一個名為 Nex Team 的資安專家團隊,近日發現一個存於 WordPress 備份用外掛程式 Backup Migration 中的嚴重漏洞,駭侵者可藉以遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2023-6553,其危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級亦達最嚴重的「嚴重」(Critical)等級。該漏洞可讓駭侵者以相對簡易且無需通過身分認證的方式,即可利用特製的連線要求,在 /includes/backup-heart.php 檔案中注入 PHP 程式碼,進而遠端執行任意程式碼,並取得遭駭 WordPress 網站的控制權。
該漏洞影響 Backup Migration 外掛程式的所有版本,包括 Backup Migration 1.3.7 在內。據 WordPress 外掛程式目錄頁面上的統計指出,該外掛程式的下載安裝次數已超過 9 萬次。
Nex Team 是在由 WordPress 資安廠商 Wordfence 舉辦的漏洞懸賞大賽中提報本漏洞的,而 Wordfence 在接獲漏洞通報後,已於第一時間(12 月 6 日)立即通報給該外掛程式的開發單位 BackupBliss,且開發者也在數小時後緊急推出更新版本 Bakcup Migrarion 1.3.8,更新速度十分快速。
但另一方面,根據 WordPress.org 上 Backup Migration 外掛程式下載頁面上的資訊,在 Backup Migration 推出新版後,仍有近 5 萬個採用該外掛的 WordPress 網站,尚未更新到已修復該漏洞的新版本,因此這些 WordPress 網站仍曝露在極高的駭侵風險之下。twcert 發表在 痞客邦 留言(0) 人氣(8)
資安廠商 WordFence 與 PatchStack 旗下的資安專家,近期發現有駭侵者利用 Email 來散布假冒的 WordPress 資安更新,來散布內含後門外掛程式的惡意軟體;WordPress 系統管理者應提高警覺。
資安專家指出,這封假冒的更新通知信會偽裝成由 WordPress.org 發送,信件恐嚇使用者的 WordPress 中經掃瞄發現嚴重遠端執行任意程式碼漏洞 CVE-2023-45124;信件中要求使用者點按信中提供的連結,以下載修復該漏洞的外掛程式。
一旦使用者按下該連結,就會進入駭侵者架設的假冒 WordPress.org 網站(網址為 en-gb-wordpress[.]org),外觀和真實的 WordPress 官方網站幾乎一模一樣;在畫面上會顯示該惡意外掛有 50 萬次下載,還有不少假冒的使用者五顆星正面評價,誘使使用者受騙下載安裝。
一旦使用者在自己的 WordPress 系統上安裝該外掛程式,該惡意軟體會先新增一個隱藏的管理者帳號,並且會擅自將使用者的各項資訊傳送到駭侵者架設的控制伺服器上;之後該惡意外掛會下載一個以 base64 編碼的後門惡意酬載,將該 php 程式碼存在網站根目錄中,駭侵者即可使用其檔案管理功能、SQL 客戶端、PHP 控制台和指令碼終端機的工具,也能完整存取 WordPress 伺服器的詳細資訊。
由於該惡意軟體在架構上屬於 WordPress 外掛程式,因此使用者如想移除該惡意軟體,就必須手動操作,刪除惡意軟體程式碼與相關資料。
目前尚不清楚該惡意外掛的目的,但資安專家認為可能用來在受害網站中注入惡意廣告版位、將訪客導向至其他網站,或是進行勒贖攻擊等。
建議 WordPress 使用者在接獲類似資安警告信時,勿輕信其內容,更不要點按可疑連結並下載安裝任何外掛。twcert 發表在 痞客邦 留言(0) 人氣(1)
全球大型財經媒體彭博新聞(Bloomberg News)所屬的加密貨幣子頻道,其在 X 平台上官方帳號日前遭竊,稍後該官方帳號即遭駭侵者用於進行詐騙,將讀者導向至釣魚網站,以騙取受害者的 Discord 平台登入資訊。
根據加密貨幣詐騙觀察家 ZachXBT 指出,駭侵者在該帳號的個人檔案中,放入了一個原本就有 14,000 個成員的 Telegram 聊天頻道連結;該連結會將點按者導向到一個有 近 34,000 名成員的假冒 Bloomberg Discord 聊天室。
據 ZachXBT 指出,Bloomberg 原本的 Telegram 頻道,其使用者名稱為 @BloombergNewsCrypto;在 2023 年 10 月時,該頻道更名為 @BloombergCrypto,但原先使用的舊名因不明原因遭到駭侵者取得,並用來發動釣魚攻擊。
受害者如果進入該舊 Telegram 頻道後,會看到由機器人自動發送的訊息,要求使用者前往其在 Discord 上的聊天室;而使用者在點按該連結後,會先被導到一個假冒的 Discord 使用者身分驗證服務釣魚網站,要求使用者輸入其 Discord 登入資訊,從而竊取使用者的帳密。
資安專家指出,由於許多加密貨幣投資者都使用 Discord 社群服務,因此 Discord 帳號資訊經常成為駭侵者的攻擊目標;駭侵者可利用竊得的 Discord 帳號來推廣加密貨幣詐騙或釣魚攻擊,甚至竊取使用者的加密貨幣資金。
為防範釣魚攻擊,建議加密貨幣投資人避免點按任何不明連結,並採用多階段登入驗證,不在任何可疑網站中提供任何帳密等個人資訊。twcert 發表在 痞客邦 留言(0) 人氣(0)
全球大型社群討論平台 Discord 日前發布新聞稿指出,該平台將在今年年底之前改用暫時性連結來提供檔案下載服務,以防駭侵者使用其 CDN 服務來放置惡意軟體。
Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出,該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式,以加強資安防護,提供使用者更安全的使用環境。Discord 指出,新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量,且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。
Discord 即將推出的暫時性檔案連結 URL,在今年年底全面實施後,URL 的有效期限將限縮在 24 小時以內,且檔案連結 URL 會新增三種參數,以強化對 URL 的控制。
資安專家指出,Discord 的新做法是外部期待已久的改變,因為有愈來愈多的駭侵者,利用 Discord 的檔案分享功能來置放其惡意軟體檔案,將 Discord 的 CDN 服務變成惡意檔案擴散平台;特別是進行金融詐騙或由國家力量幕後支援的惡意檔案,數量佔比最高。
據資安廠商 Trellix 的統計,至少有 10,000 個以上的駭侵攻擊活動,使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案,或是將第二階段的惡意軟體酬載放在 Discord 平台上。
包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體,都會使用 Discord 來放置惡意檔案或指令檔。
建議使用者應避免任意點按不明來源傳來的連結,以免遭惡意軟體攻擊或植入。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商唯思安全(WithSecure) 近期發現有駭侵者假冒電腦硬體製造商 Cosair 在 LinkedIn 上刊登徵才啟事,藉以散布 DarkGate 和 RedLine 等惡意軟體。
WithSecure 的資安專家在該公司發表的資安研究報告中指出,近來有駭侵者在 LinkedIn 上冒充專業電腦硬體製造商 Cosair 發布一個負責投放 Facebook 廣告的假職缺,當有受害者上鉤後,駭侵者再傳送一個含有惡意軟體文件的 zip 壓縮檔給受害者,以在受害者電腦中散布惡意軟體。
WithSecure 指出,發動這波攻擊的駭侵團體,也曾在去年發動另一波名為「Ducktail」駭侵攻擊活動。
這波攻擊的主要目的,是要竊取受害者管理的 Facebook 企業帳號,藉以進行進一步的駭侵攻擊活動,或是將帳號出售牟利。主要的攻擊對象為美國、英國和印度的求職者;而假冒的 LinkedIn 求才啟事主要招募的是具有 Facebook 企業帳號與 Facebook 廣告投放經驗的社群管理者。
受害者一旦下載了含有惡意軟體的 zip 檔,解壓縮後會出現三個檔案,其中一個 .docx 檔案中含有惡意 VBS 指令碼;開啟該 Word .docx 檔案時,會進一步下載 DarkGate 或 RedLine 惡意軟體酬載,並且試圖移除受害系統上的資安防護軟體,以隱蔽行蹤並持續進行攻擊。
建議使用者在 LinkedIn 等類似的社群網站上,應對任何附件檔案提高警覺,勿輕易開啟容易夾藏惡意程式碼的檔案格式,如 Microsoft Office 文件檔與各種可執行檔。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安廠商趨勢科技 (Trend Micro) 日前發表研究報告,指出該公司發現一個名為 DarkGate 的惡意軟體,近期利用竊得的 Skype 帳號,以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。
趨勢科技的研究人員,在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動;駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話,然後將含有惡意軟體的檔案名稱,改成符合對話內容的形式後傳遞給受害者。
傳送給受害者的檔案中,含有 VBA 載入指令,可進一步載入 AutoIT 惡意軟體酬載,用來載入並執行最終的 DarkGate 惡意軟體酬載。
趨勢科技指出,目前並不清楚這些 Skype 帳號是如何遭到竊取,以用於發送惡意軟體的,有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。
此外,趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼;遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。
趨勢科技指出,駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號,並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊;駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制,並且發送釣魚附件檔案給討論群組中的使用者。
建議企業加強對內部訊息討論群組的資安防護,分享相關文件、試算表或簡報應盡可能避免直接分享檔案,可改使用線上版生產力工具,以杜絕惡意指令碼的執行。twcert 發表在 痞客邦 留言(0) 人氣(6)
全球大型即時通訊服務平台 Signal 日前宣布推出全新的端對端加密 (End-to-end encryption, E2EE) 通訊協定,使用一種全新加訊息加密演算法,據稱能夠對抗量子電腦極為高速度的破解運算。
量子電腦是一種利用量子效應與量子位元進行運算的全新電腦架構,能夠在極短時間內,以平行處理方式進行極高速的運算,效能可達傳統高速電腦的一億倍以上;傳統加密演算法以傳統電腦進行破解運算,如需數十年到數百年時間破解,量子電腦可能僅需數秒即可運算完成,因此對傳統加密演算法構成極為嚴重的考驗。
目前雖然量子電腦仍處於實驗階段,僅有大型研究機構與電腦公司有能力進行研發製造,但資安界已預見其威脅;一旦駭侵者掌握量子電腦的超級算力,各種現行資安保護機制勢將瓦解。
Signal 指出,其原本使用的「X3DH」(Extended Triple Diffie-Hellman) 金鑰聚合通訊協定,在今後將升級為「PQXDH」(Post-Quantum Extended Diffie-Hellman) 演算法,該演算法同時採用 X3DH 的楕圓曲線金鑰同意協定,以及稱為 CRYSTALS-Kyber 的抗量子運算金鑰包裝機制。CRYSTALS-Kyber 是一種已獲美國 NIST 認證的加密演算法,適用於一般性與需要快速交換小型加密金鑰的加密解密運算需求。
SIgnal 指出,該公司並未計畫直接以新的 PQXDH 抗量子運算加密協定取代現有的 X3DH 加密協定,而是逐步過渡到各種抗量子運算的新加密演算法;未來將會推出更多的升級與調整,以對應日益嚴重的資安挑戰。
為因應量子電腦強大算力可能落入駭侵者控制的危機,建議各公私單位應思考對抗量子運算的方法與新技術,並擬定導入計畫,強化資安防護能力。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安專業媒體 BleepingCompter 日前發表一篇專題報導,指出短影音社群媒體平台 TikTok 上,目前大量出現假冒 Elon Musk 旗下知名企業如 Tesla、Space X 等的加密貨幣發放詐騙攻擊,使用者應特別提高警覺。
報導指出,這類假冒名人在社群平台上,以發放加密貨幣為詐騙誘餌的案例,近年來層出不窮,並不是新穎的詐騙手法;這類詐騙總是假冒科技界或幣圈知名人士的身分,在社群媒體上張貼詐騙貼文,宣稱只要使用者以加密貨幣進行匯款,就可以得到倍數的加密貨幣回饋,以此吸引不察的使用者上當受騙。
詐騙者通常會設立數百個網站,假冒為加密貨幣發送活動網站或加密貨幣交易所,要求受害者註冊帳號,並進行匯款以收取免費發放的加密貨幣;但所有這類案例的結果都完全相同,就是受害者的匯款遭到騙取,完全無法領到「發放」的加密貨幣獎金。
BleepingComupter 專文指出,過去這類詐騙案多半出現在 Facebook、Instagram、Twitter 和 YouTube 上,而由於 TikTok 的快速崛起,也成為詐騙者愛用的社群平台。近來的案例多半是以 Elon Musk 過去接受電視新聞專訪的影片為素材,利用深偽技術,將 Musk 受訪的談話內容,偷換成加密貨幣詐騙的宣傳,用以誘騙受害者上當。
也有一些詐騙活動的影片製作技術較為粗糙,內容是如何在詐騙網站上註冊的流程,以獲得免費的加密貨幣。
建議加密貨幣投資者對這類明顯過度好康的活動,均應提高警覺,不要任意點按連結或參與活動。twcert 發表在 痞客邦 留言(0) 人氣(2)
資安廠商 EclecticIQ 日前發表研究報告,指出該公司旗下的資安人員,發現的新勒贖攻擊團體 Key Group 透過 Telegram 頻道散播惡意軟體,不但會對受害者設備中的資料進行加密,且還會竊取受害者的個人機敏資訊。
報告指出,Key Group 的主要目的應為藉勒贖攻擊斂財。主要的攻擊對象為俄羅斯境內的受害者。該團體除了要求受害者償付贖金外,也會在一個名為 Dark Store 的俄羅斯暗網中販賣用戶個資與其社群帳號、VPN 帳密和 email 地址。
EclecticIQ 是在 2023 年 1 月 6 日起觀測到 Key Group 的相關攻擊活動,並持續活動至今。資安研究人員發現 Key Group 的成員利用 Telegram 中的頻道 keygroup777Tg 來進行攻擊活動與贖金要求。另外該團體還有一個私密 Telegram 頻道,用以協調成員間的攻擊行動,並共享各種工具的資訊。
EclecticIQ 指出,該團體有可能自 6 月底開始利用一種稱為 NjRAT 的遠端遙控工具,來控制受害者的裝置。
報告也指出,Key Group 使用一種 CBC-mode 進階加密標準 (AES) 來加密受害者的資料,並將用戶的檔案名稱加上 keygroup777tg 的副檔名。由於這種加密方式並不太複雜,加上該團體的駭侵技術並不強,在進行加密時犯了一些技術上的錯誤,因此 EclecticIQ 已經利用這些錯誤,開發出針對其 8 月 3 日版本勒贖軟體的解密工具。
為避免遭到勒贖攻擊,建議使用者避免點按不明來源如釣魚郵件、社群頻道或聊天軟體中傳送的連結。twcert 發表在 痞客邦 留言(0) 人氣(2)
十分受全球網友歡迎的社群聊天室服務 Discord,日前開始發送 email 通知部分用戶,因該平台先前發生的駭侵事故,導致這批用戶的個人可識別資訊(personally identifiable information, PII)外洩。
該次駭侵事件發生在 2023 年 3 月 29 日,起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員,疑似遭到社交攻擊,導致駭侵者取得其工作用登入資訊,並藉以取得 Discord 平台部分系統的使用權限。
駭侵者竊得的資料,包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員溝通的訊息記錄,以及支援工單中附件的檔案內容。
Discord 表示在發現系統遭到不當存取,且證實資料遭竊後,該公司立即停用遭駭人員帳號的相關權限,清查後發現約有 180 名使用者的個人機敏資料遭到竊取。
Discord 在新聞稿中指出,目前證實有一名位於美國緬因州的使用者,其個人姓名、駕駛執照、州民證號碼等資訊遭到外洩。
另外,在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io,在遭到駭侵攻擊並發生大量資料外洩後停止服務;資料遭到外洩的該服務使用者據傳多達 760,000 人。
Discord.io 被竊取的使用者資訊,據傳也在一個新成立的駭侵討論區 Breached 上出售,駭侵者還公開了 4 名使用者的資訊,以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址(部分使用者)、已加密的密碼 hash、對應的 Discord ID 等。
鑑於第三方服務業者人員遭社交攻擊等方式,導致平台系統遭到駭侵的案例層出不窮,建議各平台業者加強第三方業者的資安認證與人員教育訓練,並將核心系統與資料進行必要的隔離保護。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安宣導 (2)