top of page
  • 作家相片Ricky Chen / SOC資安工程師

2024/5/6-5/10 資安一週大事

資安一週大事

駭客攻擊


APT42 透過下列攻擊方式來取得他們想要的資料,針對不同的攻擊目標,採用不同的策略、技術、流程(TTP),連網域名稱、誘餌都有所不同。


1.駭客冒充華盛頓郵報、經濟學人、耶路撒冷郵報、 Khaleej Times、Azadliq 等新聞媒體及非政府組織,大多會利用拼寫錯誤的網域名稱,藉由發送帶有新聞內容的釣魚郵件。

2.透過 .top、.online、.site、.live 等頂級網域名稱(TLD),架設冒牌的登入網頁、檔案代管服務、YouTube 網站,然後假借邀請加入會議,或是共享檔案的名義寄送釣魚信,。

3.針對美國及以色列的國防和外交事務相關人士而來,駭客偽裝成非政府組織、 Mailer Daemon 、短網址服務 Bitly ,疑似透過釣魚郵件發動攻擊。


過程中駭客利用多種迴避偵測的手法,像是濫用 Microsoft 365 內建工具、檢視感興趣的資料後清除 Chrome 的瀏覽記錄,此外,駭客利用 ExpressVPN 服務、 Cloudflare 代管網域、臨時 VPS 伺服器來隱匿行蹤。



資料來源:

 

資安漏洞


資安業者 Leviathan Security Group 揭露了一個名為 TunnelVision 的安全漏洞,此技術可繞過 VPN 封裝攔截流量,其漏洞編號為 CVE-2024-3661。


攻擊者透過在使用者的本地網路上設定一個 DHCP 伺服器,迫使目標主機接受來自它的臨時 IP 地址,欺騙來攔截 DHCP 伺服器及客戶端之間的流量,並將流量導至 VPN 之外,這樣一來,攻擊者就能夠輕鬆地竊取未加密的流量,進行資料竊取。同时,由於 VPN Tunnel 仍然保持連接,使得使用者可能認為自己的 VPN 是安全的,但實際上卻受到了攻擊。


儘管這並不真的算是 VPN 漏洞,也提醒 VPN 業者不應誇大 VPN 的安全性,因為它們並無法保證使用者在不受信任網路上的流量可被保護,並建議使用者避免連接到不受信任的公共 Wi-Fi 網絡或關閉 DHCP option 121。



資料來源:

 

勒索軟體


在這幾年間,LockBit 勒索軟體集團至少在120個國家發動攻擊,受害者超過2,500名,包括個人、小型企業、跨國公司、醫院、學校、非營利組織、關鍵基礎設施及政府機構等,自受害者取得的贖金超過5億美元,但受害者因受到攻擊所招致的損失則高達數十億美元。

美國司法部揭露了 LockBit 勒索軟體集團的首領身分,他是現年31歲的俄羅斯人Dmitry Yuryevich Khoroshev,除了指控他違反26項美國法令之外,美國、澳洲與英國也在同一天宣布制裁 Khoroshev 。



資料來源:

 

駭客攻擊事件


這起攻擊行動最早可追溯到去年12月31日,對方在Ivanti設備植入了 RootRot 的 Web Shell ,以便將這類設備作為存取 VMware 系統的跳板。


5月4日 MITRE 指出,駭客透過 Ivanti 零時差漏洞繞過身分驗證流程,藉由一個遭他們奪走的管理員帳號存取 VMware 虛擬化基礎架構,然後部署後門程式及 Web Shell ,以便持續存取內部網路帳號並挖掘帳密資料。


攻擊者這段攻擊持續了兩三個月,在作案過程中,運用多達5個後門程式及 Web Shell ,有業者提供一些建議,像是透過監控 VPN 流量的異常模式、限制橫向移動的分段網路和透過強大的訪問控制、定期補丁管理、漏洞評估等來強化網路。



資料來源:

 

高風險資安漏洞


F5 針對旗下的管理主控臺元件 BIG-IP Next Central Manager 發布20.2.0版,當中修補2項高風險漏洞 CVE-2024-21793 、 CVE-2024-26026 。


CVE-2024-26026 是 SQL 注入漏洞,在所有 BIG-IP Next 裝置的組態都含有這項弱點,攻擊者有可能直接用來繞過身分驗證流程。


CVE-2024-21793 是OData 注入漏洞,主要發生在 BIG-IP Next Central Manager 處理 OData 查詢的過程,允許攻擊者注入 OData 查詢過濾參數,而有可能洩露敏感資訊。


攻擊者只要遠端利用上述其中任何1個漏洞,就可以存取 BIG-IP Next Central Manager 管理主控臺完整的管理權限,提醒有用到上面元件的要記得更新,避免漏洞被拿來使用。



資料來源:

 

Comments


bottom of page