FortiGuard Labs 近期發布最新的威脅情資報告—聯合網路安全警示,這份報告特別提到一場由俄羅斯情報局第85主要特種勤務中心(GTsSS)26165軍事部隊發起的攻擊行動。這場為期將近兩年的攻擊活動利用Kubernetes叢集對全球多個實體進行暴力攻擊,有多個政府機構與私人企業受害。Fortinet分析,除了由國家級駭客組織所發起的資安攻擊行動,政府機構和企業也經常遭到勒索軟體和其他遠端程式碼執行(Remote Code Execution,RCE)零日(Zero-day)漏洞攻擊。
!此為分頁標誌前台不顯示!
除了最新的勒索軟體攻擊,FortiGuard Labs也留意到微軟Windows列印多工緩衝處理器的新發現零日漏洞報告中的問題。一般認為該漏洞的問題來自CVE-2021-1675(Windows列印多工緩衝處理器遠端程式碼執行漏洞),微軟亦在其2021年6月的週二修補日公布。然而,最新發現的漏洞似乎可能是該漏洞的變形或另一個新漏洞。微軟目前尚未發表任何公開聲明證實這個說法。
低階的已驗證使用者或者擁有這類憑證的駭客,可以透過目前這種型態的漏洞輕鬆從「系統」層級奪佔目標伺服器,進行各種攻擊,包括但不限於完全掌控系統、部署惡意軟體等等。Fortinet提醒,這些發現或許與CVE-2021-1675無關,因為有多次透過公開來源情報(Open Source Intelligence,OSINT)管道進行的對話表示這可能是全新的漏洞。
目前還不知道哪些版本的Windows會受到這個漏洞的影響,但MimiKatz的開發者Benjamin Delpy證實2021年6月8日釋出的Windows 10版本更新2021-KB5003646(作業系統組建17763.1999)很容易因此漏洞受到攻擊。
即使在沒有獲得事前相關資訊或進行特殊設定的情況下,FortiEDR也能在偵測到Diavol與Conti勒索軟體攻擊後,立即加以阻擋。FortiEDR利用執行後防護引擎來辨識加密檔案或清除陰影副本等惡意活動,再即時予以封鎖。此外,Fortinet亦立即將該次威脅的詳細資訊分享給其他資安威脅聯盟(Cyber Threat Alliance)成員,協助聯盟成員為全球用戶建立更有保障的防護措施。
針對微軟#PrintNightmare零日遠端程式碼執行漏洞,Fortinet建議各企業組織務必評估已知用於執行Windows Print Spool服務的裝置是否可用,尤其是可暫時停用的網域控制站,包含阻隔TCP連接埠135(RPC)與445(Spooler SMB)。此漏洞很可能對企業的日常營運和商譽帶來損害,例如在非預期情況下發布資料、干擾企業營運等等,因此各企業組織務必確保所有AV與IPS特徵值均為最新版本。
FortiGuard研發中心台灣區經理林樂表示,建議各企業須持續舉辦訓練課程,教導並告知職員最新的網路釣魚/魚叉式網路釣魚攻擊,同時也勸導員工不要開啟寄件人不明的郵件中附加的檔案,針對未知及不信任寄件人所傳送的電子郵件亦須小心處理。駭客透過社交工程散布機制進行各種網路釣魚/魚叉式網路釣魚攻擊的事件屢見不鮮,讓企業內終端使用者了解各種類型攻擊成為當務之急。舉例來說,企業可以使用內部資訊安全部門預先製作範本舉辦定期訓練課程或突擊測驗,以簡單的使用者警覺訓練,教導使用者辨別帶有惡意附件或連結的電子郵件,也有助於防範駭客入侵網路。