close

國際紅十字會所屬伺服器自上月起遭駭

國際紅十字會(The International Committee of the Red Cross)日前表示,自上個月起,該組織所屬的伺服器,開始遭到疑似由國家幕後支持的駭侵團體攻擊。

在是次攻擊中,駭侵者不僅成功入侵紅十字會所屬的伺服器,也竊走多種個人機敏資料;被竊的資料包括個人姓名、所在地、連絡方式,受害者則是參與「重建家庭連繫」(Restoring Family Links)計畫的成員,人數多達 515,000。

資安專家調查事件後指出,駭侵者係利用一種名為「資安攻擊專用」(Designed for offensive security)的客製化駭侵工具,這種工具通常與「進階持續性資安威脅」(Advanced Persistent Threat, APT)相關。

資安專家說,駭侵攻擊發生於去(2021)年 11 月 9 日,直到 70 天後才遭發現;而駭侵者是利用紅十字會伺服器中一個尚未修補的嚴重資安漏洞「Zoho」(CVE-2021-40539)來發動攻擊。該漏洞存於 Zoho 的 ManageEngine ADSelfService Plus 企業用密碼管理系統解決方案中,駭侵者無需通過登入驗證,即可利用此漏洞,遠端執行任意程式碼。

紅十字會也說,駭侵者利用此漏洞滲透後,即可偽裝成合法的系統使用者或管理者,布署各種後續駭侵工具,並且竊取各種資料,甚至包括加密過後的資料在內。

網路設備大廠 Palo Alto Networks 旗下的資安研究人員指出,在過往的駭侵攻擊記錄中,曾經利用 Zoho 漏洞發動駭侵攻擊的 APT 團體是 APT27;而德國國內調查機關也曾發現該團體利用同一漏洞,攻擊德國的商業組織。

  • 參考連結

Cyber-attack on ICRC: What we know

https://www.icrc.org/en/document/cyber-attack-icrc-what-we-know

Targeted Attack Campaign Against ManageEngine ADSelfService Plus Delivers Godzilla Webshells, NGLite Trojan and KdcSponge Stealer

https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/

Red Cross Hack Linked to Iranian Influence Operation?

https://krebsonsecurity.com/2022/02/red-cross-hack-linked-to-iranian-influence-operation/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 國際紅十字會 伺服器 駭侵攻擊
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄