资安一周第137期：超过10组骇客滥用Exchange重大漏洞发动攻击。

3/11-3/17 一定要看的资安新闻

 

＃漏洞攻击  ＃Exchange

Exchange重大漏洞已有超过10组骇客用于发动攻击

传出自1月初遭中国骇客组织Hafnium滥用的Exchange漏洞，资安厂商ESET发现在微软即将发布修补程式前夕，开始有其他攻击者也利用相关漏洞来发动攻击！该公司至少发现了11组骇客，他们将这些漏洞搭配不同的作案工具发动攻击。

除了ESET的发现之外，也有其他资安人员看到不同的攻击行动也滥用相关漏洞。像是资安研究人员发现名为DearCry的勒索软件、僵尸网络程式Lemon Duck，近期也借由这些漏洞入侵Exchange服务器。详全文

图片来源：ESET

 

＃供应链攻击  ＃视讯监控

视讯监控系统服务业者Verkada遭骇，15万台监视器画面外流

提供视讯监控服务的业者一旦遭到入侵，很有可能曝露用户的一举一动。硅谷专门提供视讯监控系统的Verkada，近日传出遭到入侵，使得骇客取得15万台监视器的即时影像，受害者包含电动车大厂特斯拉、DNS服务业者Cloudflare，以及警察局、医院、监狱等。而其中发动攻击的始作俑者之一，疑似就是瑞士开发人员Tillie Kottmann，他曾在GitHub公布50家企业的软件源代码，与公布Intel被外泄的资料而引发争议。详全文

 

＃漏洞揭露

应用交付网络设备业者F5修补BIG-IP与BIG-IQ重大漏洞

应用交付网络设备业者F5近日发布漏洞公告，受影响的系统为BIG-IP与BIG-IQ软件平台，共7个漏洞，而其中4个关键漏洞的CVSS风险评分，分数高达9.0分至9.9分，分别是CVE-2021-22986、CVE-2021-22987、CVE-2021-22991、CVE-2021-22992，主要都是RCE漏洞，同时，CVE-2021-22986、CVE-2021-22987也与身份验证有关。美国网络安全暨基础架构安全署（CISA）也于同日，呼吁用户尽速修补上述漏洞。详全文

 

＃漏洞攻击  ＃Accellion

针对延烧3个月的漏洞攻击事故，Accellion公布调查结果

骇客近日针对Accellion档案传输系统FTA进行攻击的事故，该公司于2月初委托FireEye旗下的Mandiant进行调查，并于近日公布最终的调查结果，攻击者于去年12月和今年1月，滥用不同的漏洞向这套系统的用户下手。Mandiant指出，骇客对于FTA极为熟悉，使得他们能串连漏洞来发动不需身份验证的RCE攻击。详全文

 

＃APT攻击  ＃Linux  ＃Winnti Group

中国骇客瞄准Linux系统植入后门程式RedXOR，台湾与印度出现受害者

网页应用程序资安业者Intezer近日揭露，锁定Linux服务器的恶意程式RedXOR，背后疑似是中国骇客组织Winnti Group（APT41）出手，相关的攻击事故已在台湾和印度出现。而这个恶意程式的名称由来，与该恶意软件会使用XOR算法加密网络流量有关。

研究人员提到，他们看到受害者上传至VirusTotal的RedXOR，在3月10日，60多款防毒引擎仅有1家判别为有害。详全文

图片来源：Intezer

 

＃DDoS攻击

勒索软件骇客组织REvil推出DDoS攻击服务，号召企业购买以向媒体施压

勒索软件组织越来越猖狂，根据资安研究人员3xp0rt的揭露，发现REvil竟扬言提供DDoS攻击服务，让企业买来向媒体恐吓。而勒索软件骇客组织滥用DDoS攻击手法已非首例，有资安业者发现，于2020年下旬，就有骇客借由这种方法迫使勒索软件受害者付赎金。详全文

图片来源：3xp0rt

 

＃漏洞揭露  ＃网页浏览器

Google浏览器再传出漏洞已遭滥用于攻击行动

Google再度针对Chrome发布新版本89.0.4389.90，而值得留意的是，本次已是他们于3月的第2个、今年第3度针对已遭滥用的漏洞进行修补。这项已出现攻击行动的漏洞为CVE-2021-21193，与该浏览器的排版引擎Blink有关，一旦遭滥用，将引发使用已释放内存（Use-After-Free）的情况，攻击者进而能在受害电脑执行任意指令。详全文

 

＃网络钓鱼攻击  ＃图灵验证机制

钓鱼邮件攻击者滥用reCAPTCHA让受害者更容易上当

网站为了验证上网用户是人类的工具，竟然也被骇客用来做为取信受害者的手法！资安厂商Zscaler的研究人员揭露，他们发现有钓鱼邮件攻击的骇客自2020年12月，开始仿造Google验证真人与机器人的机制reCAPTCHA，而且同时针对多个产业类型的高阶员工而来。

该公司指出，一旦受害者开启附件，就会被引导到假的reCAPTCHA网站，再骗取受害者的微软账号资讯。详全文

 

＃开发安全  ＃软件供应链安全

Google、红帽与Linux基金会启动Sigstore开源软件认证专案

为改善软件供应链的安全问题，最近一项名为Sigstore的专案正式发起，这是由Linux基金会与Google、红帽等大厂，所共同推动的计划。

在过去，很少开源专案会透过密码签署软件版本，原因在于金钥管理的难题，而Sigstore计划将提供可安全签署软件凭证的服务，将免费提供开发者与软件供应商。对所有开发者而言，Sigstore专案的发展相当值得关注。详全文

 

＃网络诈骗  ＃金融业

为遏止诈骗与盗刷歪风，银行公会拟修改安控基准，增加3道关卡防范

在农历新年期间，歹徒锁定国泰、台新等银行用户，以冒名网络银行的简讯骗取账号与密码，并将账户里的钱转走。根据苹果日报的报导，金融监督管理委员会为了防堵这种情况持续恶化，要求银行公会研拟对策，银行公会理监事会于3月初，通过修改“电子银行业务安控基准”，借由新增3大措施来因应这类情况。

这些措施涉及数位账户、手机支付与ATM转账，以及简讯重设转账密码等情境。首先，民众以手机门号开立数位账户时，必须加入视讯机制查核账户所有者；再者，对于手机支付5千元、ATM转账1万元以上，银行必须通知用户；第3项新规定，则是针对采用固定密码转账的用户，银行需增加防护措施，以防范骇客在民众重设密码时下手。

 

 

更多资安动态

●美司法部查获假冒生技公司的网站及域名
●英特尔、微软参与美国军方DARPA的全同态加密专案
●资安业者揭露Supernova攻击者身份为中国骇客组织
●5个骇客论坛于近2个月内传出遭到入侵