资安一周第126期：多家资安厂商发现新的后门程式Supernova并得到SolarWinds证实。企业数百万装置恐成FireEye外泄红队测试工具的攻击对象

1224-1230 一定要看的资安新闻

 

＃后门程式攻击  ＃漏洞揭露

锁定SolarWinds Orion攻击的骇客不只1组，多家资安厂商发现新的后门程式Supernova并得到原厂证实

继FireEye揭露SolarWinds供应链攻击事件的后门程式SunBurst（或称为Solarigate）之后，自12月15日起，GuidePoint、微软、Palo Alto Networks，以及赛门铁克等资安公司表示，还有其他骇客出手发动攻击！因为，他们在受害组织的SolarWinds Orion系统里，发现了第2个后门程式Supernova，而SolarWinds也在27日发布安全通告，提供修补程式。

无论资安业者或是SolarWinds，都认为Supernova属于美国境外骇客集团的攻击行动，但不确定攻击来源。详全文

图片来源：SolarWinds

 

＃漏洞滥用

企业数百万装置恐成FireEye外泄红队测试工具的攻击对象

FireEye在12月初红队测试工具遭窃，该公司也揭露当中所利用的16个漏洞，以供企业防范骇客滥用此套测试工具的攻击。12月22日，资安公司Qualys检视1.5万家企业用户，发现754万个实体存在有关漏洞，而当中99.84%与微软产品的8项中高风险漏洞有关。相较之下，Qualys企业用户网络上与SolarWinds Orion漏洞有关的实体，仅有数百个。详全文

 

＃国家级攻击  ＃武汉肺炎

北朝鲜骇客集团Lazarus入侵卫生机关与疫苗开发公司

近期与武汉肺炎疫苗有关的攻击行动已发生数起，但攻击者的身份仍不得而知。资安公司卡巴斯基于12月23日指出，北朝鲜骇客组织Lazarus于今年的9月至10月之间，先后入侵疫苗开发公司，以及国家的卫生机关。

为何卡巴斯基会认为2起事件都是这个骇客组织出手？该公司指出，2次攻击事故的作案工具，都是Lazarus曾利用过的工具，再者，则是骇客收集资讯的手法完全相同。详全文

图片来源：卡巴斯基

 

＃漏洞揭露

因微软修补不完全出现新漏洞，但该公司却打算明年才提供修补程式

Google于12月23日公布CVE-2020-17008，这项漏洞影响执行Windows 10的电脑，但这项漏洞并非新的发现，而是因为微软在6月修补CVE-2020-0986不完全所造成，骇客只要针对此漏洞的攻击工具稍加修改，就能滥用CVE-2020-17008。

这项漏洞Google于9月通报，微软原先计划在11月修补，后来却延期到明年1月12日，而超过90天缓冲期， Google于是公布相关细节。详全文

 

＃漏洞揭露  ＃DDoS攻击

Citrix ADC网络设备遭DDoS攻击，疑为软件臭虫所致

有多位网管人员指出，不明人士自12月19日起，锁定Citrix ADC网络设备发动DDoS放大攻击，导致许多此种设备流量达到满载上限。而Citrix则在24日发出资安通告证实此事，并表示更新程式尚在制作，预计明年1月21日才会释出。

该公司在公告中指出，此起DDoS流量攻击中，骇客发送大量的资料封包传输层安全协定（DTLS）流量，使得该厂牌ADC设备对外带宽耗竭。对此攻击发生的原因，Citrix表示正在着手调查，初步研判问题出现在软件功能方面的臭虫，影响启动EDT协定的所有ADC设备，并呼吁用户暂时关闭DTLS来防范相关DDoS攻击。详全文

 

＃漏洞揭露  ＃精简型电脑

Dell针对Wyse电脑修补2个危险程度满分的安全漏洞

安全厂商CyberMDX发现，Dell旗下的Wyse精简型电脑（Thin Client），其执行的操作系统ThinOS，存在重大漏洞CVE-2020-29491与CVE-2020-29492，主要与维护此种精简型电脑的FTP服务器不安全有关。由于发动相关攻击过于容易，这些漏洞皆达到CVSS第3.1版风险评估满分10分。受到上述漏洞影响的范围，为执行ThinOS 8.6 以前版本的所有Wyse精简型电脑。Dell也在12月21日提供ThinOS 8.6 MR8修补漏洞。

除修补ThinOS外，Dell建议企业采取其他措施来加强安全，包含档案更新服务器采用HTTPS协定取代FTP，或者是改用Wyse管理套件来控管精简型电脑，甚至更进一步，透过该套件升级用户端至Thin OS 9。详全文

 

＃勒索软件攻击  ＃医疗产业

英国连锁整型外科遭勒索软件攻击，病患照片外泄

根据新闻网站BBC与资安研究员Dissent Doe于12月24日揭露，REvil勒索软件骇客宣称，已骇进英国连锁整型外科The Hospital Group，取得了多达600GB的资料，涵盖机密文件、客户个人资料，以及到术前、术后照片等，并扬言即将公布第一批资料。

这家连锁整型外科也向媒体发表声明，证实该公司的IT系统遭到骇客入侵，部分病人资料则被存取，病人的金融卡资讯并未外泄，该院已通知所有受到影响的病人。详全文

 

＃VPN

全球警方联手破获最受犯罪集团青睐的VPN服务Safe-Inet

欧洲刑警组织Europol于12月22日宣布，他们与多国执法机构联手，破获最受全球犯罪集团爱用的VPN服务Safe-Inet，关闭该服务在德国、荷兰、法国，以及美国的服务器。美国司法部则将此行动称为Operation Nova，并宣称这波行动中同时破获另一家VPN业者Insorg。详全文

图片来源：欧洲刑警组织

 

＃勒索软件攻击  ＃游戏产业

年度电玩大作电驭叛客2077甫上市，惊传勒索软假冒其名发动攻击

今年度受到许多玩家关注的电玩游戏“电驭叛客2077（Cyberpunk 2077）”，历经一波三折后在12月10日正式上市，但最近却有骇客看准了这款游戏极度热门，假冒这款游戏的安装程式来发动勒索软件攻击，而且，他们同时锁定了Windows与Android装置的用户。

究竟有多少人受害？目前仍不得而知。而卡巴斯基取得这款勒索软件进行分析，并加以追踪骇客提供受害者支付赎金的比特币钱包后指出，骇客至少得手价值8千美元的比特币。详全文

 

＃数位身份证

数位身份证明年1月试办生变！新竹市-表态倾向暂缓试办

国内数位身份证（New eID）试办计划生变，原本内政部宣布明年1月在新竹市小规模试办。随着时间愈来愈近，新竹市-12月25日发出简短说明，表示在市民优先、资安第一的原则下，假如中央无法针对资安释疑，他们倾向暂缓试办。

对于试办、换发时间生变，内政部并未说明新的试办时程，仅表示将依照行政院指示办理。详全文

 

 

更多资安动态

●为强化应用程序资安监控，思科买下网络事件分析新创
●为测试员工资安意识，GoDaddy以奖金名义发送网钓邮件惹议
●美国国土安全部警告企业，不要向中国购买资料服务与设备
●继Safari、Chrome导入防网站追踪新机制，下一版Firefox将跟进