這一星期的資安防護發展態勢有兩個重要焦點,其範疇分別是BGP路由安全與PQC後量子密碼學;在威脅態勢與事件方面,以紅隊演練工具MacroPack遭濫用的訊息,以及RansomHub勒索軟體的威脅最受關切
在9月第一星期的資安新聞,防護態勢上有兩個重點訊息,第一個新聞突顯網際網路BGP路由安全的重要性,先前已有一些國家推動這項議題,像是去年荷蘭政府宣佈全面導入RPKI標準,現在美國拿出具體規畫要求聯邦政府實施。至於臺灣,過去幾年TWNIC曾推動RPKI、路由來源驗證等,但後續發展狀況還需要大家關注。
第二個新聞是呈現後量子密碼學(PQC)在產業的最新發展態勢,工研院在2024國際半導體展秀出後量子安全晶片公版的設計,而且有多家業者投入PQC應用發展,包括全濠、宇鼎、威宏、智慧資安、竣盟科技、池安量子資安等。
●美國白宮針對邊界閘道協定(BGP)安全問題,發布強化網路路由安全的藍圖,強調聯邦政府須以身作則,加速對BGP安全措施的採用。
●2024國際半導體展登場,數發部數產署與臺灣資安業者在「SECPAAS資安館」呈現半導體產業資安最新方案,其中又以PQC公版應用案例的發展最吸睛。
關於威脅態勢方面,我們列出下列4大訊息,其中法國資安業者開發的紅隊演練工具MacroPack遭濫用值得關注,因為其中有一起攻擊行動範圍涵蓋臺灣,而有兩個新聞與濫用合法雲端服務有關。
●紅隊演練工具MacroPack遭多組攻擊者濫用,已發現4起攻擊行動。
●後門程式Voldemort的攻擊行動被揭露,濫用Google Sheets並假冒美、歐、亞洲稅務機關名義以竊取企業稅務資料。
●有鎖定M365用戶的攻擊活動在7月暴增,當中濫用微軟雲端簡報服務Sway來引誘受害者上當,並結合QR Code網釣手法。
●美國司法部宣佈扣押俄羅斯用來散佈不實言論的網域,以打擊俄羅斯持續操弄美國總統大選的行徑。
在資安警訊與事件方面,有4則重要新聞,當中以RansomHub勒索軟體的相關訊息最要重視,不僅多個美國政府機關發布聯合公告,揭露其手法與入侵指標,同時也傳出美國石油公司Halliburton向美國SEC通報網路安全事件,也是遭其所駭。
●美政府警告半年前現身的RansomHub勒索軟體,受害者已超過210家。
●美國石油及天然氣業者Halliburton證實內部資料遭到外流
●英國倫敦交通局證實遭遇網路攻擊,傳出問題出在外部供應商系統。
●提供思科品牌服裝與配件的思科網路商店遭植入惡意JavaScript,信用卡資料、帳密恐外流。
至於漏洞利用訊息方面,居易的VigorConnect有兩個2021年修補的已知漏洞:CVE-2021-20123和CVE-2021-20124,用戶要注意是否已進行緩解或更新修補,因為它們近期被美國CISA列入已知漏洞利用清單,此外,上週Chrome零時差漏洞修補有後續訊息揭露,指出北韓駭客Citrine Sleet是幕後挖掘漏洞並利用的組織,攻擊行動還利用了另一微軟零時差漏洞,而能在受害電腦作業系統核心植入rootkit程式FudModule。
還有一個漏洞修補情形引起硬體安全界的重視,因為Yubico旗下FIDO裝置存在Eucleak弱點,Yubico指出這是英飛凌加密庫中關於ECDSA實作的旁路攻擊漏洞,將導致攻擊者有機會取得ECDSA金鑰。
【9月2日】勒索軟體RansomHub受害企業組織半年已超過200家
近期勒索軟體RansomHub不斷登上資安新聞的版面,最近一起是美國石油及天然氣業者Halliburton遭遇網路攻擊的事故,到了上週,這些駭客聲稱是他們所為。而在此之前,臺灣也有老牌筆電廠藍天電腦傳出受害的訊息。
有鑑於這些駭客的威脅加劇,美國政府近期發布相關防禦指引,揭露這些駭客的攻擊手法和底細,呼籲IT人員要嚴加防範。
【9月3日】駭客盯上資安廠商的SSL VPN系統當作誘餌,意圖散佈惡意程式
過往駭客意圖藉由提供應用程式發動攻擊,引誘使用者上當,從而散佈惡意軟體,進而存取企業內部網路環境,過往駭客多半是宣稱提供常見的應用程式,或是IT人員會用到的系統工具,但如今,有人以特定廠牌SSL VPN軟體作為幌子發動攻擊。
值得留意的是,這意味著駭客的攻擊目標相當有針對性,因為使用者很有可能是該廠牌SSL VPN系統的用戶,這樣的誘餌顯然能夠降低使用者的戒心,而有可能得逞。
【9月4日】駭客組織Head Mare鎖定俄羅斯企業組織發動攻擊
在烏克蘭戰爭開打之後,有許多專門攻擊敵對企業的駭客組織出現,其中名為Head Mare的駭客組織引起資安業者卡巴斯基的注意,並於近日公佈這些駭客的作案手法。
研究人員特別提及這些駭客作案的獨特之處,包含過程中利用特定的WinRAR漏洞,以及使用勒索軟體加密檔案,來向受害組織索討贖金的情況。
【9月5日】美國針對俄羅斯干預總統大選採取執法行動
美國總統大選如火如荼進行,這段期間不時傳出伊朗駭客攻擊川普、賀錦麗陣營,並企圖散佈假訊息影響選情的情況。不過,俄羅斯想要採取類似手段幹預該國選舉已有先例,但美國直到最近才採取執法行動引起關注。
本週美國宣佈扣押俄羅斯用來散佈不實言論的網域,原因是這些網域都被用來架設冒充民主陣營的新聞網站,並指出俄羅斯不只打算操弄美國總統大選,也意圖幹預其他國家選舉。
【9月6日】
