針對上週發生的CrowdStrike產品更新事故,臺灣受害的情形也陸續傳出,除航空業及醫院最早被發現受到影響,還有金融、資服、傳統製造、高科技製造業等4種產業也因此受害
上週五EDR系統CrowdStrike Falcon更新引發全球各地Windows電腦大當機,微軟公布有850萬臺電腦受到影響,資安業者Interos指出約有67.4萬企業用戶可能受到影響。值得留意的是,駭客也伺機散布惡意程式進行破壞。
惡意軟體沙箱服務業者Any.Run指出,他們發現有駭客意圖趁機散布資料破壞軟體(Wiper)的跡象,對方針對想要找尋能修正電腦因CrowdStrike更新當機的使用者,聲稱提供另一個由CrowdStrike製作的更新軟體,能解決當機的問題。然而一旦使用者執行,電腦檔案就會被以0位元的資料覆寫,完成後惡意程式再向特定的Telegram頻道回報。
而對於攻擊者的身分,資安新聞網站Bleeping Computer指出,伊朗駭客組織Handala聲稱是他們所為,並透過社群網站X透露,攻擊目標是以色列的企業組織,他們透過釣魚郵件來散布資料破壞軟體。
中國駭客組織GhostEmperor捲土重來,利用惡意程式Demodex從事攻擊行動
資安業者卡巴斯基3年前發現中國駭客組織GhostEmperor的行蹤,事隔兩年,有研究人員察覺該組織再度犯案的跡象。去年底資安業者Sygnia收到客戶的委託,起因是他們察覺駭客破壞企業內部網路,目的是滲透合作夥伴。經過調查,駭客使用名為Demodex的rootkit變種,而這項工具與2021年9月卡巴斯基揭露的GhostEmperor有關。這些駭客運用多階段惡意軟體攻擊,從而隱密在受害組織持續運作,同時他們也利用多種手法阻止資安人員分析。
而對於這些駭客的入侵手段,研究人員指出通常是利用Exchange漏洞ProxyLogon來取得初始權限,但也有利用其他漏洞的情況。一旦成功,對方就會執行批次檔啟動整個惡意軟體感染流程。
FBI利用以色列駭客工具成功破解川普刺客的安卓手機,過程僅耗時40分鐘
根據彭博社報導,美國聯邦調查局(FBI)在以色列業者Cellebrite提供的工具協助下,以「開發中、尚未公布」的產品破解「較新款」的三星手機,從而成功存取攻擊美國總統候選人川普的刺客手機,過程僅花費40分鐘。
本月13日川普在賓州農場公開造勢發表演說時,遭到賓州男子Thomas Matthew Crooks企圖行刺。川普僅右耳受傷,而刺客隨後遭到狙擊手擊斃。FBI取得此嫌犯的手機以調查行刺原因及是否有共犯,事件隔日還無法存取手機,但第二天FBI就宣布成功存取其中內容,對於如何破解手機鎖定及刺客使用的手機品牌,FBI皆未說明。
這家以色列業者主要的業務,就是提供各國政府及警方破解工具,作為辦案使用。2016年FBI為偵辦槍擊案需解鎖已經死亡的嫌犯手機,尋求蘋果協助遭拒,最終FBI得到第三方業者協助,外傳該業者就是Cellebrite。
移民署內部通訊錄驚傳流入駭客論壇,該單位表示非駭客攻擊外流,疑為離職員工所為
近日傳出民眾在網路上發現,使用SorryBB為ID的人士,在駭客論壇BreachForums兜售移民署內部人員通訊錄的情況,當中包含署長及多名科員、專員的個資,這份資料不僅包含職稱、姓名、性別、任職年月、內網電子郵件信箱、號碼、分機、警用電話號碼,甚至提及有人照顧家人而留職停薪的情形。
對此,有知情人士透露,這些資料相當老舊,且這批內部資料外界難以利用,價值並不高。儘管如此,賣家還是開出了1,500美元(約新臺幣4.9萬元)的價碼,並要求以門羅幣或比特幣進行交易。
移民署得知此事後著手查證,確認資訊系統並未遭到駭客入侵,他們也將存放於內部網路系統的檔案移除。究竟這批資料如何流出,他們不排除是離職員工所為。
其他攻擊與威脅
◆美國洛杉機高等法院傳出遭到勒索軟體攻擊,被迫關閉網路系統
◆勒索軟體Play鎖定VMware虛擬化環境而來
◆駭客佯稱提供電玩遊戲俠盜獵車手VI測試版散布惡意程式
◆研究人員揭露HTTP請求偷渡手法TE.0,恐導致數千個Google Cloud網站曝險
◆惡意應用程式OilAlpha鎖定葉門人道救援組織而來
【資安產業動態】
Google宣布放棄在Chrome中封鎖第三方Cookie的計畫
在受到各國監管機關的質疑之後,7月22日Google宣布放棄於Chrome中封鎖第三方Cookie的計畫,但會繼續投資及開發原本要用來取代第三方Cookie的各種隱私沙箱(Privacy Sandbox)API。這項執行4年的計畫,最終以失敗告終。
Google企圖於Chrome瀏覽器中維持廣告主及使用者隱私之間的平衡,因而在2019年提出了隱私沙箱的概念,採用更具隱私的方式將使用者分門別類,而廣告主則可據此向群組發送廣告,並準備在2022年以隱私沙箱全面取代第三方Cookie。然而,該計畫一開始就惹來英國競爭及市場管理局(CMA)的調查,懷疑隱私沙箱的安全性,以及Google疑似打算利用隱私沙箱來圖利自家廣告服務,再加上受到各方的質疑,而使得上線日期一延再延。
近期資安日報
【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐,至少影響850萬臺電腦、67萬企業用戶
【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍,全球出現Windows電腦大量當機,影響機場、醫院等設施運作
