本週資安業者Sansec提出警告,今年2月被賣給中國公司的網站程式庫Polyfill.io已被嵌入惡意程式,使用此程式庫的網站,用戶將被重新導向賭博網站及其他惡意網站
根據資安新聞網站SecurityAffair、Cybernews報導,6月24日惡名昭彰的勒索軟體駭客組織LockBit聲稱,他們駭入美國聯邦儲備系統(聯準會)的系統,竊得33 TB敏感資料,當中包含了「美國的銀行秘密」,要脅若不在期眼內付錢,將於25日公布這批資料。然而,這些駭客並未公布部分內容供買家查證,引起多名資安專家質疑,認為LockBit這麼做其實只是在虛張聲勢。
隔天,該組織公布了21個下載連結,但值得留意的是,有部分疑似來自美國金融機構Evolve Bank and Trust,而且,這些駭客還附上聯準會6月14日針對這家金融機構進行執法行動的新聞稿,當時聯準會表示這家銀行在洗錢防治、風險管理、消費者法規遵循的執行上出現瑕疵。
但這些資料究竟來自聯準會還是Evolve Bank and Trust?網路威脅監控公司HackManac透露,根據駭客公布的資料,對方顯然入侵了Evolve Bank and Trust,但目前並未發現機密文件的情況,該公司仍著手持續調查當中。
微軟旗下語音技術廠商管理不當,離職員工竊取美國賓州醫院百萬病患個資
美國賓州醫療院所Geisinger Health去年因微軟IT管理不當,讓一名員工離職後仍可存取其系統並竊取超過100萬名病人個資。
根據Geisinger的說明,去年11月29日Geisinger發現隷屬於微軟的Nuance員工存取其病患資訊系統,而且是在他被公司解職後2天所為。在獲得客戶通知後,Nuance已永久終止這名前員工的系統存取權。目前這名員工已遭到逮捕,將面臨起訴。
微軟在2021年併購語音技術供應商Nuance,並將其技術整合AI模型提供語音聽寫方案DAX,後者可用於醫療情境,像是產生臨床筆記、醫囑、電子病歷等。這並非Nuance首度因IT管理不當的釀禍,2018年舊金山公共健康部也遭Nuance離職員工存取了當地醫療網絡的IT系統。
專門鎖定Redis伺服器的殭屍網路P2PInfect出現新的攻擊手法,駭客為其加入勒索軟體模組
自去年7月被發現的殭屍網路P2PInfect,主要的攻擊目標是分散式資料庫Redis伺服器,並運用其運算資源挖礦,但最近研究人員發現,有駭客在這款殭屍網路病毒納入勒索軟體功能,而有可能對目標伺服器進行檔案挾持。
資安業者Cado發現新的P2PInfect攻擊行動,他們看到受害Redis伺服器在感染殭屍網路病毒後,會從特定的URL下載勒索軟體rsagen並執行,並對於資料庫檔案SQLITE3、SQL、DB,文件檔案DOC、XLS,以及影音檔案MKV、WAV、MP3等,執行檔案加密作業,並留下勒索訊息。
除了上述的勒索軟體模組,研究人員指出與過往的版本相比,這個殭屍網路病毒也在其他層面出現大幅度的變化。首先,他們發現對方重新利用Rust非同步框架Tokio打造,並透過UPX加殼處理,而且,主要執行檔被剝離,且有部分程式碼經過混淆處理,這樣的做法使得靜態分析難以識別這款惡意程式。
其他攻擊與威脅
◆專門鎖定Redis伺服器的殭屍網路P2PInfect出現新的攻擊手法,駭客為其加入勒索軟體模組
◆駭客組織Boolka鎖定網站發動SQL注入攻擊,意圖植入木馬程式Bmanger
◆金融木馬Medusa鎖定安卓用戶下手,攻擊範圍遍及歐美7個國家
◆舊版瀏覽器網站相容套件Polyfill被中國公司買下並植入惡意程式碼,恐影響10萬網站
◆研究人員揭露新的攻擊手法SnailLoad,藉由網路延遲的變化推測用戶的活動內容
【漏洞與修補】
蘋果發布AirPods韌體更新,修補藍牙耳機配對漏洞
6月25日蘋果針對旗下藍牙耳機AirPods發布韌體更新6A326、6F8,修補身分驗證漏洞CVE-2024-27867,這項漏洞影響第2代以上的AirPods、所有型號的AirPods Pro、AirPods Max,以及Beats旗下的Powerbeats Pro、Beats Fit Pro。
而對於這項漏洞帶來的影響,蘋果指出,當使用者的耳機在搜尋已成功配對的裝置時,攻擊者若是在藍牙訊號的範圍內,就有機會冒充已配對的裝置,從而取得存取耳機的權限。換言之,攻擊者可能藉此竊聽用戶的聲音。
研究人員針對西門子修補的SICAM設備漏洞提出警告,若不修補有可能被用於針對能源產業攻擊
今年5月、6月西門子針對旗下工業控制系統SICAM產品線發布例行更新,針對CVE-2024-31484、CVE-2024-31485、CVE-2024-31486進行公告,這些漏洞影響終端機單元A8000、AK3、TM、BC系列,以及強化電網感應器(Enhanced Grid Sensor,EGS)、SICAM 8電力自動化平臺,而這些系統主要是針對變電站自動化打造的電網解決方案,一旦遭到利用,影響層面可能將會相當廣泛。
本週通報上述漏洞的資安業者SEC Consult說明相關細節,公布這些漏洞發生的原因,並展示概念性驗證(PoC)程式碼。
【資安產業動態】
4成企業今年要招募資安好手,資安事件應變人才最搶手
這幾年,兩大法遵推力下,包括影響公部門資安人力的政府資安管理法,以及主管機關對上市櫃公司的資安要求,大幅帶動了企業對於資安人力的建置,根據2024 iThome CIO大調查的統計結果來看,企業平均專責資安人力達到了4.8人,尤以金融業的平均11.6人最多,其次是政府學校(4.4人)、高科技製造業(4.1人),醫療則是資安人力最少的產業,只有2.4人,比一般製造業的平均人數(2.9人)還要低。
不過,企業現有資安人力,遠低於資安長心中理想的團隊規模,要足以對抗企業當前資安威脅,資安長期望平均要達到5.9人,換句話說,現有4.8人的規模,還少了近四分之一的人手。各產業都有資安人手達不到資安長期望的情況,又以醫療業和政府學校的落差最大。
今年有4成企業要招募資安職缺,平均招募人數是2.7人,又以政府學校的招募人數需求最多,達到6.1人,主要來自少數一級政府機關、大型國營企業、大型學校為了資安轉型而展開的人力需求擴編,才拉高了整體平均值。其次,金融業平均要招募4.2人,也遠高於其他產業的平均資安人力需求量。
近期資安日報
【6月26日】惡意軟體沙箱服務業者Any.Run遭到網釣攻擊,所有員工收到內部人員寄來的釣魚信
【6月25日】中國駭客組織RedJuliett近半年鎖定臺灣高科技產業、外交經濟、社會運動團體從事網路間諜攻擊
【6月24日】北美汽車經銷商軟體服務業者CDK Global遭攻擊而停擺,傳出是勒索軟體BlackSuit所為
