【資安日報】4月1日,發現潛伏三年的供應鏈攻擊事件,程式庫XZ Utils近期被植入後門
· 2024-04-01

週末爆發XZ Utils資料壓縮程式庫遭植入後門的供應鏈攻擊事件,該後門將可讓攻擊者繞過SSHD的身分認證機制,目前許多研究人員正追查其攻擊手法及提交Commit的GitHub帳號,並指出其手法複雜且相當難以察覺

/Thomas Roccia

微軟PostgreSQL開發人員Andres Freund在3月29日揭露XZ Utils資料壓縮程式庫被植入後門,並指出這是一樁供應鏈攻擊事件,Red Hat也發布相關緊急安全通告,指出CVE-2024-3094是CVSS v3風險層級滿分10分的漏洞,已確定Fedora Rawhide、Fedora 41、Kali Linux、openSUSE Tumbleweed/MicroOS,部分Debian版本受影響。

這起事件在上週六一早即引起臺灣資安研究人員的關注與重視,原因是這起事件不僅是涉及SSHD(Secure Shell Daemon)的供應鏈攻擊,而且手法相當精心設計且複雜,若不是及早被發現,一旦進入穩定版主流linux發行,後果恐不堪設想。

另一微軟威脅研究人員Thomas Roccia週日在X平臺發文表示,他嘗試用一張提表整理入侵的脈絡,當中顯示一名代號為Jia Tan(JiaT75)的GitHub帳號用戶,是在2022年2月6日針對XZ程式庫提交第一次Commit,之後又陸續提交幾次測試檔,然後在2024年2月16日、3月9日悄悄將惡意程式加入,其中bad-3-corrupt_lzma2.xz與good-large_compressed.lzma這兩個看起來無害的測試用binary,更是會在特定條件下解析出惡意程式。

AT&T大量客戶資料流入暗網,影響7,300萬用戶

美國電信龍頭AT&T在3月30日(週六)宣布,大約有7,300萬新舊客戶的資料被發現在流傳到暗網,這些資料包括當地社會安全號碼,以及及電子郵件信箱、電話號碼、生日等個人資訊。

根據AT&T說明,他們已確認在兩星期前在暗網發布的資料與AT&T用戶有關,尚不清楚檔案內欄位中的資料是來自AT&T,還是他們的供應商之一,目前仍在評估外洩資料的來源。而根據他們的初步分析結果,這些資料似乎是來自2019年或更早,影響了約760多萬現有AT&T帳戶持有者,以及6540多萬舊有帳戶持有者。所幸,暫時沒有發現AT&T系統有遭未經授權存取的情況,該公司則表示將通知受影響用戶,並提供免費信用監控。

MFA轟炸攻擊再現!但這次發生在蘋果密碼重設通知的場景

過去2022年曾出現鎖定企業員工的MFA轟炸(MFA Bombing)攻擊,如今這樣的通知轟炸攻擊,似乎也發生在蘋果密碼重設通知的情境之中。這項威脅是由資安部落格KrebsOnSecurity的一份報告揭露,當中指出有幾位蘋果用戶成為網釣攻擊目標,不斷收到數十起關於密碼重置請求的通知提示,需要使用者對每項通知提示做出「允許」或「不允許」的回應,否則使用者無法用手機做任何事情。此外,即便使用者都沒有按錯按鈕,有些使用者表示,後續還會收到冒充蘋果支援人員的語音網釣(Vishing)攻擊。

由於攻擊者能在短時間內發送數十次的密碼重設請求,這也代表,蘋果iCloud帳戶的密碼重設機制,可能存在一些問題,像是沒有通知發送頻率的限制。

亞昕資訊通報其校務行政系統遭駭而被勒索,教育部已確認7所高中受影響,將持續清查26校

教育部在3月29日公布了近期國內7高中校務系統遭駭客入侵的事件,說明半個月前教育部國民及學前教育署(簡稱國教署)收到亞昕資訊遭勒索攻擊的通知,駭客以散布該公司校務行政系統內高中學生資料為由,向該公司勒索費用。國教署在獲知情形後,通報發生資安事件,並進行緊急應變與調查。

關於初步調查結果,駭客先是從1所學校的系統漏洞入侵主機,執行惡意程式以竊取學校的帳號密碼,接下來,他們搜尋其他使用該廠商校務行政系統的學校,成功利用同一組帳號密碼登入其他6所學校的系統,因此發現有7所高中被入侵,確實有學生個資遭外部下載情形,但沒有新增、刪除等操作行為。 而國教署也說明,由於與亞昕資訊簽約學校有26所,為掌握其餘學校個資外洩情形,近日將持續清查這些校務行政系統的學生學習歷程檔案是否受到影響。

免費VPN用戶當心!有駭客打造17款假VPN App其實都暗藏惡意

近日資安公司Human Security旗下Satori資安威脅情報團隊指出,Google Play商店上有17款偽裝VPN應用程式涉嫌搭載惡意SDK軟體,可能將用戶裝置轉變為網路犯罪工具。

研究人員指出,這些偽裝VPN App看似提供免費VPN服務,但卻藏有一個名為「PROXYLIB」的惡意SDK軟體工具。這個工具可以在用戶毫不知情下,暗中安裝於用戶手機裝置上,將其變成網路犯罪分子或駭客的「網路代理伺服器」,也就是利用你的裝置來發動特定惡意攻擊活動。研究人員共發現28款App都藏有PROXYLIB SDK,在他們通報後,Google已經將這些App下架。

 

【資安防禦措施】

微軟公布多款改善生成式AI服務安全性的新工具,Prompt Shields率先亮相

隨著生成式AI的普及應用,包括提示注入攻擊或濫用AI系統漏洞等相關風險也隨之而來,導致AI聊天機器人做出不在規範內的行為,繼3月初Cloudflare推出Firewall for AI,微軟在3月底也宣布一系列協助生成式AI應用的AI安全工具,例如,新的提示防護罩(Prompt Shields),是去年11月的越獄風險偵測的強化,不只防範原本提示注入的直接攻擊,也能防範提示注入的間接攻擊。

其他有助於改善生成式AI服務安全性的工具,將於日後推出,包括:可防範AI模型幻覺問題的Groundedness detection,可引導模型行為朝向安全與負責的Safety system messages,以及越獄評估工具Safety evaluations與風險與安全監控工具。這些工具之後都將整合於Azure AI Studio與Azure OpenAI Service之中。

 

热门文章
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
BETFAIR 网络攻击80万用户资料泄露
游戏风向
准备好了将你的收益最大化吗?尝试ProPush.me Constructor!
广告营销
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
首页
游戏
合作
发现
我的