本週微軟提出警告,上個月才發布公告的虛擬化平臺VMware ESXi身分驗證繞過漏洞CVE-2024-3708,半年多前就開始有多個駭客組織將其用於攻擊行動
7月19日CrowdStrike更新引發全球大當機的事故,許多使用者試圖上網尋求排除異常的方法,而成為駭客發動攻擊的目標,如今出現新的資安事故。
資安業者CrowdStrike指出,他們在本月24日看到來路不明的網路釣魚攻擊,對方假冒德國的實體,架設網站並提供CrowdStrike當機報告(Crash Reporter)元件的安裝程式,若是依照指示處理,電腦就有可能被植入惡意軟體。
當使用者成功下載、執行駭客提供的安裝程式,這個安裝程式不僅包含CrowdStrike的商標,並採用德文介面,而在「安裝」完成後,還會要求使用者輸入後臺伺服器的位置。但研究人員發現,由於安裝程式並未檢查輸入的內容能否成功連線,無論使用者是否提供相關資料,都會顯示發生連線錯誤的訊息。
Acronis Cyber Infrastructure去年修補重大漏洞,傳出已出現濫用此弱點的攻擊行動
資安業者Acronis旗下的超融合基礎架構平臺Cyber Infrastructure(ACI),去年10月修補重大層級漏洞CVE-2023-45249,7月24日該公司提出警告,表明這項漏洞已遭廣泛利用,呼籲IT人員應儘速套用更新。不過,他們並未透露攻擊細節。
美國網路安全暨基礎設施安全局(CISA)於29日,將此漏洞加入已被利用的漏洞(KEV)名單,並要求聯邦機構必須在8月19日前完成修補作業。
網路捷徑檔案安全機制繞過漏洞遭到利用超過一年,攻擊者用於散布數種竊資軟體
微軟在今年2月例行更新修補了網路捷徑檔案安全繞過漏洞CVE-2024-21412,不過近期有研究人員提出警告,駭客利用這項漏洞來散布多種惡意軟體的情況,並非最近才開始發生,而是1年多前。
資安業者Fortinet指出,包括Water Hydra在內的駭客組織,過去這一年內,已經利用這項漏洞散布Lumma Stealer、Meduza Stealer、ACR Stealer等多種竊資軟體,攻擊範圍涵蓋北美、西班牙、泰國。值得注意的是,先前通報這項零時差漏洞的資安業者趨勢科技,是在去年12月發現Water Hydra的漏洞利用攻擊行動,根據Fortinet的研究,此漏洞的濫用是更早之前發生,比趨勢的揭露早了大約5個月。
北韓駭客Andariel以經濟利益為目標,發動勒索軟體攻擊
從2009年從事網路間諜活動的北韓駭客組織Andariel(也稱做APT45、Onyx Sleet、Stonefly),最近資安業者Mandiant發現,該組織從事網路攻擊的類型變得更為廣泛,疑似開始發展勒索軟體並用於攻擊行動,牟取經濟利益。
他們追蹤了數起可能與該駭客組織有關的攻擊行動,並舉出兩起資安事故。其中,Mandiant首度揭露的勒索軟體ShatteredGlass,2021年資安業者卡巴斯基指出從事相關攻擊的駭客,很有可能就是Andariel。
另一起資安事故,則是2022年美國網路安全暨基礎設施安全局(CISA)揭露的勒索軟體Maui攻擊行動,北韓國家級駭客用來攻擊醫療照護及公共衛生機構,而這裡提到的北韓駭客,Mandiant認為應該就是Andariel。
其他攻擊與威脅
◆Proofpoint電子郵件路由漏洞遭到濫用,攻擊者藉此發送數百萬封釣魚郵件
◆惡意PyPI套件鎖定macOS作業系統而來,目的是竊取Google Cloud帳密資料
◆白俄羅斯駭客GhostWriter對烏克蘭散布惡意程式PicassoLoader
◆安卓間諜軟體Mandrake上架Google Play市集長達2年
◆研究人員揭露以人工智慧開發的網路犯罪服務,將網釣工具包結合惡意安卓應用程式
【漏洞與修補】
Nvidia修補Jetson單板電腦作業系統的高風險漏洞
7月24日Nvidia發布資安公告,修補人工智慧運算平臺Jetson的高風險漏洞CVE-2024-0108,問題發生在JetPack軟體開發套件(SDK)當中的Jetson Linux作業系統,CVSS風險評分為8.7,該公司發布相關更新予以修補。
這項漏洞發生的原因,在於GPU記憶體管理單元(MMU)位址對應程式碼的錯誤處理路徑有問題,無法清除故障的記憶體位址對應請求。攻擊者可藉由觸發漏洞來阻斷服務(DoS)、執行任意程式碼,或是提升權限。
在WhatsApp接收Python、PHP檔案不設防,有專家警告此管道可能被用於攻擊開發者、研究人員或網站管理者
根據資安新聞網站Bleeping Computer的報導,資安研究人員Saumyajeet Das發現Windows版即時通訊軟體WhatsApp存在弱點,在使用者傳送Python安裝檔(.PYZW)或是PHP檔案的時候不會進行攔截,也不向使用者發出警示訊息,導致攻擊者有機會對使用這款通訊軟體的開發人員下手。
研究人員指出,透過傳送Python或PHP檔案進行漏洞利用攻擊存在先決條件,那就是目標電腦要安裝Python或PHP,但在軟體開發人員、資安研究人員、管理者的電腦裡,往往具有這樣的組態而可能因此中招,因此這樣的風險相當值得留意,因為可能被用於針對性攻擊。
近期資安日報
【7月29日】北韓駭客APT45遭美國司法部通緝,揭露受害者涵蓋美國、臺灣、韓國的國防承包商
【7月26日】資安業者KnowBe4驚傳僱用北韓駭客,對方利用深偽技術應徵工作得逞,直到從事可疑行為才東窗事發
【7月23日】臺灣企業因CrowdStrike產品更新造成電腦當機的情況,金融、資服、傳統製造、高科技製造業都傳出災情
