廣受許多組織使用的網站內容管理系統WordPress,再度傳出有數個外掛程式存在重大的存在請求偽造(CSRF)漏洞,CVSS風險層級高達8.8分,研究人員估計總共有8.4萬個網站受到影響。

另外,不少企業採用的SAP,其中一個CVSS風險層級9.1分的重大漏洞,研究人員發現可被用於供應鏈攻擊,讓攻擊者在SAP應用程式植入惡意軟體,呼籲用戶要儘速修補漏洞。

除了上述的嚴重漏洞之餘,北韓APT駭客組織去年大肆透過加密貨幣業者竊取資金的現象,也較以往增加4成,而成為北韓在許多國家對其經濟制裁下,用來發展軍事的資金來源。

【攻擊與威脅】

中華職棒YouTube頻道被盜,直播內容變比特幣演說

根據國內多家媒體報導,中華職棒YouTube官方頻道在1月17日晚間21時20分被盜用,頻道名稱被更改為MicroStrategy,直播內容則是講解比特幣,狀況在22時30分左右排除,但張貼的影片有被刪除的狀況。不過這起事件並未結束,我們從PTT網友針對此事的回應來看,在1月18日上午5時到9時,被盜狀況仍繼續發生,並指出這樣的直播維持有2千人觀看。

勒索軟體Qlocker再度鎖定威聯通NAS發動攻擊

勒索軟體Qlocker曾於2021年4月下旬,鎖定威聯通(QNAP)的NAS用戶發動攻擊,利用備份資料同步元件HBS 3的漏洞入侵。但最近,該勒索軟體再度出現新一波的攻擊行動而值得留意。根據資安新聞網站Bleeping Computer於1月15日的報導,他們發現Qlocker疑似在1月6日有了新的攻擊行動,一旦NAS遭到威染,檔案被加密後攻擊者會留下勒索訊息,要求支付0.02至0.03個比特幣來恢復檔案,至少有數十臺NAS遭到感染。該新聞網站呼籲用戶,參考威聯通的最佳實務來強化NAS安全。

臺資安業者TeamT5揭露鎖定俄羅斯政府的APT入侵攻擊手法

今年1月初,資安業者Cluster25揭露北韓駭客組織鎖定俄國外交部的攻擊,對於這樣的攻擊行動,臺灣資安業者TeamT5在1月中旬也公開自家分析結果,解析其攻擊手法,是透過惡意魚叉式電子郵件進行,一旦使用者上鉤開啟郵件附檔中的螢幕保護程式поздравление.scr,該程式背地裡將連線中繼站並下載惡意Payload,再透過Base64演算法取得惡意CAB檔案,當中將包含後門程式scrnsvc.dll,經TeamT5分析,該後門程式與北韓駭客組織Konni所慣用的後門程式家族Sanny有關,與Cluster25的研究分析有相同結論。

近四分之一網釣攻擊冒用DHL的名義出手

過往網路釣魚攻擊中,攻擊者較為偏好利用微軟和Google等IT業者的名義,來取得受害者的信任,進而得手對方的帳密等資料,但這個情況近期出現了變化。資安業者Check Point針對2021年第4季,駭客在發動網路釣魚攻擊的行動裡,所假冒的廠牌名稱,調查後發現,全球有23%網路釣魚是利用物流業者DHL的名義發動攻擊,不只比2021年第3季(9%)高出不少,也超越微軟(20%)、WhatsApp(11%)、Google(10%)。

北韓Lazarus旗下駭客組織鎖定加密貨幣新創公司,將其貨幣盜領一空

北韓駭客鎖定加密貨幣來獲利的情況,近期又有相關的攻擊行動出現。卡巴斯基揭露Lazarus旗下的駭客組織BlueNoroff,約在2021年11月發起SnatchCrypto攻擊行動,鎖定專門處理加密貨幣、數位合約、DeFi、區塊鏈的中小型新創公司下手,對於這些企業的員工傳送具備監控功能的後門程式,最終目的是清空受害組織的加密錢包。為了讓受害者上當,該組織偽裝成超過15家風險投資業者。

北韓駭客2021年竊得4億美元加密貨幣,較前年多出4成 

美國與其他國家長期對於北韓實施經濟制裁,使得該國長期以來,倚賴APT駭客攻擊全球各地的金融機構,來竊取資金。但最近2到3年,北韓駭客更加關注如何偷取加密貨幣,根據區塊鏈資安業者Chainalysis調查,這些駭客在2021年總共對於加密貨幣平臺發起至少7次攻擊行動,並取得近4億美元的加密貨幣,較2020年要多出40%。其中,被竊的加密貨幣以太幣占超過半數(58%)、比特幣居次(20%)、22%是ERC-20或替代幣(Altcoin)。

Linux惡意軟體在2021年增加35%,XorDDoS、Mirai、Mozi最為氾濫

攻擊者鎖定Linux作業系統發動攻擊的現象,去年頻繁傳出攻擊事故,許多勒索軟體駭客開始針對這種環境製作專屬攻擊工具,就連Log4Shell漏洞攻擊,也有不少是針對Linux伺服器而來,但這種情況有多嚴重?根據資安業者CrowdStrike的調查,2021年Linux惡意軟體的數量,較2020年多出35%,其中XorDDoS、Mirai、Mozi家族最為氾濫,占所有惡意軟體的22%,其中又以Mozi攻擊出現爆炸性成長,去年的惡意軟體數量是前年的十倍。

 

【漏洞與修補】

WordPress外掛程式存在高風險漏洞,恐波及8.4萬網站

專注於WordPress網站安全的Wordfence指出,他們發現3個WordPress外掛程式存在請求偽造(CSRF)漏洞CVE-2022-0215,CVSS風險層級為8.8分。這些存在漏洞的外掛程式為Login/Signup Popup、Side Cart Woocommerce、Waitlist Woocommerce,各有超過2萬個、4千個、6萬個網站使用,套件開發者XootiX獲報後已修補上述漏洞。

重大SAP軟體漏洞恐被用於供應鏈攻擊

甫被公布細節不久的軟體漏洞,很可能因為有其他利用的方式,而使得漏洞潛藏的危害比原本預期的還要嚴重,甚至可能引發類似SolarWinds供應鏈攻擊的事故。例如,專精於SAP安全的資安業者SecurityBridge,針對一項存在於NetWeaver AS ABAP、ABAP平臺的重大漏洞CVE-2021-38178提出警告,表示這項漏洞原先被發現是不正確的授權問題,能讓攻擊者將程式碼跳過檢測程序就發布,但研究人員發現,攻擊者還能竄改發布狀態,允許在正式發布程式碼後將狀態變更為「可修改」,使得攻擊者可以任意加入惡意程式進行供應鏈攻擊。這項漏洞SAP已於2021年10月發布修補程式,研究人員呼籲用戶要儘速安裝相關更新。

Safari驚傳頁面呈現引擎漏洞,恐曝露瀏覽器記錄與Google帳號細節

資安業者FingerprintJS揭露Safari 15瀏覽器的WebKit頁面呈現引擎漏洞,這項漏洞與Indexed Database(IndexedDB)的API有關,一旦被攻擊者利用,可透過網站追蹤使用者的網路活動,甚至得知用戶的身分,例如Google帳號的細節,無論是蘋果個人電腦(macOS)或是行動裝置(iOS、iPadOS)用戶都受到影響。這項漏洞自研究人員於1月15日公開後,蘋果已於17日著手於WebKit原始碼加入相關的修補程式,但尚未提供給一般用戶。

 

【資安產業動態】

半導體資安標準SEMI E187正式發布上架

在2022年1月17日,全球首個半導體晶圓產線設備資安標準已正式上架於SEMI網站,名稱為「SEMI E187 - Specification for Cybersecurity of Fab Equipment」。特別的是,這也是首次由臺灣主導制定的半導體相關國際標準,此項標準在四大方面提出要求,包括:作業系統規範、網路安全相關、端點保護相關,以及資訊安全監控,建立晶圓廠設備資安最低標準。

 

【近期資安日報】

2022年1月17日,俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

2022年1月14日,美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

2022年1月13日,俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

2022年1月12日,微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

2022年1月11日,網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

2022年1月10日,Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

2022年1月7日,NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

2022年1月6日,駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統


熱門新聞

Advertisement