北韓駭客Kimsuky今年動作頻頻,這些駭客不僅利用LNK捷徑檔對零時差漏洞下手,也透過PowerShell指令碼於韓國散布惡意軟體,近期又有新的事故傳出。
本週資安業者AhnLab揭露該組織最新一波攻擊行動Larva-24005,值得留意的是,駭客利用的漏洞已公布6年之久,但他們仍能成功用於實際攻擊,突顯受害組織可能尚未完全修補這項弱點。
【攻擊與威脅】
導致藍色當機畫面的RDP漏洞再次出現利用活動,Kimsuky用於攻擊韓國軟體、能源、金融產業
曾在6年前引發大規模攻擊的漏洞BlueKeep(CVE-2019-0708,CVSS風險為9.8分),當時駭客引發全球各地藍色當機畫面(BSOD)災情,如今傳出一年半前又有人使用這項漏洞從事攻擊行動,直到最近才被公開。
資安業者AhnLab揭露北韓駭客發起的攻擊行動Larva-24005,被稱做Kimsuky、APT43、Emerald Sleet、TA427、Velvet Chollima的駭客組織,透過遠端桌面連線(RDP)軟體的資安弱點BlueKeep滲透受害組織,得逞後部署惡意軟體MySpy、RDPWrap,建立能夠持續存取的管道。這些駭客也側錄受害者鍵盤輸入的內容,來進行後續的監控。
這波攻擊主要針對韓國的軟體、能源、金融產業而來,駭客自2023年10月開始,對韓國及日本寄送釣魚信來接觸受害者。AhnLab根據駭客的基礎設施進行分析,攻擊行動很可能從2023年9月就已經進行,而且,駭客攻擊的範圍相當廣,不光是韓國及日本,還包括了美國、中國、德國、新加坡、南非、荷蘭、墨西哥、越南、比利時、英國、加拿大、泰國、波蘭。
惡意NPM套件偽裝Telegram函式庫,植入SSH後門攻擊Linux開發者
資安公司Socket揭露針對Telegram機器人開發者的供應鏈攻擊事件,攻擊者透過在NPM平臺發布與熱門函式庫名稱相近的惡意套件,誘導開發者誤用,進而在Linux系統中植入具持久性存取能力的SSH後門,並將系統資訊回傳至攻擊者伺服器。
攻擊者鎖定使用node-telegram-bot-api函式庫進行開發的社群,推出三個偽冒套件,名稱分別為 node-telegram-utils、node-telegram-bots-api與node-telegram-util。這些惡意套件複製原函式庫的說明文件與GitHub頁面連結,甚至以Starjacking手法借用原專案超過19,000星數背書,在NPM頁面側欄混淆視聽,讓開發者在瀏覽與安裝時難以察覺異常。
根據研究人員的分析,該後門程式碼共約40行,嵌入於正常函式庫的架構,具高度隱蔽性。開發者在匯入套件時,如果沒有進行程式碼審查或相依性檢測,就可能忽略隱藏的惡意邏輯。更嚴重的是,單純移除套件並不會清除被植入的SSH金鑰,系統仍存在風險。
研究人員揭露以惡意瀏覽器擴充程式,繞過雲端平臺MFA驗證的Cookie-Bite手法
資安業者Varonis揭露新攻擊手法,透過竊取cookies繞過多因素驗證(MFA)而能駭入企業Microsoft 365存取檔案、信件。Varonis威脅實驗室研究人員設計出名為Cookie-Bite的手法,利用自製Chrome瀏覽器擴充程式及自動化指令竊取用戶Cookies,且能重複使用來冒充合法使用者,無需密碼,還能多次存取雲端服務。
研究人員表示,除了Azure外,只要知道該用什麼憑證,同樣的手法也可用來攻擊Google Cloud、AWS、GitHub、Okta等雲端平臺。
要防止Cookie-Bite攻擊,企業管理員應監控任何異常登入,最好能設定條件式存取政策(conditional access policies,CAP)以限制特定IP和裝置登入雲端。此外,應限制PowerShell script,改用Python或VBScript。Chrome擴充程式管理方面,管理員最好也能執行Chrome ADMX政策,只允許事前許可的擴充程式執行。
其他攻擊與威脅
◆北韓駭客利用俄羅斯基礎設施隱匿行蹤,藉此在歐美國家應徵遠距工作犯案
◆NPM套件XRP Ledger遭遇供應鏈攻擊,被植入後門程式
◆OAuth身分驗證流程遭到濫用,俄羅斯駭客用於挾持M365帳號
【漏洞與修補】
本週群暉針對今年2月發布資安公告Synology-SA-25:03 DSM說明進一步細節,這則公告的內容主要是針對NAS作業系統DiskStation Manager(DSM)揭露資安漏洞CVE-2025-1021,此漏洞由資安業者戴夫寇爾(Devcore)通報,影響7.2.2、7.2.1、7.1版DSM,他們發布7.2.2-72806-3、7.2.1-69057-7、7.1.1-42962-8版DSM予以修補。
群暉指出這項漏洞存在於名為synocopy的元件,起因是缺乏授權,一旦攻擊者成功利用,就有機會透過可寫入(Writable)的網路檔案系統(Network File System,NFS)服務,讀取任意檔案,CVSS風險為7.5分。由於群暉強調,這項漏洞能讓攻擊者以不特定的方法,遠端存取NAS的任何檔案,這代表攻擊者很有可能藉此竊取使用者的資料,或是NAS存放的企業內部檔案,甚至是帳密資料與NAS的系統配置,這項弱點帶來的影響,有可能相當深遠。
其他漏洞與修補
◆資料備份與管理平臺Commvault存在滿分重大漏洞,可被用於發動RCE攻擊
【資安產業動態】
自於去年7月宣布要放棄於Chrome中封鎖第三方Cookie的計畫之後,Google於4月22日再度向外界確認,Chrome將維持目前處理Cookie的方式,也不會在使用者遭遇第三方Cookie時跳出提示。
儘管Cookie有違使用者隱私,但仰賴廣告收入的Chrome並不想貿然停用Cookie,於是在2019年提出了隱私沙箱(Privacy Sandbox),以更具隱私的方式將使用者分門別類,而廣告主則可據此向群組發送廣告,並計畫以隱私沙箱全面取代Cookie。但此舉惹來許多監管機構、開發人員及隱私團體的質疑。
於是,Google決定將保護用戶隱私的力氣,花在Chrome的無痕模式(Incognito Mode),該模式原本的預設值就封鎖了Cookie,且Google更計畫在今年第三季針對該模式推出IP保護機制。
【臺灣資安大會直擊】備份廠商群起聚焦「備份乾淨度」,固守勒索軟體防護的最後屏障
備份平臺的勒索軟體防護能力發展,正邁向新的階段,從前幾年強調的隔離與備份複本不被惡意刪改,進化到確保備份內容不受惡意軟體感染。
我們在3、4年前的臺灣資安大會中,便見到Dell介紹其CyberRecovery資料避風港解決方案中,為備份複本提供的自動威脅偵測與分析功能,藉此確保備份複本內容的乾淨,從而可用於還原。
到了今年的臺灣資安大會,我們見到其他參展的備份解決方案廠商,如Druva與Nakivo,也各自在其產品中結合了惡意軟體掃描功能,以保證備份複本的可用性,這樣的發展趨勢,也讓針對備份複本的偵測與掃描,儼然成為當前備份平臺的必備能力。而作為這個領域領跑者的Dell,今年則提出「備份乾淨度」的概念,並介紹他們在備份複本偵測技術方面的新發展。
近期資安日報
【4月24日】CISA傳出將停止使用Censys及VirusTotal