美國基因測試公司 23andMe 日前發生的駭侵事件,現在已知共有 690 萬名「其他使用者」的血統世系資料遭到駭侵者竊取,較該公司先前公布的可能受影響人數多上許多。
在 23andMe 於上周五發表的通報中指出,該公司有約 0.1%,相當於 14,000 位顧客資料在 2023 年 10 月時發生的駭侵事件中遭竊,但該公司同時也表示,駭侵者可透過存取這些使用者的帳戶,取得「大量含有其他使用者血統世系資料的檔案」,惟該公司當時並未透過所謂「其他使用者」的數量有多少人。
根據資訊媒體 TechCrunch 的報導指出,在 23andMe 公司發送給 TechCrunch 的信件中,該公司發言人承認,駭侵者可以存取的所謂「其他使用者」個人檔案,包括 550 萬名參與使用該公司「DNA Relatives」功能的使用者;這項功能讓使用者能自動將相關資料分享給其他人。而 23andMe 同時也承認另外還有 140 萬名使用者的家族資料也可能遭駭侵者不當存取。
據指出,遭到竊取的顧客資料欄位,包括使用者姓名、出生年、關係標籤、與親友的相同 DNA 百分比例、血統世系報告書、自我揭露的所在地資料,以及其他使用者主動提供給 23andMe 的資訊。
在今年 10 月初,有一名駭侵者聲稱犯下 23andMe 駭侵攻擊事件,並且在某個知名駭侵討論區中公布了 100 萬名猶太人和 10 萬名中國人的世系資料,並以一個使用者帳號 1 美元到 10 美元的價格求售。兩星期後,該駭侵者又在同一駭侵討論區中販賣另外 400 萬名使用者的世系資料。
建議握有大量使用者資料的公私單位,均應加強資安防護,避免資料遭竊,嚴重影響使用者隱私與權益。twcert 發表在 痞客邦 留言(0) 人氣(0)
Google 於近日針對 Chrome 瀏覽器中的一個 0-day 漏洞 CVE-2023-6345 發表緊急更新,廣大 Google Chrome 使用者均應立即更新瀏覽器。這是 Google Chrome 今年第六個被發現的 0-day 漏洞。
這個 0-day 漏洞 CVE-2023-6345 存於 Skia 開源 2D 繪圖程式庫中,屬於整數溢位錯誤;駭侵者可利用此漏洞來誘發系統崩潰,進而執行任意程式碼。該漏洞所在的 Skia 繪圖引擎程式庫,同樣也使用於多種軟體如 ChromeOS、Android 與 Flutter 中。
該漏洞是由 Google Threat Analysis Group (Google TAG) 旗下的資安專家所發現;Google TAG 長期以來就擅於發現各種 0-day 漏洞;而該單位發現的 0-day 漏洞,經常會遭到駭侵團體用於攻擊各種重要人士。
Google 也在相關資安通報中指出,該公司已接獲 CVE-2023-6345 已遭駭侵者廣泛用於攻擊活動的情資。這個漏洞的 CVSS 危險程度評分為 8.8 分(滿分為 10 分),危險程度評級為「高」(High)。
這個漏洞對所有平台的 Google Chrome 都造成影響,包括 Windows、macOS 和 Linux 平台;Google 也已在 Stable Desktop channel 中推出更新,使用應立即在 Chrome 中選取更新功能,將其 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。
建議 Chrome 使用者應立即將 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。twcert 發表在 痞客邦 留言(0) 人氣(9)
東歐國家斯洛維尼亞最大電力公司 Holding Slovenske Elektrarne (HSE),日前遭到勒贖攻擊,導致該公司部分系統與檔案遭到破壞;但該公司表示供電並未受到影響。
HSE 的電力供應,占斯洛維尼亞國內電力消費的 60% 以上,因此算是該國關鍵基礎設施之一。該公司係於 2001 年由斯洛維尼亞政府設立,目前屬於政府持有的國營企業;其發電方式相當多樣,包括水力發電、火力發電、太陽能發電,甚至還擁有煤礦。HSE 同時也在義大利、賽爾維亞與匈牙利設有分支機構。
據當地媒體報導,攻擊事件係發生於 2023 年 11 月 22 日,該公司於 11 月 24 日發現攻擊事件後,隨即通報斯國資安主管機關,並與警察單位、第三方資安業者與專家合作處理,避免災情擴大到斯洛維尼亞其他機構與系統。
據 HSE 在官方聲明中表示,該公司尚未接獲任何支付贖款的要求,且受到影響的系統,目前侷限於 Sostanj 火力發電廠與 Velenje 煤礦;該公司的供電能力與供電系統運作保持正常。
當地的資安專家指出,這次攻擊事件很可能與 Rhysida 勒贖團體有關;美國資安主管機關 FBI 與 CISA 日前曾針對 Rhysida 勒贈團體的攻擊技術、策略與手段發布資安警訊。
資安專家表示,由於 Rhysida 在攻擊後,通常只會以 Email 來通知受害者,要求受害者以信內提供的密碼,到該團體在暗網設立的網站登入以「協商」贖款,在 Email 中不會有贖金相關金額的資訊。
建議各關鍵基礎設施應加強各類資安防護能力,避免因勒贖或其他型態的資安攻擊,而導致資料外洩,甚至無法正常運作。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安媒體報導,近日一次勒贖攻擊造成獨立遊戲 Ethyrial: Echos of Yore 中所有 17,000 玩家的帳號資料,以及帳號中儲存的遊戲中寶物與進度全部遭到刪除。
Ethyrial: Echos of Yore 是由獨立遊戲開發廠商 Gellyberry Studios 開發的多人線上角色扮演遊戲,提供使用者免費遊玩;但玩家也可以選擇每月付費以支持遊戲開發。該遊戲仍在早期開發階段,最近開始在 Steam 遊戲平台上開始提供「搶先體驗」版,提供玩家嘗鮮體驗,然而卻在近日遭到勒贖攻擊。
在遭到攻擊後,Gellyberry 於官方 Discord 聊天室發表公告,指出該遊戲在上周五清晨突然遭到不明來源攻擊,伺服器中所有的資料和備份檔都遭到加密鎖定,駭客並要求支付數額不明的比特幣贖金;該公司鑑於多個案例在支付贖金後仍無法取得解鎖密鑰,因此決定不予支付,並且將手動重建伺服器,並且建立新的帳號與遊戲角色資料庫。
Gellyberry 表示,受到影響的 17,000 名玩家,其帳號與儲存的遊戲進度、遊戲內寶物都將復原,並且還會獲得一個進階版的遊戲寵物,以感謝玩家對這段期間不便之處的支持與體諒。
Gellyberry 也表示,為防範這類攻擊再度影響玩家權益與遊戲開發運作,今後會提高遊戲資料庫的離線備份頻率,同時要求所有連線到開發伺服器時必須使用 P2P VPN,並且限制可存取的 IP 網段。
受到影響的玩家須註冊一個新帳號,然後要求平台進行手動資料復原。
服務大批用戶的平台營運者,必須強化資安防護措施,以免因各類攻擊造成服務中斷,或是使用者機敏資訊外洩。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 ESET 日前發表研究報告指出,一個名為 Mozi 的惡意軟體僵屍網路,在今年 8 月時突然大幅減少惡意攻擊活動;在 9 月底時更有一不明酬載上傳,因而全面停擺。
Mozi 是一個知名的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)惡意軟體僵屍網路,2019 年開始其攻擊行動,主要攻擊目標是各種 IoT 裝置,例如網路路由器、數位攝影機等各種聯網裝置。
Mozi 的典型進攻方式,是利用各種 IoT 設備的資安弱點,例如使用預設登入帳號密碼、未經修補的已知資安漏洞等等,來植入惡意軟體,使裝置成為點對點(peer to peer)僵屍網路的節點之一,再透過 BitTorrent 的 DHT 協定來協同,對特定目標發動 DDoS 攻擊用封包。
據 ESET 的報告指出,Mozi 的活動於 2023 年 8 月 8 日起開始大幅減少,首先是停止了其在印度的所有攻擊活動,之後於 8 月 16 日也停止了在中國的所有攻擊活動;最後在 9 月 27 日時,有一個 UDP 訊息發送給所有的 Mozi 僵屍網路節點,要求節點透過 HTTP 下載一個更新檔,結果造成整個 Mozi 惡意軟體活動的全面停止。
該更新檔甚至也停用了部分受植入裝置的系統服務、阻擋部分連接埠等。
ESET 分析該更新檔後指出,更新檔雖然停止了 Mozi 的攻擊活動,但並沒有完全刪除該惡意軟體,而且遭感染的裝置仍可對遠端伺服器執行 ping,以確認裝置中的 Mozi 惡意軟體仍可接受操控;這表示本次停止活動是受到刻意監控下進行的。
建議各種 IoT 設備的使用者與管理人員,應在有資安更新可用時立即套用更新,並且避免使用預設登入帳號密碼;未使用的連接埠也應全面關閉。twcert 發表在 痞客邦 留言(0) 人氣(4)
資安廠商 Checkmarkx 旗下的資安研究人員,近期發現一波惡意攻擊活動,駭侵者在數百種開源 Python 程式庫中植入惡意程式碼,用以竊取機敏資訊;目前這些惡意程式庫的下載次數已達 75,000 次。
Checkmarx 的供應鏈資安團隊,發現這波攻擊行動已持續近半年,在多達 272 個不同的開源 Python 程式庫中植入了可用以竊取各種機敏資訊的惡意程式碼,而駭侵者也利用各種混淆手法來掩飾這些惡意程式碼不被資安防護工具發現。
研究人員是從 2023 年 4 月開始發現 Python 生態系中出現這種攻擊手法,以一支名為「_init_py」的 Python 程式為例,一旦執行後,就會在受害系統中竊取下列資訊:twcert 發表在 痞客邦 留言(0) 人氣(18)
Microsoft 日前緊急針對旗下的 Microsoft Edge、Teams 與 Skype 緊急推出軟體更新,修復 2 個存於開源程式庫中的 0-day 漏洞。
第一個獲得修復的漏洞是 CVE-2023-4863,這個漏洞存於開源 WebP 程式庫 libwebp 中,屬於 heap 緩衝區溢位(buffer overflow)錯誤;駭侵者可透過此漏洞造成應用軟體崩潰,亦可執行任意程式碼。
值得注意的是,由於 libwebp 這個開源程式庫是用來對 WebP 格式的網路圖片進行編碼與解碼,因此應用範圍十分廣泛;除了 Microsoft 這次修復的三個產品外,包括 Safari、Mozilla Firefox、Opera、Android 原生瀏覽器之外,像是 1Password 與 Signal 等熱門應用軟體也採用了 libwebp,因此都需進行資安修補。 twcert 發表在 痞客邦 留言(0) 人氣(5)
資安廠商 ThreatFabric 旗下的資安研究人員,近期發現一個稱為 Xenomorph 的 Android 惡意軟體,近來再次大舉針對世界各國多家銀行與加密貨幣錢包發動攻擊。
ThreatFabric 的研究人員,自 2022 年 2 月開始追蹤 Xenomorph 的駭侵活動,當時發現該惡意軟體透過 Google Play Store 中上架的 App 進行散布,下載次數多達 50 萬次以上,攻擊對象則為歐洲各國的 56 家銀行。
該惡意軟體的始作俑者 Hodoken Security 持續不斷進行 Xenomorph 的改版,自 2022 年 6 月後 Xenomorph 進行重構,讓 Xenomorph 具備模組化功能,變得更具有彈性;而在 2023 年 3 月,Hadoken 再次對 Xenomorph 進行改版,在該惡意軟體中加入自動轉帳系統、跳過多階段登入驗證、cookie 竊取等功能,且有能力攻擊超過 400 家銀行。
ThreatFabric 指出,在最新一波的攻擊行動中, Xenomorph 利用假冒的 Android 內建瀏覽器 Chrome 的升級通知,誘騙使用者下載安裝植入了 Xenomorph 的 APK 檔案,接著 Xenomorph 便可在使用者瀏覽金融機構或加密貨幣錢包頁面時,使用畫面覆疊來竊取使用者輸入的登入資訊。
ThreatFabric 也指出,過去 Xenomorph 以攻擊歐洲的金融機構為主,而在這波攻擊中,美國的金融機構也納入其攻擊範圍內,成為該惡意軟體最主要的受害地區。其他受害地區還包括西班牙、加拿大、義大利、葡萄牙、比利時等。
建議 Android 使用者避免在官方 App Store 之外場合安裝來路不明的 APK 檔案,也應對要求過多使用權限的 App 提高警覺。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 Citizen Lab 與 Google 旗下的資安研究機構 Threat Analysis Group (TAG),近日發現 Apple 與 Google Chrome 日前修復的數個 0-day 漏洞,已遭駭侵者用於各種攻擊活動之上;使用者應立即更新系統。
Apple 日前緊急推出 iOS/iPadOS/macOS/watchOS 的更新版本,修復 3 個 0-day 漏洞,分別是 CVE-2023-41991、CVE-2023-41992、CVE-2023-41993;但根據資安廠商 Citizen Lab 的觀測報告指出,在 2023 年 5 月到 9 月之間,有駭侵者利用這三個漏洞,使用特製的惡意簡訊與 WhatsApp 訊息,在埃及前任國會議員 Ahmed Eltantawy 宣布參與 2024 年埃及總統選舉後,針對該政治人物發動資安攻擊。
Citizen Lab 在報告中指出,攻擊者事先入侵 Eltantawy 使用的埃及電信業者 Vodafone,然後在 Eltantawy 瀏覽非 https 加密的網站時,利用已駭入的電信業者設備,將其導向到一個惡意網站,並在其 iPhone 手機中安裝 Cytrox 製作的惡意間諜軟體 Predator。
此外,Google 旗下的 TAG 也發現有攻擊者利用近期已獲更新的 Chrome 漏洞 CVE-2023-4762,在埃及境內的 Android 裝置中植入 Predator 間諜軟體。該漏洞可讓駭侵者遠端執行任意程式碼。
Apple 呼籲所有使用者盡快更新到最新版本作業系統,對於可能成為攻擊對象的高度敏感人士,應在有必要時啟用手機內建的「封閉模式」;這個模式會嚴格限制各種網路資源的使用,可大幅提高裝置使用的安全性。
針對高度可能遭到攻擊的對象,其資訊裝置除應時時更新到最新版本作業系統外,且在必要時應使用封閉模式,以達最高等級的安全性。twcert 發表在 痞客邦 留言(0) 人氣(18)
資安專家估計,市面上約有 12,000 Juniper SRX 防火牆裝置與 EX 系列交換器,內含一個嚴重的資安漏洞,駭侵者可透過該漏洞,無需檔案和登入驗證,即可遠端執行任意程式碼。
在 2023 年 8 月時,Juniper 自行在資安通報中公開了數個 PHP 環境變數操弄的漏洞,包括 CVE-2023-36844、CVE-2023-36845,以及數個關鍵功能無需登入驗證的漏洞,包括 CVE-2023-36846、CVE-2023-36847。當時這些漏洞的 CVSS 危險程度評分較低,僅有 5.3 分(滿分為 10 分),危險程度評級為「中等」(medium)。
然而資安專家發現,可以把這些漏洞組合成一個更危險的資安漏洞,用以遠端執行任意程式碼;這使得合成漏洞的危險程度評分立即上升到 9.8 分;甚至可以在無需上傳任何檔案的情況下,僅僅利用 CVE-2023-36845 這個單一漏洞,就能在受攻擊裝置上遠端執行任意程式碼。
資安廠商 VulnCheck 在近期發表的研究報告中,公開了該公司旗下資安專家發展出的概念攻擊證明(PoC)流程;該流程可利用 GitHub 上可免費取得使用的掃瞄工具,在開放網路上找到 12,000 台以上含有此漏洞的 Juniper 網路裝置加以攻擊。
受 CVE-2023-36845 漏洞影響的 Juniper 網通產品,包括執行下列版本 Junos OS 的 EX 與 SRX 系列機型:twcert 發表在 痞客邦 留言(0) 人氣(9)
資安宣導 (2)