標籤: News

在業界廣泛使用的容器管理應用程式 Kubernetes ，近來被披露有三個互相關聯的高嚴重性安全漏洞，可能被利用來對同一個集群中的 Windows 端點上實現帶有提升權限的遠程代碼執行。此三個安全漏洞的CVE編號分別為：CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955，它們的 CVSS 評分為 8.8，影響所有帶有 Windows 端點的 Kubernetes 環境。

這些漏洞的主要威脅是它們允許攻擊者在 Kubernetes 集群中的 Windows 端點上執行遠程代碼，並進而獲得 SYSTEM 權限。具體來說，攻擊者需要將一個惡意的 YAML 文件於目標集群內執行，然後就可以在受害的 Windows 機器上執行任意代碼操作。

CVE-2023-3676 影響了所有版本低於 1.28 的 Kubernetes，能夠讓攻擊者以低權限進行攻擊，只需具有對端點的訪問權限和應用權限即可將惡意代碼在 Windows 端點上以 SYSTEM 權限執行。這樣的低門檻使得攻擊變得相對容易，大幅提升了組織受到攻擊的風險。另一方面，CVE-2023-3893 則涉及 Container Storage Interface (CSI) 代理中的特權升級，允許攻擊者獲得端點上的管理者訪問權限。

這些漏洞的共同性是在處理 Pod （Kubernetes的計算單元）時，對於使用者的輸入缺乏適當的驗證。這使得攻擊者能夠創建包含惡意代碼的 Pod，從而實現特權升級和遠程代碼執行。

這組漏洞對企業的安全性構成了嚴重威脅，特別是那些大量使用 Windows 端點設備的企業。因此，企業應該盡快採取必要的措施，包括更新和修補 Kubernetes，以確保其系統免受潛在的攻擊風險。

竣盟科技針對此項漏洞的建議如下：

立即進行版本更新：確保您正在使用已經修補這些漏洞的最新版本的 Kubernetes。

限制訪問權限：限制誰可以在您的集群中創建或修改 pod。實施嚴格的基於角色的訪問控制（RBAC）政策。

稽核與監控：密切關注您的日誌活動，標記和調查不尋常或未經授權的 pod 創建活動，特別是包含嵌入式 PowerShell 命令的項目，所有這些都是潛在攻擊的強烈徵兆。

Kubernetes是什麼？

Kubernetes是一個開源的容器管理平台，它用於自動化和管理應用程式的部署、維護和擴充。可以幫助開發人員和維運團隊更輕鬆地管理容器化的應用，提供了一個可擴充、高度可用的平台，支持應用程式在不同的環境中運行，包括本地、雲端和混合雲環境。Kubernetes提供了自動化的容器部署、擴充、故障恢復和負載平衡等功能，使應用程式更加穩定、可靠且易於管理。它已成為容器化應用程式的標準，被廣泛用於現代雲原生應用的開發和運營。

最新一款針對Mac使用者的資訊竊取惡意軟體MetaStealer已經現身，攻擊者專門瞄準企業用戶。這種惡意軟體通常偽裝成Adobe應用程式或檔案，或者隱藏在一般的檔案文件之中。SentinelOne的研究人員表示，目前發現的MetaStealer樣本多數都是隱藏在使用.dmg副檔名的檔案之中，這種直接挑明了針對macOS的惡意軟體是相當罕見的，因此也被猜測可能有要針對某些特定的企業用戶。

MetaStealer專為搭載Apple M1和M2處理器的Mac設計，其代碼經過重重隱藏跟混淆，企圖令人看不清他的用意為何。儘管如此，研究人員還是發現到MetaStealer能夠竊取已保存的密碼、iCloud鑰匙圈的功能、以及多數的文件檔案，甚至有些變種是專門瞄準Telegram和Meta應用程序。

MetaStealer首次於2023年3月被發現，此後不斷更新、進化、並發展不同變種。最近，蘋果公司已將該惡意軟體增加到macOS的XProtect防惡意軟體系統中。儘管一些版本中嵌入了蘋果開發者代碼簽名，但多數樣本未使用簽名，這代表攻擊者會透過各種方式來引導受害者進行一系列操作，藉以繞過Gatekeeper等保護機制。

MetaStealer並非首款針對Mac使用者的資訊竊取惡意軟體，研究單位還發現了一款稱為Atomic Stealer的惡意軟體，與MetaStealer相同，是針對macOS的使用者所設計，但目前為止尚不清楚兩者之間是否有任何關聯。MetaStealer等惡意軟體的出現，代表惡意軟體作者正積極瞄準MacOS的使用者，特別是那些慣以macOS進行日常作業的企業用戶，藉此竊取更多機敏資訊。

這一趨勢令安全人員感到擔憂，當這些惡意軟體開始橫跨到不同系統並且積極開發之時，意味著針對不同作業系統的設備都需要有相應的解決方案，這使得原先就已捉襟見肘的資安預算更加顯得不足。

更多關於針對macOS惡意軟體之消息：

LockBit 勒索軟體組織轉向以mac電腦為目標？！專家發現首款針對macOS 機器的 LockBit 加密工具！
https://blog.billows.com.tw/?p=2593

中國APT駭客Storm Cloud利用惡意軟體GIMMICK針對macOS用戶

MetaStealer的部分入侵指標(Indicator of compromise -IOCs):

SHA256        ef0dd9ee92148dfc1d731d42812688f28dd276c2307ac8674a216a2371d156cd                                 

SHA256        8dd5bcc737e7b4bf98db09b082c34469b7095da3a4d314b1ca9b43316340da20                                               

SHA256        7344c02c3c366be28df78afb2df87a02a96f82d6fce1df8604067dcb02363dc8                                             

SHA256        50427037543eb5d8be12940c8fac6b4710e15125ee2b77b0743b017eafd8af9f                                  

SHA256        3725b015c4d5e5632e2ab87327f5f20733fc5d821ce500725b6d6c84694de670                          

SHA256        2d70d5965f201d97f4a763e95c7074dfd7ddbf9b7118e79ebf79c13235e1d821

親印尼駭客組織Vulz Sec Team，因不滿日本排放福島核廢水，於8月28日發動稱為OpJapan的攻擊日本的行動，攻擊了多家政府機構並聲取得有關政府部門職員的個資。當中包括日本的厚生勞働省、國土交通省、金融廳和國立國會圖書館等。Vulz Sec Team在其Twitter表示，「日本在公海處理核廢料的不光采行動的後果。這是日本政府和聯合國在這種情況下表現出自私的本性，沒有與其他國家進行任何協調。海洋是一種豐富的自然資源，有很多好處。除了在食物方面是自然資源外，它還是一個充滿魅力的旅遊景點。對於這種浪費，即使他們提供了大約二億美元的賠償，也沒有人可以承擔責任，這並不能保證更換資源。」因此我們特此聲明發動OpJapan的行動。」並於2023年8月28日至9月5日對日本組織發動網路攻擊。

據了解，除了Vulz Sec Team宣布的OpJapan之外，其他駭客組織如Anonymous宣布了OpTEPCO和OpFukushima等網路攻擊行動的消息，向日本政府發出威脅，聲稱日本政府網站和與福島設施相關的其他網站遭到網路攻擊。該消息談到了核廢料傾倒對環境和人類的影響。在一項名為“Tango Down”的行動中，聲稱攻擊了與福島核電站相關的21個政府網站和其他網站。

據《日本時報》報導，Anonymous組織的一名成員最近告訴共同社，日本政府釋放處理過的水的政策缺乏透明度，因為公民無法參與其決策過程。

利用惡意二維條碼的廣泛網路釣魚活動已經攻擊了各個行業的組織，包括美國的一家大型能源公司。研究員觀察到攻擊者發送的 1,000 多封網路釣魚電郵，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電郵

8 月 16 日，根據資安公司Cofense觀察到，網路釣魚活動主要針對美國一家著名能源公司，利用二維條碼將惡意電子郵件放入收件箱並繞過安全措施。Cofense 解釋說，網路釣魚連結隱藏在二維碼中利用嵌入 PNG 圖像或 PDF檔案中的惡意 QR code，旨在在攻擊中獲取目標機構員工的 Microsoft 帳號憑證。與直接嵌入電子郵件中的網路釣魚連結相比，使用二維條碼的優點是，最重要的是能繞過反網路釣魚解決方案，因為網路釣魚連結隱藏在 QR code中。研究人員觀察到該活動的平均月增長率超過 270%。自 2023 年 5 月以來，整體的活動增加了 2,400% 以上。研究人員表示，這是 Cofense 觀察到的有史以來最大規模的利用二維條碼的攻擊活動，這種情況表明攻擊者正在測試二維條碼攻擊的功效。

作為該活動的一部分，攻擊者發送了 1,000 多封網路釣魚電子郵件，其中大約 29% 針對美國能源公司，另外包含製造、保險、技術和金融服務領域的組織分別收到了 15%、9%、7% 和 6% 的電子郵件。

Cofense觀察到的電子郵件一直在偽冒Microsoft安全通知，大多數已識別的網路釣魚連結是 Bing 重定向 URL (26%)，其次是與 Salesforce 應用程式 (15%) 和 Cloudflare 的 Web3 服務相關的兩個網域，分別是krxd[.]com和cf-ipfs[.]com。Cofense 指出，觀察到的攻擊數量每月增長約 270%，其中 5 月至 6 月期間觀察到的峰值最高。然而，經過 7 月份長達數週的攻擊活動後，8 月份觀察到的攻擊數量有所減少。大多數電子郵件包含涉及更新帳號資料的誘餌，包括雙因素和多因素身份驗證或一般帳戶安全詳細資訊。利用Bing URL 重定向，加上隱藏圖像或文檔中嵌入的二維條碼中的網路釣魚連結以及其他混淆策略，有助於惡意資源繞過安全控制並進入收件人的收件箱。

據 Cofense 稱，儘管攜帶二維條碼的網路釣魚電子郵件能夠進入收件箱，但完成攻擊的效率可能不那麼高，因為它們需要用戶掃描條碼（通常使用手機）並點擊網路釣魚連結。

該公司還指出，雖然二維條碼掃描儀和圖像識別系統可以自動識別惡意二條維碼，但教育員工避免掃描電子郵件中的此類條碼也很重要。 2022 年 1 月，聯邦調查局 (FBI)發布公共服務公告 (PSA)，警告網路犯罪分子正在使用二條維碼竊取他們的憑證和財務資料。FBI 的公告包括保護人們免受此類攻擊的提示，建議檢查通過掃描二維條碼獲得的 URL，以確保它是預期網站並且看起來是真實的。攻擊者可能會使用與預期 URL 類似但有拼寫錯誤或字母放錯位置的惡意網域名。在提供登錄資料、個人資料或財務資料之前，請仔細檢查通過二條維碼導航到的任何網站。

不要從非官方商店下載二維條碼掃描儀應用程式，以免感染受污染的應用程式，現在大多數手機都通過相機應用程式內置了掃描儀。如果用戶從他們認識的人那裡收到二維條碼，可通過其他渠道聯繫他們，以驗證該條碼是否來自他們，切勿通過二維條碼導航的網站進行支付，建議手動輸入已知且可信的 URL 來完成支付。11 月，FBI 互聯網犯罪投訴中心 (IC3) 發布警報 ，警告公眾注意利用加密貨幣 ATM 和快速回應QRcode完成支付交易的詐欺活動。

8月3日，美國CISA、NSA 和 FBI 與五眼聯盟的網路機構合作，共同發布了2022年前12名最常被駭客開採的漏洞清單，其中許多漏洞出現在上一年的清單中，鑑於這些機構對針對美國、澳洲、加拿大、新西蘭和英國組織的攻擊的所有了解，聯合諮詢警告稱，攻擊者更喜歡舊的漏洞，而不是新的漏洞。該清單與去年發布的清單沒有什麼不同，包括常被駭客開採的 Log4Shell（追踪為 CVE-2021-44228）和 Zoho 漏洞（CVE -2021- 40539）等。英國國家網路安全中心 (NCSC) 表示，清單上重新出現的漏洞數量突顯了，攻擊者持續針對先前披露的面向互聯網的系統中的漏洞。去年被開採最多的頭號漏洞實際上早在 2018 年就已披露，各大組織和企業已有四年的時間來修補，該漏洞並且一直是CISA，FBI和NCSC重複警告的漏洞為FortiOS SSL VPN Web中的路徑漏洞，此漏洞讓攻擊者可以透過下載FortiOS系統檔案來竊取VPN憑據。世界各地有關部門已留意到這個漏洞可被利用的情況，這漏洞更可包括使用Fortinet VPN設備的機構的VPN網路，該漏洞編號為CVE-2018-13379，長期以來，這是一個眾所周知的漏洞，西方當局警告稱，該漏洞被與俄羅斯 SVR 外國情報服務機構有關聯的駭客組織 APT29 以及其他惡意組織所利用。

最常被駭客開採的漏洞清單中的第2, 3和4名是Microsoft Exchange 伺服器的一系列漏洞，通常稱為ProxyShell（漏洞編號為 CVE-2021-34473、CVE-2021-31207、CVE-2021-34523），分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞，影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補，這些漏洞於2021年發現。

NCSC 表示：“攻擊者通常會在公開披露的頭兩年內利用已知漏洞取得最大成功，並可能將其利用目標最大化，從而強調組織及時應用安全更新的好處。”

儘管截至 2022 年底，通用漏洞揭露(CVE)計畫發布了超過 25,000 個新安全漏洞，以下是去年前12個最容易被利用的安全漏洞:

這個漏洞清單提供了對網路犯罪活動背後策略的深入了解，新西蘭國家網路安全中心副主任 Lisa Fong 表示，這一建議強化了網路安全的一個基本方面，惡意行為者繼續一遍又一遍地使用相同的技術取得成功，通過了解您的資產並在修補可用時快速應用修補。強調做好基本面的重要性。Fong進一步說，由於攻擊者通常在漏洞公開披露後的頭兩年內獲得最大的利用成功，及時修補會降低已知、可利用漏洞的有效性，可降低惡意網路行為者的行動速度，並迫使攻擊者尋求成本更高、更耗時的方法（例如開發零日漏洞或進行軟體供應鏈操作）

該聯合諮詢還包括 2022 年另外 30 個經常被利用的漏洞，此外該諮詢還為供應商和開發人員提供了緩解措施。

了解更多，有關該諮詢:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-215a

Key Points:

*美國在多個軍事系統中發現了中國惡意軟體

*與之前監控來自中國的惡意軟體不同，其用途是破壞而不是監視

*惡意軟體還可能會擾亂正常的平民生活和和商業

據《紐約時報》報導，美國政府認為中國已將惡意軟體隱藏在控制美國和世界各地軍事基地的電網、通信系統和供水系統的深處，旨在發生衝突時激活的惡意軟體來擾亂軍隊，美國將該惡意軟體形容為“定時炸彈”。紐約時報指出，該惡意軟體的發現引發了人們的擔憂，即中國駭客為中國政府工作，他們插入了旨在在發生衝突時擾亂美國軍事行動的程式，包括北京在未來幾年對台灣採取行動的情況。美國情報和軍事官員正在搜尋和追縱中國惡意軟體，專家們認為該惡意軟體可能會在美「中」爆發衝突時，恐在關鍵時刻切斷美軍基地的水電與通信，從而減緩補給與部署行動；加以美國許多軍事基地與民宅及民間企業，使用相同的供應基礎設施，因此，許多民用水電通信亦可能遭波及與影響。

《紐時》的報導，與今年 5 月間微軟(Microsoft)的公開警告相呼應，微軟揭露，中國APT駭客組織 Volt Typhoon 滲透到了美國和關島的關鍵基礎設施組織中，該組織設法盡可能長時間地保持存取而不被發現。Volt Typhoon 組織至少自 2021 年中期以來一直活躍，針對關鍵基礎設施開展網路行動。在最近的攻擊活動中，該組織將通信、製造、公用事業、運輸、建築、海事、政府、資訊技術和教育部門的組織作為目標。Volt Typhoon主要運用就地取材（Living off the Land）技術發動攻擊，在受害者裝置上安裝惡意程式以便遠端手動控制，之後將檔案壓縮外傳，蒐集到的網路存取憑證則使其得以長期潛伏。同時，以hands-on-keyboard輸入命令的攻擊模式，以躲避防毒軟體的偵測。

報道指，美國當局發現這款中國惡意軟體後，白宮戰情室最近幾個月就事件召開了一系列會議，來自國家安全委員會、國防部及國土安全部等高層官員，正努力追查並旨在將其剷除。然而美國對該軟體的辨識、追查與消除工作，已進行一段時間，但截至目前，仍無法完整得知中共駭客植入惡意軟體的範圍與深度，因為其「隱藏得非常好」。

同時，拜登政府官員開始向國會議員、一些州州長和公用事業公司通報調查結果，並在接受《紐約時報》採訪時證實有關這次行動的一些結論，美國總統拜登的一位最高級顧問解釋說，所謂的惡意軟體的存在引發了一個問題：他們到底在做什麼準備。該程式碼可以用來減緩美國在中國軍隊入侵台灣時的反應，但另一種理論認為該程式碼的目的是為了轉移注意力。美國情報機構評估稱，中國官員可能認為，在攻擊台灣或其他行動期間，美國基礎設施的任何中斷都可能會吸引美國公民的注意力，以至於他們很少考慮海外衝突。

白宮國家安全會議（National Security Council）的發言人Adam Hodge在28日發布的聲明稱，拜登政府正努力保護美國關鍵基礎設施免受任何干擾，這包括跨部門協調工作，以保護供水系統、管線、鐵路和航空系統等，並首度透過一系列行政命令強制要求採取嚴格的網路安全措施，但聲明並未提到中國或美軍基地。

中國國家級駭客的網路行動似乎出現轉變，美國官員表示，最近的入侵與過去的入侵不同，因為目標似乎是破壞，而不是監視。

有關中國惡意軟體操作的報導在中美關係緊張時期浮出水面，中國聲稱台灣是其領土的一部分，而美國則旨在禁止向北京出售先進半導體。