本周资安业者Sansec提出警告,今年2月被卖给中国公司的网站程序库Polyfill.io已被嵌入恶意程序,使用此程序库的网站,用户将被重新导向赌博网站及其他恶意网站
根据资安新闻网站SecurityAffair、Cybernews报导,6月24日恶名昭彰的勒索软件黑客组织LockBit声称,他们骇入美国联邦储备系统(联准会)的系统,窃得33 TB敏感数据,当中包含了「美国的银行秘密」,要胁若不在期眼内付钱,将于25日公布这批数据。然而,这些黑客并未公布部分内容供买家查证,引起多名资安专家质疑,认为LockBit这么做其实只是在虚张声势。
隔天,该组织公布了21个下载链接,但值得留意的是,有部分疑似来自美国金融机构Evolve Bank and Trust,而且,这些黑客还附上联准会6月14日针对这家金融机构进行执法行动的新闻稿,当时联准会表示这家银行在洗钱防治、风险管理、消费者法规遵循的运行上出现瑕疵。
但这些数据究竟来自联准会还是Evolve Bank and Trust?网络威胁监控公司HackManac透露,根据黑客公布的数据,对方显然入侵了Evolve Bank and Trust,但目前并未发现机密文档的情况,该公司仍着手持续调查当中。
微软旗下语音技术厂商管理不当,离职员工窃取美国宾州医院百万病患个资
美国宾州医疗院所Geisinger Health去年因微软IT管理不当,让一名员工离职后仍可存取其系统并窃取超过100万名病人个资。
根据Geisinger的说明,去年11月29日Geisinger发现隷属于微软的Nuance员工存取其病患信息系统,而且是在他被公司解职后2天所为。在获得客户通知后,Nuance已永久终止这名前员工的系统存取权。目前这名员工已遭到逮捕,将面临起诉。
微软在2021年并购语音技术供应商Nuance,并将其技术集成AI模型提供语音听写方案DAX,后者可用于医疗情境,像是产生临床笔记、医嘱、电子病历等。这并非Nuance首度因IT管理不当的酿祸,2018年旧金山公共健康部也遭Nuance离职员工存取了当地医疗网络的IT系统。
专门锁定Redis服务器的僵尸网络P2PInfect出现新的攻击手法,黑客为其加入勒索软件模块
自去年7月被发现的僵尸网络P2PInfect,主要的攻击目标是分布式数据库Redis服务器,并运用其运算资源挖矿,但最近研究人员发现,有黑客在这款僵尸网络病毒纳入勒索软件功能,而有可能对目标服务器进行文件挟持。
资安业者Cado发现新的P2PInfect攻击行动,他们看到受害Redis服务器在感染僵尸网络病毒后,会从特定的URL下载勒索软件rsagen并运行,并对于数据库文件SQLITE3、SQL、DB,文档文件DOC、XLS,以及影音文件MKV、WAV、MP3等,运行文件加密作业,并留下勒索消息。
除了上述的勒索软件模块,研究人员指出与过往的版本相比,这个僵尸网络病毒也在其他层面出现大幅度的变化。首先,他们发现对方重新利用Rust异步框架Tokio打造,并通过UPX加壳处理,而且,主要运行档被剥离,且有部分代码经过混淆处理,这样的做法使得静态分析难以识别这款恶意程序。
其他攻击与威胁
◆专门锁定Redis服务器的僵尸网络P2PInfect出现新的攻击手法,黑客为其加入勒索软件模块
◆黑客组织Boolka锁定网站发动SQL注入攻击,意图植入木马程序Bmanger
◆金融木马Medusa锁定安卓用户下手,攻击范围遍及欧美7个国家
◆旧版浏览器网站兼容套件Polyfill被中国公司买下并植入恶意代码,恐影响10万网站
◆研究人员揭露新的攻击手法SnailLoad,借由网络延迟的变化推测用户的活动内容
【漏洞与修补】
苹果发布AirPods固件更新,修补蓝牙耳机配对漏洞
6月25日苹果针对旗下蓝牙耳机AirPods发布固件更新6A326、6F8,修补身分验证漏洞CVE-2024-27867,这项漏洞影响第2代以上的AirPods、所有型号的AirPods Pro、AirPods Max,以及Beats旗下的Powerbeats Pro、Beats Fit Pro。
而对于这项漏洞带来的影响,苹果指出,当用户的耳机在搜索已成功配对的设备时,攻击者若是在蓝牙信号的范围内,就有机会冒充已配对的设备,从而取得存取耳机的权限。换言之,攻击者可能借此窃听用户的声音。
研究人员针对西门子修补的SICAM设备漏洞提出警告,若不修补有可能被用于针对能源产业攻击
今年5月、6月西门子针对旗下工业控制系统SICAM产品线发布例行更新,针对CVE-2024-31484、CVE-2024-31485、CVE-2024-31486进行公告,这些漏洞影响终端机单元A8000、AK3、TM、BC系列,以及强化电网感应器(Enhanced Grid Sensor,EGS)、SICAM 8电力自动化平台,而这些系统主要是针对变电站自动化打造的电网解决方案,一旦遭到利用,影响层面可能将会相当广泛。
本周通报上述漏洞的资安业者SEC Consult说明相关细节,公布这些漏洞发生的原因,并展示概念性验证(PoC)代码。
【资安产业动态】
4成企业今年要招募资安好手,资安事件应变人才最抢手
这几年,两大法遵推力下,包括影响公部门资安人力的政府资安管理法,以及主管机关对上市柜公司的资安要求,大幅带动了企业对于资安人力的建置,根据2024 iThome CIO大调查的统计结果来看,企业平均专责资安人力达到了4.8人,尤以金融业的平均11.6人最多,其次是政府学校(4.4人)、高科技制造业(4.1人),医疗则是资安人力最少的产业,只有2.4人,比一般制造业的平均人数(2.9人)还要低。
不过,企业现有资安人力,远低于资安长心中理想的团队规模,要足以对抗企业当前资安威胁,资安长期望平均要达到5.9人,换句话说,现有4.8人的规模,还少了近四分之一的人手。各产业都有资安人手达不到资安长期望的情况,又以医疗业和政府学校的落差最大。
今年有4成企业要招募资安职缺,平均招募人数是2.7人,又以政府学校的招募人数需求最多,达到6.1人,主要来自少数一级政府机关、大型国营企业、大型学校为了资安转型而展开的人力需求扩编,才拉高了整体平均值。其次,金融业平均要招募4.2人,也远高于其他产业的平均资安人力需求量。
近期资安日报
【6月26日】恶意软件沙箱服务业者Any.Run遭到网钓攻击,所有员工收到内部人员寄来的钓鱼信
【6月25日】中国黑客组织RedJuliett近半年锁定台湾高科技产业、外交经济、社会运动团体从事网络间谍攻击
【6月24日】北美汽车经销商软件服务业者CDK Global遭攻击而停摆,传出是勒索软件BlackSuit所为
