這一周發生與揭露的攻擊與威脅中,有幾個焦點事件,包括有駭客透過供應鏈手法,從WordPress外掛WPBakery Page Builder的Kaswara元件程式下手攻擊;有駭客宣傳PLC與HMI密碼破解工具,真能破解但其實還暗藏木馬程式Sality;有中國米可達斯(MiCODUS)車用GPS追蹤器存在六大重大漏洞,廠商遲遲未修補,促使業者通報未果後請美國CISA協助示警;以及有駭客打造CloudMensis惡意軟體,是專門鎖定蘋果Mac電腦用戶。
在漏洞修補方面,微軟上月修補的一項Windows NFS漏洞CVE-2022-30136,趨勢科技最近特別警告,該漏洞將比Follina漏洞更為容易利用,呼籲還沒修補的企業盡速因應。
此外,關於Log4j漏洞的嚴重性再受關注,美國網路安全審查委員會首份報告出爐,指出最大問題是──使用者或軟體開發商並不知道自己使用軟體內含有漏洞的Log4j元件,或是專案有很高的相依性,這將導致漏洞問題將影響企業長達十年,因此報告中也提出四大因應上的建議。
勒索軟體的動向中,以程式語言Rust打造的勒索軟體增加,除了BlackCat、Hive,又有資安業者揭露全新的Luna。這裡我們認為要注意的是,用這類語言編寫的勒索軟體,可以很容易地從一個平臺移植到其他平臺,包括Windows、Linux版本,以及近來逐漸增加鎖定VMware ESXi,因此可同時針對不同的作業系統攻擊。此外,近年RaaS的興起,已降低勒索軟體攻擊門檻,最近又出現以免費下載在抽成的勒索軟體Redeemer 2.0。
此外,在新興攻擊手法研究中,紐澤西理工學院(NJIT)的研究受關注,指出攻擊者能透過特製的網站,讓瀏覽器在載入網頁時,透過旁路攻擊方式,發出對於社群網站嵌入式資源的跨網站請求,藉此解析目標身分並拚湊用戶的數位生活圈。
另外較特別的是,本周有多國政府與重要單位傳出引發關注的資安事件,其中阿爾巴尼亞上周六晚上遭到網路攻擊最嚴重,該國未因應攻擊,直接關閉了許多政府網站與線上申辦服務,還有以色列衛生局遭網路攻擊,當地媒體報導有自稱Altahrea Team親伊朗的駭客組織表示是他們所為,還有印度證交所也傳出資安事件。
而以國內而言,本周一有生技醫療上櫃公司公告遭遇資安事件,到了週五傍晚又有臺灣虎航公告遭遇網路攻擊,一周兩起。此外,國內科技製造業機密資料被內鬼竊取事件層出不窮,可成科技在2020年發生陸續有14名員工離職,背後卻是收取立訊提供數百萬元安家費,竊取可成機密投靠立訊,由於涉及營業秘密,檢方經過1年6個月的偵查及蒐證,今年7月中旬新北地方檢察署起訴14人。
本週重大資安新聞
線