研究人员揭露中国黑客组织RedJuliett锁定台湾的网络间谍攻击活动,他们确认有75家企业组织被针对,高科技产业、外交经济、社会运动团体是这些黑客的3大标的
资安业者Recorded Future揭露为期近半年的网络间谍攻击行动,代号为Flax Typhoon、Ethereal Panda中国黑客组织RedJuliett,自去年11月自今年4月,针对台湾教育机构、政府机关、科技产业、外交机构而来,这些黑客利用防火墙、VPN、负载平衡设备等网络边界设备的已知漏洞,取得初始存取的管道,目的很有可能是为中国政府收集台湾经济、外交关系,以及关键技术研发的情报。
由于上述攻击发生的时间点,正好是今年台湾总统大选前至新政府上台的前夕,这起攻击行动的揭露,引起国内外媒体高度关注。
针对受害规模的部分,这些黑客入侵全球24个组织,其中包含了台湾、竂国、肯尼亚、卢旺达的政府机构。而对于台湾的部分,该组织试图针对75个企业组织下手,当中有8所大学、11个政府机关,攻击范围相当广泛,涵盖高科技产业、外交经济,以及社会运动,但他们认为,黑客最主要的目标还是高科技产业相关组织。
中国黑客组织针对亚洲电信业者植入后门,尝试窃取帐密数据
资安业者赛门铁克揭露中国黑客组织锁定特定亚洲国家电信业者的网络间谍活动,这些黑客在受害公司的网络环境植入后门程序,并试图窃取各式帐密数据。
研究人员指出,对方的攻击行动至少可追溯至2021年,不过,他们掌握2020年已有部分活动的证据。而对于攻击目标的部分,虽然黑客主要是锁定电信业者,但是也有提供电信业者服务的公司,以及另一个国家的大学受害。
究竟对方的目的为何,研究人员表示并不清楚,但很有可能是为了收集特定国家的电信行业情报,甚至进行监听,也不排除对当地关键基础设施进行破坏;而对于攻击者的身分,他们也推测有几种可能,有可能是多组人马进行合作,或是不约而同发动攻击;也有可能是未被发现的黑客组织出手,并使用其他团队提供的作案工具犯案。
恶意软件加载工具SquidLoader锁定中国企业组织而来,企图通过伪装成Word文件的附件引诱员工上钩
今年4月下旬,电信业者AT&T旗下的资安威胁实验室LevelBlue发现具备高度回避侦测能力的恶意程序加载工具SquidLoader,使用此项工具的攻击者锁定使用简体中文的用户,受害者电脑会因此而加载Cobalt Strike。研究人员进一步调查指出,这些黑客在过去2年就曾发起了零星攻击,而且似乎专门针对国家而来。由于这样的攻击技术及手法有可能被拷贝,未来很有可能被其他恶意软件开发者如法炮制。
研究人员认为,攻击者的主要目标是员工,企图借由具有明确描述的名程引诱他们上当。值得留意的是,这些钓鱼邮件的附件文件虽然都带有Word文档图标,但实际上都是可运行档,一旦收信人打开附件,电脑就可能从远程下载SquidLoader。
YouTube直播平台出现马斯克Deepfake视频,对方企图诈骗加密货币
入侵知名企业或名人的网络服务帐号,对其支持者进行金融诈骗的手法频传,6月24日YouTube Live直播平台便出现马斯克的Deepfake视频,对方将特斯拉公司发布的公开视频通过Deepfake改造,企图诱骗支持者造访指定网站并转出数位货币,视频被检举下架前5个小时,曾吸引至少3万人同时观看。
根据科技新闻网站Engadget报导,这则诈骗视频看似马斯克在特斯拉公司活动中发表演说,马斯克指示用户点击造访某个网站网址,并将手上的比特币、以太币与狗狗币存储在该网站的电子钱包中。AI版「马斯克」声称,只要用户完成存储,就可获得存入金额2倍等值的加密货币作为回馈。
值得留意的是,该视频是由貌似特斯拉的公司帐号发布,并有YouTube艺术家官方频道(Official Artist Channel)的验证徽章,媒体推测,这很可能是特斯拉遭骇的帐号。
其他攻击与威胁
◆黑客组织APT-C-35锁定安卓设备发动超过120起攻击行动,散布恶意程序Rafel RAT
◆研究人员揭露难以被杀毒软件察觉的僵尸网络病毒Zergeca
◆研究人员揭露新型态攻击手法GrimResource,利用MMC管理主控台存取受害电脑并回避侦测
◆勒索软件黑客组织Qilin传出在Telegram频道外流400 GB英国国民保健署及病人数据
【漏洞与修补】
电子商务平台PrestaShop的脸书插件程序存在漏洞,已有攻击者用于窃取信用卡付款详细信息
电商平台技术社群Friends Of Presta指出,名为pkfacebook的付费插件程序存在重大漏洞CVE-2024-36680,使得浏览电商网站的访客有机会发动SQL注入攻击,CVSS风险评为9.8分,影响1.0.1以前的版本。值得留意的是,这项漏洞已被积极利用,攻击者借此在电商平台植入侧录工具,以便大规模窃取信用卡数据。
这项由Promokit.eu打造的电商平台PrestaShop插件程序,主要是供用户直接使用脸书帐号与站方交互,留下评论,或是通过Messenger与客服进行沟通。然而,由于这项插件程序是由该公司自行销售,他们并未透露有多少网站采用,究竟有多少电商网站曝险,目前仍不得而知。
微软将通过Windows每月例行更新一并修补Visual Studio
为更为充分利用Windows的更新机制Microsoft Update,微软宣布自8月开始,将会借此机制,于每个月的例行更新(Patch Tuesday)提供用户IDE工具Visual Studio的相关更新。
一旦用户在Microsoft Update激活接收其他微软产品更新的功能,他们将对使用Visual Studio 2022、Visual Studio 2019、Visual Studio 2017的用户派送更新,这项服务不支持预览版Visual Studio。
其他漏洞与修补
◆开源人工智能基础设施平台Ollama存在漏洞Probllama,若不修补恐被用于RCE攻击
近期资安日报
【6月24日】北美汽车经销商软件服务业者CDK Global遭攻击而停摆,传出是勒索软件BlackSuit所为
【6月21日】黑客组织Void Arachne借由提供中国用户翻墙工具、Deepfake人工智能工具散布恶意程序
【6月20日】中国黑客UNC3886利用多项防火墙及虚拟化平台的零时差漏洞隐匿行踪,并部署后门程序持续存取网络环境
