研究人员在调查一起勒索软件攻击事故时,发现对方在微软发布软件安全性更新约3个月前,就掌握漏洞细节并打造作案工具,然后将其用于攻击行动
近期不断登上新闻版面的新兴勒索软件黑客组织RansomHub,接连针对美国医疗集团Change Healthcare、英国精品拍卖业者佳士得(Christie's)、台湾电脑制造商蓝天(Clevo)出手,这个从今年2月才出现的黑客组织,已窜升至过去几个月第4大的勒索软件,其威胁态势也引起研究人员高度关注。
资安业者赛门铁克针对这个黑客组织着手进行身家调查,他们发现RansomHub的有效酬载与另一款名为Knight的勒索软件具有高度相似性,这两款恶意程序都是通过Go语言打造,而且,大部分的版本使用名为Gobfuscate的工具进行混淆处理。
而对于RansomHub的攻击流程,研究人员提及,他们看到这些黑客通常利用ZeroLogon(CVE-2020-1472)取得初始入侵的管道,对方借此得到网域管理员权限,从而控制整个网域。
网络钓鱼工具包V3B锁定欧洲国家银行而来,企图窃取用户登录数据及OTP
资安业者Resecurity揭露新的黑客组织,对方自今年3月,在加密通信软件Telegram频道与暗网社群里,推广名为V3B的网钓工具包,并专注欧洲金融机构客户从事相关攻击。目前这些黑客的Telegram频道至少吸引了1,255名成员,他们专门从事社交工程攻击、SIM卡挟持(SIM Swapping)、金融卡诈欺等网络犯罪行为,估计已造成数百万欧元损失。
研究人员指出,这款网钓工具包锁定超过54个欧盟金融机构的用户而来,标榜提供专属的本地化范本,能模仿各家网络银行及电子商务系统的验证流程,该工具包攻击的范围,遍及爱乐兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡、意大利。
黑客借由Excel巨集进行多阶段恶意软件攻击,针对乌克兰电脑植入Cobalt Strike
资安业者Fortinet针对锁定乌克兰利用Excel巨集散布渗透测试工具Cobalt Strike的攻击行动提出警告,并指出对方在过程里采用各种规避手法,来确保有效酬载能够成功送达。
黑客先是发送内含乌克兰文本的Excel巨集,一旦用户依照指示激活巨集,该文件就会切换成分配军事单位预算的工作表,而在此同时,巨集则会借由公用程序regsvr32,在后台部署DLL程序库,以便下载作案工具。
这个恶意程序下载工具在启动的过程当中,会检查目标电脑是否存在Avast杀毒软件及Process Hacker的处理进程,并确认电脑的地理位置在乌克兰,然后从远程服务器下载另一个经过编码处理的有效酬载,最终将Cobalt Strike的Beacon注入,并与C2服务器创建连接。
研究人员揭露Veeam刚修补的重大漏洞技术细节与利用方式
不久前的5月21日,备份与数据保护软件厂商Veeam,发布Veeam Backup & Replication备份软件12.1.2.172更新版本,修补Veeam Backup Enterprise Manager(VBEM)集中管理控制台的4个漏洞,但只简略提及这些漏洞造成的影响,而未交代具体的技术细节。
最近资安研究人员Sina Kheirkha则针对严重程度最高的CVE-2024-29849,提出了他的分析结果,以及可行的利用漏洞方式。研究人员指出问题是出在Veeam API的SSO token验证进程并不完备,用于验证SSO token有效与否的STSService URL网址,本身并不会经过验证,所以攻击者可以将SSO token验证请求,导向到自己控制的恶意服务器服务器上,所以Veeam API向恶意服务器询问攻击者的SSO token是否有效时,自然会得到「有效」的回应。
半导体硅晶圆厂环球晶圆发布重大消息,部分信息系统遭受攻击,恐有产线受到影响
6月13日傍晚5时半导体硅晶圆厂环球晶圆(环球晶)发布重大消息,证实有部分信息系统在12日晚间遭到黑客攻击。该公司资安单位在察觉异状后,随即启动相关防御及复原机制,并委请外部资安业者的技术专家协助处理。
而对于这起事故带来的影响,他们后来也向中央社透露后续确认的情况,指出有少数厂区的部分产线受到影响,对此,他们将会使用库存因应,若有部分无法及时供应,有可能延迟至第3季初出货。
其他攻击与威胁
◆研究人员揭露针对机器学习模型而来的攻击手法Sleepy Pickle
◆恶意程序加载工具PhantomLoader冒充中国杀毒软件组件,被用于散布恶意软件SSLoad
其他漏洞与修补
◆苹果发布操作系统更新,首度修补Vision Pro独有的虚拟实境运算漏洞
◆Fortinet修补防火墙操作系统高风险层级的代码运行漏洞
【资安产业动态】
企业自信心带动资安转型意愿,识别力信心最低成短板
资安自信心成为资安变革的动力,更多台湾大型企业,资安自信心比过去更高,也更想要改变资安战略的做法。根据iThome 2024资安大调查的分析结果显示,强化资安向来是企业首席信息官排名第一的年度目标,但今年以此为目标的CIO减少了,转而代之的是,更多企业首席信息官、资安长聚焦在资安转型,不只是做好,而要更积极展开资安变革。今年高达49.8%的企业资安长,将资安转型定为年度目标,远高于去年的30.8%比例。
高达46%的企业首席信息官、资安长对企业资安能力有信心,这个比例远高于去年的28.7%。更多企业相信自己有足够的能力,因应层出不穷的资安风险和威胁,也更愿意做出改变。
其他资安产业动态
◆英国智库皇家国际事务研究所举办2024年网络安全会议,邀请数位发展部分享台湾防御策略
【资安关键人物】
法遵议题是驱动台湾资安产业发展关键
资安政策制定和推动,对台湾资安发展扮演关键角色。趋势科技台湾区总经理洪伟淦表示,政府应该针对不断变化的威胁环境,制定相应的法规要求,以保护国家和民众的信息安全,同时政府也为企业提供必要的政策支持和保护,以带动资安产业整体发展,例如政府提供企业资金支持和税收优惠等措施以促进资安产业发展。
洪伟淦坦言,资安不仅仅是企业面临的问题,也是国家面临的问题,因此,政府不只要积极推动资安产业的发展,也应该将资安转化为国家的竞争优势,像是政府可以通过制定相应的政策措施,促进资安产业的稳健发展,同时,还可以为保障国家的信息安全,提供更加坚实的基础。
近期资安日报
【6月13日】荷兰针对中国黑客攻击Fortinet防火墙设备的网络间谍行动进行深度调查,黑客挟持全球逾2万台设备
【6月12日】微软发布6月份例行更新,总共针对49个漏洞进行公告
【6月11日】纽约时报证实内部数据流入地下论坛,代码存储库帐密数据外流酿祸
