• 發布單位:TWCERT/CC
• 更新日期:2022-03-22
• 點閱次數:3220

國際紅十字會（The International Committee of the Red Cross）日前表示，自上個月起，該組織所屬的伺服器，開始遭到疑似由國家幕後支持的駭侵團體攻擊。

在這次攻擊中，駭侵者不僅成功入侵紅十字會所屬的伺服器，也竊走多種個人機敏資料；被竊的資料包括個人姓名、所在地、連絡方式，受害者則是參與「重建家庭連繫」（Restoring Family Links）計畫的成員，人數多達 515,000。

資安專家調查事件後指出，駭侵者係利用一種名為「資安攻擊專用」（Designed for offensive security）的客製化駭侵工具，這種工具通常與「進階持續性資安威脅」（Advanced Persistent Threat, APT）相關。

資安專家說，駭侵攻擊發生於去（2021）年 11 月 9 日，直到 70 天後才遭發現；而駭侵者是利用紅十字會伺服器中一個尚未修補的嚴重資安漏洞「Zoho」（CVE-2021-40539）來發動攻擊。該漏洞存於 Zoho 的 ManageEngine ADSelfService Plus 企業用密碼管理系統解決方案中，駭侵者無需通過登入驗證，即可利用此漏洞，遠端執行任意程式碼。

紅十字會也說，駭侵者利用此漏洞滲透後，即可偽裝成合法的系統使用者或管理者，布署各種後續駭侵工具，並且竊取各種資料，甚至包括加密過後的資料在內。

網路設備大廠 Palo Alto Networks 旗下的資安研究人員指出，在過往的駭侵攻擊記錄中，曾經利用 Zoho 漏洞發動駭侵攻擊的 APT 團體是 APT27；而德國國內調查機關也曾發現該團體利用同一漏洞，攻擊德國的商業組織。