【資安週報】2023年9月4日到9月8日
· 2023-09-11

本週有4個漏洞利用消息受關切,包括蘋果、Google、Adobe與Apache的漏洞;在網路威脅重大事件方面,最受各界矚目的新聞有兩則,一是發生在英國,傳出國防機密資料因合作廠商遭駭而外洩,另一個在德國揭露,聯邦憲法保護局(BfV)指出,中國駭客組織利用家用IoT裝置的漏洞接管裝置,並向政府機關發動攻擊

在這一週的漏洞消息中,最受關注的就是蘋果在7日緊急更新macOS、iOS,修補兩個零時差漏洞:CVE-2023-41064、CVE-2023-41061,揭露消息的加拿大公民實驗室,將這批漏洞鏈稱為BLASTPASS,並強調它們是可透過iMessageu傳送且不用使用者互動的零點擊漏洞,已在8月底發現有攻擊者藉此漏洞遞送Pegasus間諜程式。此外,Google的9月Andorid例行性安全更新中,也修補一個零時差漏洞CVE-2023-35674,並說明已遭攻擊者成功利用。

還要注意的是,今年7月Adobe修補ColdFusion的3個漏洞(2023-29300、CVE-2023-38203、CVE-2023-38204),如今資安業者指出已有針對未修補用戶的攻擊行動。另外,我們在此補充本週資安日報未提及的一個重大漏洞消息。今年5月23日揭露的Apache RocketMQ漏洞CVE-2023-33246,當時已釋出5.1.1版修補,最近有資安業者發現,6月開始出現持續對此漏洞利用的行為。

在攻擊活動國際焦點方面,有6起事件值得關注,涉及勒索軟體、合作供應商遇害,國家關鍵基礎建設遭鎖定,以及網釣等形式的惡意行為。

●英國柵欄設備製造商Zaun發布資安公告說明上月初遭勒索軟體LockBit攻擊,該國的軍事要塞採用該公司的產品,但因為駭客發動攻擊而拿到Zaun資料,以及駭客後續流出數千頁資料的影響,引發英國國防機密因合作廠商遭駭而外洩的事件。
●德國聯邦憲法保護局(BfV)發出報告指出,中國駭客組織APT15、APT31針對路由器、防火牆、NAS、網路印表機、智慧家電等家用IoT裝置的漏洞發動攻擊,接管這些裝置後,再用於向政府機關發動攻擊。
●烏克蘭電腦緊急應變小組(CERT-UA)揭露當地的能源基礎設施受到攻擊,並指出是遭俄羅斯駭客組織APT28攻擊行動鎖定。
●韓國資安業者揭露北韓駭客Lazarus旗下組織Andariel鎖定韓國國防工業,自今年開始使用多種惡意程式發動攻擊。
●有駭客組織GhostSec聲稱取得伊朗IT金融服務及IT服務業者FANAP的原始碼,並指出該公司的軟體被伊朗政府用於監控民眾。
●資安業者揭露中國駭客發起大規模釣魚簡訊攻擊行動Smishing Triad,攻擊者假冒多個郵政單位名義,透過遭駭的iCloud帳號對使用者發送iMessage訊息。

另外,今年5月中國駭客Storm-0558入侵25個使用微軟電子郵件系統的組織,以及今年8月勒索軟體Akira鎖定思科SSL VPN設備的攻擊行動,近期都有更詳細的後續調查公布。

而在最新的威脅態勢上,有兩起事件值得留意,包括:勒索軟體駭客Ransomed竟以付贖金可免受GDPR巨額罰款的話術來進一步要脅,以及微軟SQL Server遭勒索軟體FreeWorld鎖定。

另有2份個資隱私研究出爐,大家應關注與敦促廠商強化相關防護,一份是針對瀏覽器安全設計的研究,美國的大學研究人員指出,Chrome、Firefox與Safari瀏覽器的安全設計不夠完善,若有心人士結合網站漏洞,可透過瀏覽器外掛程式,存取使用者密碼等機密資料:另一是個資保護政策在汽車品牌業者領域未獲重視,25個品牌均未達Mozilla最低安全標準,最離譜的是,廠商居然表示能蒐集車主的性活動,顯然與車輛無關的個資,卻又未說明如何蒐集。

至於防禦態勢方面,在半導體資安、軟體開發與供應鏈安全領域有新動向。首先是SEMI E187資安標準規範,這一週舉行的國際半導體展臺灣場,宣布有首批設備通過合格性驗證,它們分別是均豪精密的AOI自動光學檢測設備,以及東捷科技的OHS空中行走式無人搬運系統:另一個進展是Google Cloud與GitLab宣布擴大合作,未來Google Cloud的開發人員可存取GitLab的DevSecOps平臺,而GitLab的用戶也可存取Google Cloud的軟體供應鏈安全框架SLSA評等,以及軟體物料清單(SBOM)。

 

【9月4日】Adobe應用程式開發平臺ColdFusion重大漏洞被用於部署挖礦軟體、後門程式擊

Adobe在7月份的例行更新裡,修補了應用程式開發平臺ColdFusion的重大漏洞CVE-2023-29300,不久後就有研究人員公布概念性驗證程式(PoC),接著就出現相關的漏洞攻擊。雖然Adobe已推出修補軟體,但現在仍有駭客針對相關漏洞而來,目的是想濫用這個平臺挖礦牟利。

值得留意的是,駭客一口氣至少部署3種以上的挖礦程式,部分還能操控受害伺服器進行DDoS攻擊。

【9月5日】瀏覽器的安全設計不良再加上網站漏洞讓惡意擴充程式有機可乘,挖掘用戶機密資料

瀏覽器的健全左右所有使用者的上網安全,因此Google、Mozilla等業者與組織頻繁推出軟體更新、希望能盡快修補漏洞。但有研究人員發現,這些瀏覽器普遍存在安全設計瑕疵,攻擊者可透過外掛程式竊取使用者輸入的密碼,或是信用卡資料。為了證實這樣的風險,他們進行概念性驗證(PoC),打造可進行這類攻擊的Chrome擴充套件,結果通過Web Store市集的審核而成功上架。

由於採用較嚴謹的Manifest V3而成的Chrome擴充套件,存在上述弱點,研究人員認為,使用Manifest V2規範的Firefox、Safari,也同樣可能受到相同手法的攻擊。

【9月6日】瀏覽器的開發工具元件成駭客竊取資料管道,研究人員揭露惡意軟體Chaes新一波攻擊行動

最近幾個月駭客利用瀏覽器來發動攻擊的情況不斷上演,其中最常見的手法,是利用惡意擴充套件來上下其手,但最近有駭客是直接濫用瀏覽器的內建工具來從事攻擊行動。

例如,資安業者Morphisec針對今年年初出現的惡意程式Chaes新版Chae$ 4進行分析,結果發現,駭客盜取資料的管道,竟是直接利用Chrome的內建開發工具(DevTools),並透過其通訊協定來傳輸竊得資料。

【9月7日】惡意程式Agent Tesla透過5年前Office漏洞發動攻擊

攻擊者利用Office檔案散布惡意程式的方式,算是相當常見,而過往最普遍的手法就是利用帶有巨集的Office檔案來進行,但隨著微軟這幾年封鎖惡意巨集的執行,駭客也尋求其他突圍手法。

例如,在近期的惡意軟體Agent Tesla攻擊當中,駭客利用的就是含有物件連結與嵌入(OLE)物件的Excel檔案,並宣稱使用者必須依照指示開啟,才能檢視完整內容。

【9月8日】網釣工具包W3LL挾持微軟帳號,並繞過雙因素驗證,暗中運作6年才曝光

駭客透過網路釣魚工具包發動攻擊的情況極為氾濫,不只是資安媒體報導的眾多團體,有些行跡相當隱密,最近資安業者Group-IB揭露的W3LL,就是一例。網路犯罪生態圈經營時間長達6年,主賣功能豐富的網釣工具包套件,並能加購可從事商業郵件詐騙(BEC)的相關模組。

為何W3LL一直沒被發現?因為他們只靠駭客私下介紹買家,未曾在網路犯罪論壇進行宣傳。

Popular articles
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
1spin4win grows its Latin American presence by partnering with Fortuna Juegos
Online Game
Full House at GAT Expo Cartagena 2026 Academic Agenda
Online Game
Indiana online casino bill stalls in House committee
Regulation
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
B2B Tech Infrastructure Gains Momentum in Philippine Gaming Sector
Southeast Asia
Gaming & Technology Expo Makes a Powerful Entrance in CDMX
Marketing
That’s a Wrap: AffPapa Conference Madrid 2026 Highlights
Online Game
Manila delivers: Highlights from SiGMA Asia 2026 
Southeast Asia
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
New Jersey July Gambling Revenue Hits $606M, Sweeps Casinos Banned
Regulation
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
Home
Game
Cooperation
Find
My