美國資安最高主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)近日發布命令,要求美國聯邦政府旗下各單位立即修補一個高危險的 ARM Mali GPU 核心驅動程式執行權限提升漏洞。
CISA 通令修補的漏洞為 CVE-2021-29256,是一個「釋放後使用」(use-after-free)漏洞,駭侵者可操弄受攻擊 Android 系統上的 GPU 記憶體,誘發這個漏洞來提升自身執行權限到最高的 root 等級,即可存取各種裝置上的機資訊。
CVE-2021-29256 的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高」(High);CISA 是在 2023 年 7 月 28 日將這個漏洞列入「已知遭濫用漏洞列表」(Known Exploited Vulerabilities Catalog,KEVC)之中。
依 CISA 規定,任何美國聯邦政府旗下單位,都應在新漏洞列入 KEVC 清單後限期應對,包括進行資安修補或其他防範措施,以防止遭駭侵者利用該漏洞發動攻擊。以這個 CVE-2021-29256 而言,美國聯邦政府旗下單位最遲應在 7 月 28 日之完成相關系統的漏洞修補作業。
CVE-2021-29256 早在 2021 年 3 月 26 日由 ARM 推出更新。Google 於 2023 年 7 月發表的 Android 安全公告中,則提到該漏洞可能已經遭到駭侵者用於攻擊。
雖然 CISA 發表的 KEV 資安更新通令僅對美國聯邦政府旗下單位有約束力,但建議各公私單位依照 CISA 通報進行各種系統的資安更新。
twcert 發表在
痞客邦
留言(0)
人氣()
開源且免費的去中心化社群平台 Mastodon 日前緊急發表資安修補更新,修復 4 個資安漏洞;其中包含一個嚴重的資安漏洞 CVE-2023-36460;駭侵者可透過特製的媒體檔案,在伺服器上任意新增檔案。
發現這 4 個資安漏洞的是獨立資安檢測廠商 Cure53,在 Mozilla 的要求之下檢視 Mastodon 的源碼後,發現這四個漏洞。
其中最嚴重的是 CVE-2023-30460 這個漏洞;該漏洞已命名為「TootRoot」,存於 Mastodon 的媒體處理相關程式碼中;駭侵者可透過 toots(相當於 Twitter 上的 Tweet)夾帶特製的媒體檔案,誘發這個錯誤,進而攻陷含有此漏洞的 Mastodon 伺服器,包括對其進行服務阻斷攻擊(Denial of Service, DoS)或是在該伺服器上執行任意程式碼。
駭侵者除了可以完全控制受攻擊的 Mastodon 伺服器外,也能竊取伺服器上的所有資料,包括使用 Mastodon 社群服務的使用者資訊在內。
另一個嚴重漏洞是 CVE-2023-36459,存於 Mastodon 的 oEmbed 預覽卡片中,屬於跨網站指令碼攻擊(Cross-site scripting, XSS)。攻擊者可以利用這個漏洞跳過系統對輸入 HTML 碼的檢查過程,並可以用來竊取其他使用者的帳號、假冒其他使用者,或存取使用者的機敏資訊。
建議 Mastodon 的伺服器管理者,應立即套用更新,升級到 3.5.9、4.0.5 與 4.1.3 或更新版本,以修補這 4 個漏洞,避免遭駭侵者利用已知漏洞進行攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Pradeo 旗下的資安研究人員,近日發現有 2 個上架於 Google Play Store 中的 Android App,會暗中竊取用戶手機中的多種資料,並傳送回伺服器。這兩個 App 的下載次數合計高達 150 萬次。
這兩個 App 分別名為「File Recovery & Data Recovery」和「File Manager」,都是由同一個署名為「wang tom」的開發單位上架於 Google Play Store,都是屬於檔案管理型的應用軟體。前者的下載安裝次數達 100 萬次,後者則有 50 萬次之多。
Pradeo 的應用軟體行為分析引擎,發現這兩個 App 儘管在其隱私權與 App 所需權限中聲明該兩支 App 不收集使用者資料,但實際上卻會自使用者的手機中竊取下列機敏資訊,而且未曾告知使用者:
twcert 發表在
痞客邦
留言(0)
人氣()
西非國家象牙海岸警方日前會同國際刑警組織(INTERPOL)、非洲刑警組織(AFRIPOL)與資安廠商 Group-IB、資通業者 Orange,以及美國特勤局(US Secret Service)旗下的犯罪調查部門、德國與英國相關單位和多位資安專家的協助之下,合力捕獲大型跨國網路犯罪集團 OPERA1ER 的一名要角,並繼續深入追查。
OPERA1ER 網路犯罪集團又稱為 NX$M$、DESKTOP Group 和 Common Raven,近年來涉及多起使用惡意軟體、釣魚和商業電子郵件攻擊(Business Email Compromise, BEC)等方式,跨國攻擊非洲、亞洲和拉丁美洲的多家金融機構。
據偵辦單位指出,OPERA1ER 犯罪集團,光在 2022 年的一年之間,就對上述各地 15 個國家的金融機構,發動至少 30 次以上的攻擊活動,得手的不法所得約在 1,100 萬美元到 3,000 萬美元之間。
這場針對 OPERA1ER 的跨國共同司法行動,其代號為「Operation NERVONE」,由象牙海岸警方發動追捕行動,成功逮捕一名該集團的重要人物。目前正在進行進一步的清查。
據報導指出,Group-IB 和 Orange 旗下的 CERT-CC 部門,自 2019 年起就開始追蹤 OPERAT1ER 的不法活動,查出在 2018 到 2022 年之間有 35 次成功的攻擊活動與該集團有關。
調查也表示,OPERAT1ER 犯罪集團成員均說法語,據信主要在非洲地區活動,主要透過各種開源攻擊工具和如 Metasploit 和 Cobalt Strike 等框架發動攻擊。
鑑於跨國網路攻擊行動日益頻繁且猛烈,建議各國金融機構與各種規模企業均應提高資安防護能力,並特別防範 BEC 等針對商業組織的攻擊行動。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Bishop Fox 日前發表研究報告,指出該公司旗下研究人員發現,外網上仍有三十萬台以上由 Fortinet 生產的 FortiGate 防火牆裝置,仍未完成嚴重漏洞 CVE-2023-27997 的修補,可能導致駭侵者遠端執行任意程式碼。
CVE-2023-27997 漏洞可讓駭侵者在未經授權的情形下,透過曝露在 Internet 上的 Fortinet 網通裝置 SSL VPN 設定用 web 介面來遠端執行任意程式碼。該漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分),其危險程度評級亦為最高等級的「嚴重」(Critical)等級。
CVE-2023-27997 是在今年六月中旬時發現,Fortinet 在漏洞情報公開之前就已備妥修補程式,除了提醒用戶及早更新以修補漏洞外,也指出該漏洞已遭駭侵者大規模濫用於資安攻擊上。
在 Fortinet 推出修補程式的半個多月後,Bishop Fox 的研究人員利用 Shodan 搜尋引擎,還是找到了有超過三十萬台以上的 Fortinet 設備,不但曝露在外部網路,而且仍未更新到最新版的韌體,可能成為駭侵攻擊的目標。
Bishop Fox 甚至還發現不少曝露於Intetnet 上的 Fortinet 設備長達 8 年以上均未套用任何更新,其中有部分裝置仍在執行已於 2022 年 9 月停止支援的舊版 FortiOS 6。
Fortinet 於 2023 年 6 月 11 日針對該漏洞推出 FortiOS 新版韌體 6.0.17、6.2.15、6.4.13、7.0.12、7.2.5 版。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 BitDefender 和 Elastic Security Labs 旗下的資安研究人員,最近發現一個全新的 macOS 惡意軟體 JokerSpy,且發現該惡意軟體鎖定日本某家加密貨幣交易所發動攻擊。
資安研究人員指出,該惡意軟體使用一個內含 Mach-O 檔案的 xcc 二進位碼,可同時在 Intel 與 Apple Silicon 處理器架構上運作,而該檔案也會檢查 Mac 電腦中的 TCC 資料庫,以規避系統內建的資安防護措施。
xcc 在執行時會將受害 Mac 的各項系統資訊回傳給駭侵者設立的控制伺服器,並且建立一個以 Python 程式語言撰寫的後門,用以下載後續的惡意程式碼酬載,執行進一步的攻擊。
BitDefender 表示,目前該公司掌握到的 JokerSpy 攻擊案例並不多,但可確定的是,JokerSpy 在今年五月末開始發動第一步的駭侵攻擊,入侵受害者的 Mac 電腦後,於 6 月 1 日起開始載入新的 Python 惡意軟體酬載 Swiftbelt;而 Elastic 掌握到的攻擊活動,則是鎖定日本一家大型加密貨幣交易所。
資安專家指出,目前還不清楚 JokerSpy 的攻擊造成多大程度的影響,但如果第一個案例就是資安防護相對較嚴密的加密貨幣交易所,表示駭侵者在技術的成熟度上不可輕忽。
專家也表示,雖然和 Windows 相比,macOS 因為裝機量較少,使得該作業系統上的惡意軟體較少,但也出現了像 JokerSpy 這樣的 macOS 平台專屬惡意軟體,值得 macOS 使用者注意。
雖然 macOS 普遍擁有較佳的安全性,但使用者仍不可大意,絕對應避免安裝使用來路不明的應用程式,或任意點按不明連結。
twcert 發表在
痞客邦
留言(0)
人氣()
歐洲刑警組織(Europol)近日宣布破獲加密行動通訊平台 EncroChat,除使其停止運作外,另也逮捕相關嫌疑人近 6,600 人,緝獲相關不法資金高達 9.8 億美元。
Encrochat 是一個特製的全球行動通訊平台,擁有自行研發的客製化 Android 系統與專屬手機,強調具有強大且無法破解的加密通訊功能、匿名性和不可追蹤性;該服務亦提供可自動刪除的通訊服務、緊急手機清空機制、不受篡改的裝置啟動流程(booting)、抗暴力破解法的 FIPS 140-2 認證硬體加密引擎等,因此受到許多犯罪分子的青睞,許多不法之徒以每半年 1,500 歐元的價格租用該服務,專屬特製手機的售價則為 1,000 歐元,且可遠端清空所有內容。
歐洲刑警組織自 2020 年起發動一場大規模的執法行動,順利破解並潛入 EncroChat 平台之內,自此掌握了該平台上 6 萬名用戶、高達 1.15 億則通訊內容,最後由法國和荷蘭警方協同發動搜捕行動,一共逮捕 6,558 名該平台用戶,其中包括 197 名重要犯罪分子在內。
此外,Europol 根據掌握的通聯記錄內容,一共緝獲多達 270 噸的不法藥物與毒品、971 台各式車輛、271 處地點、923 挺各式武器、68 枚各式爆裂物、40 台飛機、83 艘船隻,以及高達 8.07 億美元現金,並凍結 1.68 億美元存款。
Europol 指出,多數 EncroChat 的使用者中,有 34.8% 為組織犯罪成員、33.3% 涉及毒品走私,另有 14% 涉及洗錢、11.5% 涉及謀殺、6.4% 涉及武器走私。所有被捕成員遭司法控訴合計的徒刑刑期長達 7,134 年。
twcert 發表在
痞客邦
留言(0)
人氣()
美國紐約市教育局(New York City Department of Education, NYC DOE)日前指出,有駭侵者透過 MOVEit 資安漏洞入侵該局一台伺服器,竊取多達 45,000 學生的個人機敏資訊。
NYC DOE 指出,這 45,000 名學生的資料,係在伺服器間轉檔的過程中,遭到駭侵者利用 CVE-2023-34362 MOVEit 漏洞竊得。雖然 NYC DOE 在該漏洞公開後立即予以修補,但駭侵者是在該漏洞仍為 0-day 漏洞期間就利用該漏洞竊得資料。
NYC DOE 表示,目前正在與紐約市資安相關單位合作調查本次個資外洩事件;就目前掌握的資訊來看,遭到不當存取的伺服器中文件約有 19,000 筆,除了有 45,000 名學生的個資遭到外洩,另有若干 DOE 員工和相關服務廠商人員的資料也遭到竊取。
NYC DOE 說,受此次駭侵攻擊影響而外洩的資料類型,包括社會福利號碼(Social Security Number)和員工編號等。NYC DOE 也說,由於 MOVEit 漏洞的影響和攻擊活動相當廣泛,目前美國聯邦調查局(Federal Bureau of Investigation)正在擴大偵辦。
據資安專家指出,Clop 勒贖團體已開始利用藉由 MOVEit 漏洞攻擊所取得的資料,對多個對象進行勒贖要脅;受到該團體勒贖的單位,包括殼牌石油(Shell)、喬治亞大學(University of Georgia)、喬治亞大學系統(University System of Georgia)、Heidelberger Druck、聯合健診學生資源(UnitedHealthcare Student Resources)等公私單位在內。
建議各公私單位應立即修補 MOVEit (CVE-2023-34362)漏洞,並調查在漏洞修補之前是否發生入侵事件,以了解資料是否遭竊並予以應對。
twcert 發表在
痞客邦
留言(0)
人氣()
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安最高主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)日前通令全美聯邦政府下轄各單位,應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。
這兩個漏洞由資安廠商 Kaspersky 發現,與其相關的攻擊活動命名為「Operation Triangulation」;Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行,且一直持續至今。
該攻擊活動係利用存於 iMessage 中的這兩個漏洞,且遭俄國情報單位指控這批漏洞為 Apple 公司與美國國家安全局刻意製作,用於監控數千台由俄國政府官員與該國駐以色列、中國、歐盟成員國的使館人員使用的 iPhone 手機之上,不過 Apple 已否認這種指控。
Apple 也在上周三緊急發表資安更新,修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞;Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。
受這兩個漏洞影響的 Apple 產品,包括 iPhone 8 和後續機型、iPad Pro(所有機型)、iPad Air(第 3 代)和後續機型、iPad(第 5 代)和後續機型,以及 iPad mini(第 5 代)和後續機型。
CISA 已將這兩個漏洞,連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中,所有美國聯邦政府轄下民事與執行單位,都應在 7 月 4 日前完成修補。
建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補,以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyble 近日發表資安研究報告,指出該公司旗下的資安研究人員於最近發現一個早在 2003 年就推出的知名老遊戲 Super Mario 3:Mario Forever,近來遭到駭侵者在其安裝程式中植入後門惡意軟體,用於駭侵攻擊之用。
Super Mario 3:Mario Forever 雖然早在 2003 年就在 Windows 平台上推出,但該遊戲的開發廠商 Buziol Games 最近將這個遊戲翻新,推出了新版本,更新遊戲畫面和音效,因此又引發一股熱潮。
Cyble 的資安研究人員指出,駭侵者在多個遊戲相關討論區、社群平台中的社團或各式網路廣告「推廣」這個含有惡意軟體的遊戲,以吸引玩家安裝遊玩。
由 Cyble 資安研究人員截獲的惡意版本 Super Mario 3:Mario Forever,是內含 3 個可執行檔的壓縮檔;除了主程式 super-mario-forever-v720e.exe 是沒有問題的遊戲檔案之外,另兩個分別名為 java.exe 和 atom.exe 的檔案,都含有惡意程式碼。
其中 java.exe 內含的是專門用來挖掘 Monero 加密貨幣的 XMR 惡意軟體;而 atom.exe 則內含一個名為 SupremeBot 的惡意軟體,除了會自我隱藏外,還會從控制伺服器中下載額外的惡意軟體 Umbral Stealer。
Umbral Stealer 是自 2023 年 4 月起出現在 GitHub 上的開源 C# 資訊竊取惡意軟體,會竊取受害電腦中瀏覽器內儲存的密碼、cookie、工作階段 token、加密貨幣錢包、Discord、Minecraft、Roblox、Telegram 等熱門網站與遊戲的登入認證 token。
建議遊戲愛好者應避免從不明管道下載安裝任何遊戲軟體,對於以「破解版」、「免費暢玩」、「註冊機」為號召的程式更需提高警覺。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 eSentire 發現近來又有駭侵者利用成人社群訂閱制網站 OnlyFans 中的成人內容,來誘使受害者安裝能夠遠端存取的 DcRAT 資料竊取惡意軟體,甚至可用來發動勒贖攻擊。
OnlyFans 是全球知名的訂閱制社群內容創作網站,平台上最大宗的內容是成人限制級影音與文字;過去該平台中的訂戶限定內容,就經常成為各種駭侵者用來吸引受害者的誘餌,因為總有許多人想要免費一探究竟。
eSentire 指出,該公司發現的這波攻擊行動,最早開始於 2023 年 1 月,主要透過各種方式如地下論壇貼文、即時通訊、廣告或假網站等通路,來對受害者聲稱可免費觀賞 OnlyFans 中的付費限制級內容,然後藉機散布一個內含惡意 VBScript 的 zip 壓縮檔。
eSentire 分析該 VBScript,指出其為 2021 年另一場攻擊活動所用 VBScript 的小幅修改版本,在載入受害 Windows 電腦後,最終會注入一個名為 DcRAT 的惡意特洛伊木馬軟體;這是 AsyncRAT 的修改版本,可以在受害的 Windows 電腦上進行鍵盤輸入側錄(keylogging)、監控系統連接的 webcam 畫面、任意存取並變更檔案內容,也可以連上網路並竊取受害者的各種系統登入資訊、瀏覽器 cookie 等。
此外,DcRAT 還可以載入一個勒贖攻擊模組,可將所有非系統檔案全面加密,並加上 .DcRAT 的副檔名。
建議網路使用者應對這類「好康」訊息提高警覺,勿隨意點按不明來源的連結,也不應開啟任何來路不明的檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
