本週最駭人聽聞的資安新聞,應該就polyfill.io供應鏈攻擊事故莫屬,這起事故在資安業者Sansec揭露2天後出現新的發展:經營者透過新的網域polyfill[.]com,聲稱再度提供相關服務
6月上旬日本知名的影片共享平臺Niconico傳出服務異常,隨後事態擴大,母公司角川集團發出聲明證實,不光是Niconico,角川網站及電商平臺Ebten都受到影響。該集團後來在14日證實遭遇勒索軟體攻擊,並透露資安事故發生的過程,事隔兩週,這起事故出現新的發展。
6月22日角川發出聲明,表示已有媒體報導透露攻擊者的身分,並認為這麼做將助長網路犯罪,甚至有可能會使犯罪者受益。究竟攻擊者的身分為何?根據本週資安新聞網站Bleeping Computer報導,勒索軟體駭客Black Suit聲稱是他們所為,這些駭客宣稱約在一個月前開始存取該集團的網路環境,成功存取控制中心之後,他們就加密了整個網路環境,包含多玩國(Dwango)、Niconico、角川書店,以及其他子公司,並從中竊得1.5 TB內部資料。
駭客組織Boolka對於全球網站發動SQL注入攻擊,意圖對使用者電腦植入木馬程式Bmanger
資安業者Group-IB揭露名為Boolka的駭客組織,該組織從2022年開始,對於全球各地的網站隨機發動SQL注入攻擊,目的是針對瀏覽這些網站的使用者,散布名為Bmanager的模組化木馬程式。
研究人員指出,過去3年這些駭客鎖定存在弱點的網站,藉由惡意的JavaScript指令碼進行感染,從而能在受害網站上截取使用者輸入的任何資料。但除了竊取使用者輸入的個人資料,他們也看到駭客使用名為BeEF的惡意軟體傳送框架,對存取受害網站的使用者散布Bmanager。駭客將使用者重新導向假的網頁,聲稱必須安裝指定的瀏覽器延伸套件才能正常檢視內容,然而一旦照做,電腦就有可能被植入木馬程式。
AI裝置Rabbit r1遭爆洩露眾多API金鑰
新創業者Rabbit與消費者裝置製造商Teenage Engineering合作開發的AI裝置Rabbit r1,本周遭爆外洩許多API金鑰,將允許任何人讀取Rabbit r1所生成的內容,或是讓所有的Rabbit r1變磚,還能竄改Rabbit r1的回應或是置換Rabbit r1的聲音,更令人訝異的是,研究人員指出Rabbit早就知道其裝置的API金鑰外洩,卻一直未採取行動。
發現相關漏洞的是專門針對Rabbit r1專案進行逆向工程的Rabbitude社群,研究人員表示,他們在今年5月存取Rabbit r1的程式碼庫,並發現其中含有許多寫死的API金鑰,包括將文字轉譯成語音的ElevenLabs、語音轉文字的Azure系統、評論服務Yelp,以及Google Maps。
其他攻擊與威脅
◆遠端桌面連線解決方案供應商TeamViewer傳出內部網路遭APT駭客入侵
◆惡意NPM套件鎖定AWS用戶而來,先休眠4個月減少他人關注
◆韓國網路服務供應商KT傳出針對使用網路硬碟的用戶植入惡意程式碼,60萬用戶受害
其他漏洞與修補
◆GitLab存在重大漏洞,攻擊者可冒用任意用戶身分執行Pipeline工作流程
【資安產業動態】
Amazon S3首度整合惡意程式偵測,一年限量免費使用
AWS在re:Inforce 2024雲端安全會議發表多項資安服務,其中最受矚目的當屬物件儲存服務Amazon S3首度整合GuardDuty惡意程式掃描過濾功能,並且自發表後一年內提供限量免費使用。
AWS的惡意程式防護服務GuardDuty保護的範圍,繼Amazon EC2、EKS、ECS、AWS Lambda、Fargate之後,也擴及物件儲存服務Amazon S3。過去S3儲存物件的防毒掃描,必須整合第三方資安公司的防護服務,而新推出的GuardDuty Malware Protection for S3服務,則會在用戶上傳物件檔案至S3時自動啟動掃描,檢測潛在的惡意程式、病毒或可疑內容,再放行至對應的儲存貯體;如果掃描後發現潛在威脅,可疑的上傳物件就會被移至隔離區。
GuardDuty Malware Protection for S3可視為S3預設防毒防駭功能,因為過往AWS的服務要使用GuardDuty防護服務的話,都必須先啟用GuardDuty服務,不過GuardDuty Malware Protection for S3卻首度提供不需啟用GuardDuty服務,而可直接使用掃毒與惡意程式過濾功能。
高雄市府3作法加速推動資安轉型,更以AI強化城市治理
近年來發展快速的高雄市,因應愈來愈高的威脅,在中央的補助之下,高雄市增加對資安的投資,高雄市政府資訊中心主任劉俊傑表示,目前高雄市政府在強化資安正推動3項做法,第一項做法是建立主動防禦,過去的資安策略較為被動防禦,例如採購防火牆、防毒軟體等,現在轉向採用比較主動式的防禦,例如蒐集Log資料,包括端點資料,以主動分析發現異常事件。
他以紅軍演練為例,傳統委託業者扮演紅隊,利用駭客入侵找出哪裡有弱點,但市府進一步希望掌握入侵可能留下哪些Log資料,透過工具設定檢視規則,主動掃描新的Log,當發現可疑的異常情形,再由專業人員進一步分析。
其他資安產業動態
◆Google推出人工智慧技術驅動的漏洞研究專案Naptime
近期資安日報
【6月27日】舊版瀏覽器網站相容套件Polyfill.io被中國公司買下,驚傳被植入惡意程式碼,恐影響逾10萬網站
【6月26日】惡意軟體沙箱服務業者Any.Run遭到網釣攻擊,所有員工收到內部人員寄來的釣魚信
【6月25日】中國駭客組織RedJuliett近半年鎖定臺灣高科技產業、外交經濟、社會運動團體從事網路間諜攻擊
