资安业者Sygnia揭露一起为期长达3年的网络间谍攻击活动,而黑客其中一种维持在受害组织活动的管道,是通过曝露在互联网上、已弃用的老旧F5 BIG-IP设备来达到目的
资安业者Sygnia指出,他们去年底针对一起锁定大型组织的网络攻击行动进行调查,结果发现,中国黑客组织Velvet Ant已于该企业从事间谍活动长达3年,值得留意的是,其中一种维持存取内部网络环境的管道,竟是借由曝露在互联网上、已弃用的老旧F5 BIG-IP设备,并将其当作C2服务器滥用。
在鉴识人员介入后,他们发现黑客再度散布恶意软件时,这些PlugX虽然会触发资安系统的警报,但黑客并未像之前的攻击行动,通过外部的C2来从事相关攻击,这样的作法极不寻常。
在受害组织全面采取补救措施的情况下,究竟黑客如何远程对运行老旧操作系统的Windows文件服务器进行控制?鉴识人员进一步监控网络流量发现,PlugX于受害主机创建新的防火墙规则,并监听特定的网络连接端口,他们看到其中一台服务器开放13742端口,并与F5 BIG-IP负载平衡设备进行连接。这些负载平衡设备曾是该企业灾难复原计划的规画内容,但该项目最后并未采用,这些设备后续就一直留在主要使用的网络环境上,使得黑客有机可乘,将其当作存取内部网络的管道。
中国黑客组织SecShow在全球进行大规模DNS探测行动
资安业者Infoblox揭露中国黑客SecShow的攻击行动,这些黑客自去年6月开始,利用中国政府营运的教育和科研电脑网络(CERNET)的网域名称服务器(DNS server),在全球进行大规模DNS探测行为,借此识别公开的DNS解析器,并试图收集这些解析器回应的内容。究竟这些黑客的目的为何?研究人员表示尚无法确认,但对方收集到的数据,可用于网络犯罪,并让攻击者谋取利益。
研究人员指出,这些黑客向世界各地的IPv4、IPv6的IP位址发送DNS查找,他们在去年7月首度察觉该组织的活动,同年秋季相关的查找量急速增加。
黑客制造假应用程序错误消息引诱用户上当,运行PowerShell脚本植入恶意程序
资安业者Proofpoint揭露新型态的社交工程攻击手法,黑客组织ClearFake、TA571声称Chrome、Word、OneDrive等应用程序出错为由,引诱用户依照指示,拷贝、粘贴并运行PowerShell脚本,从而导致电脑感染恶意软件。
研究人员从今年3月、4月,以及6月初,看到上述两组人马运用相关手法从事攻击行动,但无法确认这些黑客是否有所关连。
永信药品工业遭黑客攻击,首见公开发行公司发布资安重讯
业务范围扩及全球多国的台湾制药公司永信药品工业,昨日传出遭遇资安事故,上市生技医疗业永信投控在6月17日下午4时32分率先揭露此事,于证交所公开信息观测站发布资安重讯,代重要子公司永信药品工业公告部分信息系统遭受黑客攻击,同日傍晚6时,身为公开发行公司的永信药品工业也发布重讯,公开这起资安事故。
他们并表示,目前正对所有网域、网页及相关文件做全面彻底的扫描检测,待确保信息安全后,会陆续恢复信息系统运作。而我们在17日早上11时实际连至永信药品与永信国际投资控股的官方网站,仍是无法存取的情况,可能他们还在进行相关调查,所以网站未开放。
其他攻击与威胁
◆北韩黑客Moonstone Sleet散布恶意NPM套件,锁定开发人员下手
◆黑客假借提供破解软件,意图对韩国用户散布恶意程序NiceRAT
◆黑客组织Arid Viper锁定行动设备从事网络间谍活动,散布恶意程序AridSpy
◆勒索软件黑客组织Cactus声称攻击光纤网络设备供应商康联讯
【漏洞与修补】
华硕公布路由器重大身分验证绕过漏洞,7款机型受到影响
华硕7款家用及消费性路由器产品传出重大验证绕过漏洞,可让未经授权的攻击者远程登录设备。华硕及资安专家呼吁,用户应尽早安装新版软件。这项验证绕过漏洞为CVE-2024-3080,发生在华硕家用及消费性路由器产品的固件,影响ZenWiFi XT8、ZenWiFi XT8 V2、RT-AX88U、RT-AX58U、RT-AX57、RT-AC86U及RT-AC68U。
根据台湾电脑网络危机处理暨协调中心(TWCERT/CC)的资安公告,此为身分验证绕过漏洞,而有可能允许未经验证的攻击者存取,CVSS风险评分达9.8。
其他漏洞与修补
◆CISA针对AutomationDirect旗下的可程序化逻辑控制器漏洞提出警告
【资安产业动态】
国内加密货币交易所XREX打造威胁引擎,快一步揪出诈骗、洗钱帐户
在加密货币交易所中,用户随时都能进行交易,这样的特性虽然带来便利,却也被诈骗组织用来快速转移非法资金。除了设置基础安全机制增加防御,交易所主要通过KYC和链上分析工具,来确认用户真实性和分析资金流向,抵御诈欺洗钱犯罪。但是,随着诈骗和洗钱手法不断升级,既有工具的功能有限,难以因应趋势变化,成为交易所侦测诈骗和洗钱行为的一大挑战。
在2024台湾资安大会上,国内加密货币交易所XREX分享自家的风控机制。他们开发了一套威胁引擎,集成了用户交易前、交易中、和交易后的信息,并提供风险评估,协助内部团队更快速针对犯罪行为做出应变。这款威胁引擎包含多个模块,能分析KYC、交易行为等信息,并进行交易监控与性质分析等。引擎在每个阶段搜集的信息都会分为多个属性,并针对各别属性进行风险评估。
其他资安产业动态
◆Google宣布启动台湾资安人才培育计划,目标在明年底培育2千名人才
【资安关键人物】
台湾推动「资安即国安」领先世界各国,将资安拉高到国安层级
近年来资安成为全球关注焦点,对于台湾,资安更是不可或缺。过去十年台湾历经不同政党的执政,中研院院士、也曾担任蔡英文总统第一任总统任期内的国安会咨询委员李德财表示,「资安即国安」政策在这段时期,得到前瞻性的进步及实质性推动。
李德财深信:「资安等于国家安全是大家的共识,不应该有蓝绿党派的差异,这是一件跨党派要做的事情。」
近期资安日报
【6月17日】日本影音共享平台Niconico、角川书店传出服务中断近一周,起因是数据中心遭勒索软件攻击
【6月14日】勒索软件黑客组织Black Basta在微软提供漏洞修补3个月前,利用掌握到的资安弱点打造攻击工具
【6月13日】荷兰针对中国黑客攻击Fortinet防火墙设备的网络间谍行动进行深度调查,黑客挟持全球逾2万台设备
