

资安业者Sophos提出警告,他们针对中国黑客入侵网络设备挖掘零时差漏洞的情况进行超过5年的调查,结果发现,有多组人马利用相关成果从事后续攻击行动
今年8月、9月,资安业者Team Cymru及Sekoia针对僵尸网络Quad7的攻击行动提出警告,指出黑客锁定TP-Link、兆勤(Zyxel)、华硕、Ruckus等厂牌的网络设备而来,最近有新的调查结果出炉,发动攻击的黑客可能与中国有关。
10月31日微软发布调查报告指出,他们从2023年8月开始,发现有客户遭到入侵的情况,而这些资安事故的共通点,在于黑客成功窃得帐密数据,而能够在高度回避侦测的情况下,进行密码泼洒(password spray)攻击,研究人员循线找到遭骇设备组成的僵尸网络,并指出中国黑客Storm-0940使用该僵尸网络窃得的帐密数据。
研究人员指出,这个僵尸网络由SOHO路由器组成,其中又以TP-Link的网络设备占大多数,根据他们的调查,经营该僵尸网络的人士很可能位于中国,并通过路由器的漏洞而能够远程运行代码进行相关攻击,而且,有多组中国黑客使用该僵尸网络窃得的帐密数据,其中一组人马就是自2021年开始活跃的Storm-0940。
北韩黑客Andariel传出与勒索软件Play狼狈为奸

国家级黑客彼此互通有无,交换战术及共享恶意程序的情况相当常见,但如今有国家级黑客与网络犯罪生态圈打交道的情况,引起研究人员的注意。
资安业者Palo Alto Networks表示,他们确认匿称为Onyx Sleet、Jumpy Pisces的北韩黑客组织Andariel,参与了近期的勒索软件Play攻击行动,这样的情况代表该组织的策略出现变化,针对这样的现象,研究人员指出,此为这批人马首度运用现有的勒索软件基础设施情况,后续动态相当值得留意。
针对这样的现象,研究人员推测,很有可能Andariel部分派系正与经营勒索软件Play的黑客团体Fiddle Scorpius进行合作,有可能是成为Play旗下的附属组织,或是担任初始入侵掮客(Initial Access Broker,IAB)的角色。
勒索软件Black Basta通过微软Teams进行社交工程攻击
今年勒索软件黑客Black Basta的动作频频,其中发生在今年5月的美国大型医疗照护系统Ascension事故最为受到关注,美国网络安全暨基础设施安全局(CISA)与联邦调查局(FBI)当时特别提出警告,如今这群黑客也结合社交工程手法,引诱用户上当,从而入侵企业组织的内部网络环境从事后续攻击行动。
资安业者ReliaQuest指出,他们在10月下旬看到黑客使用的战术、手段、流程(TTP)出现显著的变化。首先,发动大规模垃圾邮件攻击后,上钩的用户就会被引至与特定微软Teams用户交谈,攻击者通常会通过貌似微软技术支持人员、管理者、服务台成员的Entra ID帐号登录微软Teams,而且在Teams用户身分显示沿用这些名称,使一般人误以为他们是微软的这些工作人员,而且,黑客通常会将帐号的显示名称设置为含有Help Desk的字符串,聊天室的名称多半是OneOnOne。
Teams群组里面会发生什么事?对方试图引诱目标用户使用QuickAssist寻求支持,但也有使用AnyDesk的情况,此外,黑客会在Teams对话提供伪造合法品牌的QR Code条码,但这些条码的用途目前仍不清楚。研究人员推测,攻击者有意借此引诱用户存取恶意基础设施。
勒索软件Fog、Akira锁定SonicWall防火墙的VPN功能而来,意图入侵企业网络环境
9月初资安业者SonicWall针对防火墙操作系统SonicOS重大层级漏洞CVE-2024-40766(CVSS风险评分为9.3),表明他们掌握这项漏洞有实际攻击行动出现,资安业者Arctic Wolf也观察到相关资安事故,如今他们公布更多调查结果。
10月24日Arctic Wolf表示,他们最早是在8月初察觉勒索软件Akira及Fog的攻击行动显著增加的情况,而且,黑客初期入侵受害组织环境的管道,就是利用SonicWall防火墙设备的SSL VPN帐号。
截至10月中旬,黑客已发起约30起攻击行动,这些资安事故当中,约有四分之三与Akira有关,其余则是被植入Fog。研究人员提及,黑客从入侵到加密文件的时间并不长,大部分接近10个小时,但最短的仅有1.5至2个小时。
其他攻击与威胁
◆大规模攻击行动EmeraldWhale扫描曝露的Git组态,窃得1.5万组云端帐密数据
◆恶意广告通过脸书转传,意图散布窃资软件SYS01stealer
◆PTZ视讯镜头重大层级的零时差漏洞遭到锁定
其他漏洞与修补
◆研究人员利用十六进位编码、表情符号,绕过ChatGPT-4o防护措施
◆AMD与Intel处理器出现新的Spectre攻击手法
微软首度提供Windows 10个人用户延伸安全更新,1年要价30美元
Windows 10即将在2025年10月14日终止支持,对此,微软本周宣布将对于Windows 10个人用户提供为期1年的延伸安全更新(Extended Security Update,ESU),费用是30美元,而这是该公司首度对一般消费者开放ESU服务。此外,他们本月起开放企业和教育用户购买。
微软在多年前就已公布Windows 10的安全更新终止日期,并表示届时Windows 10电脑将再也无法接收到安全更新,对此,一直以来微软鼓励企业用户及消费者升级到Windows 11,并呼吁硬件规格不足的用户购买新电脑因应。
由于为数众多的PC用户仍然停留在Windows 10,微软于今年4月对企业及教育客户公布ESU价格,并在本周公布个人版解决方案,但值得留意的是,个人版仅能购买1年,而企业用户最多可取得3年服务。
【10月30日】窃资软件RedLine遭到执法单位查封
【10月29日】中国黑客开发专偷云端数据的恶意软件工具包并用于实际攻击行动
【10月28日】上周四勒索软件RansomHub声称攻击台湾被动组件制造厂