅降低攻擊面,不過,一旦裝置遭駭之後,就算啟用封閉模式也無法阻止惡意軟體運作,他們揭露一種後利用的竄改手法,駭客一旦成功滲透到目標設備中,就有可能藉由竄改特定C語言程式碼的函式內容,讓受害者以為裝置啟動了封閉模式。
研究人員指出,在執行iOS 16.5的手機上,封閉模式仍是在使用者空間的虛擬記憶體當中運作,系統核心並不知道這樣的行為,使用者啟用、停用該模式也無需重開機,他們便試圖讓系統看起來重新啟動,使得他們注入的惡意程式碼可持續在背景運作、監視受害者。
安卓惡意軟體SpyLoan假借提供個人貸款吸金,被從Google Play市集下載逾1,200萬次
資安業者ESET提出警告,他們發現今年初假借提供快速貸款的惡意應用程式SpyLoan顯著增加,這些App偽裝成提供個人信用貸款服務的軟體,號稱可讓使用者快速、輕鬆取得資金,但實際上駭客將其誘騙使用者接受高利貸,並向其進行勒索。
研究人員指出,光是今年駭客上架於Google Play市集的惡意程式,就有18款,總共被下載超過1,200萬次,但這些App駭客也透過其他第三方市集、惡意網站散布,受害情況可能遠超過這樣的規模。研究人員通報後,Google已下架其中17款。根據研究人員偵測的資料,這種威脅在墨西哥、印度、泰國、印尼、奈及利亞、菲律賓、埃及、越南、新加坡、肯亞、哥倫比亞、秘魯特別嚴重。
為了使用AI工具,高達八成開發人員無視公司資安政策
開發人員大量採用人工智慧工具輔助開發的情況與日俱增,根據軟體業者JetBrains的調查,77%開發人員用ChatGPT,46%用GitHub Copilot,但這種情況對企業組織的資訊安全也帶來新的挑戰。
資安業者Synk針對537名軟體工程師及資安團隊成員進行調查,這些受訪者所屬的企業組織幾乎(96%)已在軟體供應鏈當中,採用了AI程式碼工具。但有80%的開發人員坦承,他們為了使用人工智慧程式開發輔助工具,必須繞過所屬組織的資安政策。另一方面,僅有不到十分之一的組織,對程式碼導入自動化安全掃描機制。
研究人員指出,這樣的情況不只影響組織的資安,甚至還左右開源工具鏈的生態,73.2%開發人員曾貢獻程式碼,但只有24.6%採用軟體組成分析(Software Composition Analysis,SCA)工具,驗證人工智慧生成的建議程式碼。這樣的情況會因為開發團隊導入AI加速開發,使得組織更容易採用不安全的開源元件,同時人工智慧開發工具也使用開源程式碼作為訓練資料,從而習得不安全的程式碼,導致惡性循環。值得留意的是,雖然開發人員採用相關工具的情況非常普遍,但高達86%對於這類工具安全性存在疑慮。
【資安產業動態】
2016年Meta宣布為Messenger加入全程加密(E2EE)的功能,但直到最近該公司才在相關服務預設啟用這項機制。12月6日Meta宣布,所有的Messenger通訊會直接開啟E2EE,使用者不需手動開啟相關功能,該公司表示這是Messenger有史以來規模最大的功能升級。
但為何Messenger預設啟用E2EE需耗費長達7年的時間?Meta指出,他們的工程師、密碼學專家、設計師、政策專家、產品專家重新打造Messenger,引入新的安全性及控制功能,並與外部專家、學者、政府機關密切合作,找出潛在風險並制訂緩解措施,來達到隱私及安全需求。此外,過程中他們也面臨兒童保護團體的施壓,擔心採用E2EE後,會令Meta無法偵測到虐待兒童事件。
