全球肺炎疫情日益擴大,遠距工作者人增,社會對 Zoom 之類的視訊會議軟體需求大增;資安廠商指出,假冒或針對 Zoom 等知名視訊會議服務的駭侵攻擊活動也大為增加。
肺炎疫情日益擴大,世界各國均有大量工作者採行遠距上班方式,對 Zoom 之類的視訊會議軟體需求大增;然而據資安廠商 CheckPoint 指出,該公司觀察到許多假冒或針對 Zoom 視訊會議的駭侵攻擊活動。
CheckPoint 指出,該公司觀察到近來域名中含有「Zoom」的新域名註冊量大幅增加;一月初每天約有十到二十個,到了三月中旨之後暴增到每日一百個以上;自 2020 年至今累計新增 1700 個含有「Zoom」的域名,但其中有四分之一以上,是在上個星期才註冊的。
更值得注意的是,在這些含有 Zoom 的新網域中,有約 4% 的域名內含有特殊字元,明顯是駭侵者打算用來混淆一般大眾視聽,造成誤判之用。除了 Zoom 之外,最近大幅用於遠距教學的 Google Hangout Meet,也遭駭侵者假冒其名義註冊惡意網域;CheckPoint 發現有兩個域名「googloclassroom\.com」和「googieclassroom\.com」,試圖假冒官方的 classroom.google.com 網站進行惡意詐騙。
另外,這些駭侵者也會透過各種方式,誘使受害者安裝執行假冒的 Zoom 或其他協作軟體的連線程式;CheckPoint 就觀察到名為「Zoom-us-zoom-#########.exe」或「microsoft-teams_V#mu#D_#########.exe」的惡意軟體執行檔;受害者一旦執行這些檔案,惡意軟體 InstallCore PUA 就會安裝至電腦系統中,可能導致更多其他惡意軟體也入侵系統。twcert 發表在 痞客邦 留言(0) 人氣(49)
資安廠商偵測到各國駭侵團體,利用全球對COVID-19(新冠肺炎、武漢肺炎)大流行的恐慌,以提供防疫說明文件形式,夾帶惡意軟體的大量攻擊案件。
資安廠商 Check Point 發表監測研究報告,指出該公司觀察到有APT 駭侵組織利用偽造的蒙古國外交部說明COVID-19防治的新聞稿,在其中夾藏惡意軟體並透過社交工程與釣魚攻擊,試圖駭侵蒙古國各政府部門。
無獨有偶,另一家資安廠商 Red Drop 也在日前發現另一個駭侵組織,以類似的手法,用偽造印度政府新聞稿的方式,試圖攻擊印度軍事與情報單位。
資安廠商 Malwarebyte 指出,駭侵團體 APT36 鎖定的是透過 RTF 夾檔,利用已知的 Windows 漏洞 CVE-2017-0199,讓駭侵者可以遠端執行任意程式碼。
英國國家資安中心(NCSC)則警告大眾,有愈來愈多國家的一般人民,最近開始收到內含惡意軟體的COVID-19病毒相關釣魚信。NCSC 指出,這些信件中多半以內含重要更新訊息為餌,誘使用戶點按惡意連結;大眾應該特別提高警覺。
據富比士報導,這些被發現利用疫情恐慌發動的攻擊,不過只是冰山一角;未來還會有更多駭侵者利用這波疫情,向急於獲悉情報或解方的大眾發動各式駭侵攻擊,用以取得機敏資訊或牟取不法利益。 twcert 發表在 痞客邦 留言(0) 人氣(15)
廣受喜愛,基於 Linux 的開放源碼路由器韌體 OpenWrt,日前修復一個可用於遠端執行任意程式碼的嚴重資安漏洞。
這個資安漏洞編號為 CVE-2020-7982,問題出在 OpenWrt 處理程式套件包裝 opkg 檔案時,未事先對下載回來的 .ipk 檔案進行必要的資安檢查;這個錯誤可讓駭侵者透過特意撰寫並置入惡意軟體的 ipk 檔案,取得路由器的 root 權限;不但可存取整個檔案系統,當然也能執行任意程式碼。
不過,駭侵者必須先在路由器下載程式套件的 OpenWrt 官方網站與攻擊目標的路由器間進行中間人攻擊,透過未加密的 http 連線,傳送合法且經過簽署的惡意程式套件給被攻擊目標路由器。
發現此漏洞的資安專家 Fuido Vranken 指出,駭侵者可以先以 DNS 挾持的方式,將原本要連向 OpenWrt 官方下載網站的連線,誤導到含有惡意軟體的網站,即可大幅簡化攻擊流程。
這個 CVE-2020-7982 的嚴重程度分數為 8.1 分,嚴重程度評級為「高」。
受此漏洞影響的 OpenWrt 版本,從 18.06.6 到 19.07.0 之前的各版本,更新版已在 2020 年 2 月 1 日推出;用戶如果在自己的路由器上安裝過舊版 OpenWrt,應依照 OpenWrt 組織的建議,立即更新至最新版本,以加強資安防護。twcert 發表在 痞客邦 留言(0) 人氣(47)
資安廠商發現新型駭侵手法,駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,以提供COVID-19(新冠肺炎、武漢肺炎)資訊為由,誘使用戶下載惡意軟體。
資安廠商 Bitdefender 的研究團隊發表最新報告指出,該公司發現新型駭侵手法;駭侵者駭入國內與美國網通大廠家用路由器,竄改 DNS 設定,將用戶的部分網路連線重新導向至不明網站,並以提供COVID-19資訊為由,誘使用戶下載惡意軟體。
據 Bitdefender 的報告,這波駭侵攻擊首先以暴力嘗試法,試圖找出家用路由器的管理者帳密,登入成功後會進入 web 管理界面,將 DNS 伺服器設定更改為 109.234.35.230 與 94.103.82.249,接下來利用這兩台假的 DNS 伺服器,將部分特定網路瀏覽流量導向至存有惡意軟體 Bitbucket 的網站。
為了防止用戶發現網址有異,駭侵者也利用 TinyURL 縮址服務,隱藏 Bitbucket 的真實網址,等用戶按下下載按鈕後,即讓用戶安裝 Oski 資訊竊取惡意軟體。
會被劫持至惡意網站的 URL,包括 aws.amazon.com、gog.gl、bit.ly、disney.com、pubads.g.doubleclick.net 等,含蓋一般用戶常去的網站,或是網頁元件的常用 hosting 網址等。
據 Bitdefender 表示,一星期以來約觀測到千餘起攻擊事件;建議路由器用戶,請務必檢視自己路由器的 DNS 設定,如果發現被改為上述 IP,請立即更正。 twcert 發表在 痞客邦 留言(0) 人氣(60)
美國因疫情實施大規模遠距工作,各種資安威脅的壓力也隨之升高;包括資安防護、防範數位犯罪的需求也大為增加。
美國因疫情實施大規模遠距工作,資安官員與專家紛紛指出,各種資安威脅的壓力也隨之升高;包括資安防護、防範數位犯罪或網路攻擊的需求,也大為增加。
據美國之音報導,美國聯邦調查局(FBI)和多家資安廠商都已觀察到愈來愈密集的網路攻擊行動,包括假冒防疫單位寄出的釣魚郵件、試圖趁亂進行的社交工程詐騙等。
不少釣魚信件會偽裝成像是由美國疾病管制中心(U.S. Centers for Desease Control and Prevention)或世界衛生組織 WHO 發布的警訊,利用社會大眾的恐慌心理,誘使受害者點擊信件中的惡意連結,或含有惡意程式碼的附件。
資安廠商 ProofPoint 的資深研究主任 Sherrod DeGrippo 指出,該公司觀察到的最大宗釣魚郵件攻擊行動,一口氣就寄發了三十萬封攻擊郵件;他預期很快就會出現不同的變種攻擊案例。
DeGrippo 也指出,在家遠距工作者,經常是使用個人的電腦設備,透過 VPN 連上各公司的內部網路;通常這類個人設備的資安防護能力,較一般辦公室內的資訊設備為低,因此也比較不易阻擋各種資安威脅。
另外,由於大量工作者遠距上班時,係透過自己家中的寬頻網路或手機無線上網,也對電信基礎設施造成連線壓力;駭侵者只要攻擊這些基礎設施,就能造成比平常更大的破壞,讓大量遠距上班者無法透過網路工作。 twcert 發表在 痞客邦 留言(0) 人氣(23)
一個全無保護,由一家英國資安公司擁有,含有五十億組登入資訊的 Elasticsearch 資料庫,在網路上被發現。
今年二月時,有一組內含22億組登入資訊的未受保護資料庫在網路上被發現;事隔僅一個月,資安專家再次發現一個更大的登入資訊資料庫,同樣未受保護,可供人任意存取。
涉及洩露這個龐大資料庫的,是一家位在英國的資安公司,名為 Keepnet Labs;發現這個資料庫的,是著名的獨立資安研究人員 Bob Diachenko。他根據這個資料庫的 DNS 記錄與 SSL 憑證資訊,追出 Keepnet Labs 這場資安事件。
資料庫中收集的登入資訊,主要來自從 2012 年到 2019 年間,針對 Twitter、Tumblr、Adobe、Vk、LinkedIn、Last.fm 等服務的各項大規模攻擊駭侵事件中流出的帳號密碼,共分成兩個檔案;第一個檔案含有五十億筆記錄,第二個檔案雖然只含一千五百萬筆記錄,但卻有即時更新。
資料庫中的欄位,主要包括加密過與未加密的密碼、雜湊類型、Email 網域、Email 地址、資料洩漏日期與來源等。
Diachenko 指出,雖然這個資料庫中的登入資訊,大多是以前就已洩露過的,但對資料失主來說,是又一次的傷害,因為這對意圖進行釣魚攻擊的駭侵者來說,是難得一見的極佳資料來源。
Diachenko 在發現這個資料庫後,第一時間就向 Keepnet Labs 發出通報,而這家公司也立即撤下資料庫。 twcert 發表在 痞客邦 留言(0) 人氣(2)
由於COVID-19(新冠肺炎、武漢肺炎)疫情的蔓延,許多APT駭侵組織或有心人士利用相關內容,散布以此為主題的釣魚郵件。近期資安人員PARTHI發現APT組織MustangPanda以COVID-19疫情為誘餌,發送假冒政治人物發言且含有惡意附件的電子郵件。其中假冒政治人物的文檔為冒充我國副總統陳建仁,內容聲稱副總統在臉書說明COVID-19社區傳播的特性以及台灣沒有發生社區傳播,還提到美國疾病管制與預防中心列出有社區傳播風險的目的地就包含台灣,如下圖所示。twcert 發表在 痞客邦 留言(0) 人氣(6)
資安廠商發現一個全新的 TrickBot 模組,針對美國和香港的特定業者發動暴力 RDP 連線攻擊。
資安廠商 BitDefender 的研究人員,近日發現一個全新的 TrickBot 模組 rdpScanDll,最近開始針對美國和香港的特定業者,發動暴力 RDP 連線攻擊。
BitDefender 是在今年一月三十日時發現全新 TrickBot 的攻擊行動;根據其攻擊的 IP 進行分析,發現主要的攻擊目標,是美國和香港的電信業者。
一般來說,典型的 TrickBot 攻擊是在 2016 年開始出現的,當時以數位銀行的登入資訊取得為主要的攻擊目的,但近年其攻擊範圍和樣態也開始增加,不但新增了多種新功能,被攻擊的目標對象也擴及金融業之外的其他業種。
BitDefender 指出,目前觀測到的 TrickBot 和 rdpScalDll,會針對目標對象,以暴力嘗試法試圖連入受害者的 RDP 遠端桌面,以取得控制權;他們也發現主要控制這些僵屍模組的控制伺服器多半位在俄羅斯,而且每個月會新增約一百台控制伺服器的 IP,每次的攻擊區間約持續 16 日之久。
這些僵屍網路攻擊模組,主要透過垃圾郵件散布,但最近也觀測到駭侵者透過其他管道散布。
除了電信業者外,BitDefender 也觀測到香港與美國的教育機構、金融服務業等業種,也受到這個駭侵攻擊的威脅。
由於這個攻擊模組的架構,可以加掛各種攻擊用的外掛套件,所以相當具有彈性,可以根據駭侵者的需求,進行各種調整和修改,結果就是這個模組出現很多複雜和先進的變種,攻擊的樣態和目標也變得更為多元。 twcert 發表在 痞客邦 留言(0) 人氣(1)
Adobe 發布2020年三月資安修補包,一共修補九個嚴重漏洞,以及其他次要資安漏洞。
Adobe 公司日前宣釋出 2020 年三月的資安修補包,修補包括 Adobe Acrobat 與 Adobe Reader 等常用軟體在內的共十三個資安漏洞。
這些本次得到修補的資安漏洞共有十三個,其中有四個屬於中等危險程度的「Important」等級,漏洞的來源樣態包括資料外洩或執行身分等級權限提升。
這四個中等程度的漏洞編號分別是 CVE-2020-3804(資料外洩)、CVE-2020-3804(資料外洩)、CVE-2020-3800(記憶體位址外洩)、CVE-2020-3083(不安全的程式庫載入導致 DLL 挾持)。
其他九個漏洞則屬於高危險的「Critical」等級;而這九個嚴重等級資安漏洞的樣態,則以遠端執行任意程式碼為主;其 CVE 編號分別為 CVE-2020-3795、CVE-2020-3799、CVE-2020-3792、CVE-2020-3793、CVE-2020-3801、CVE-2020-3802、CVE-2020-3805、CVE-2020-3807、CVE-2020-3797。
Adobe 指出,尚在使用 Acrobat DC、Acrobat Reader DC、Acrobat 2017、Acrobat Reader 2017、Acrobat 2015、Acrobat Reader 2015 的 Windows 與 MacOS 用戶,請盡快升級到最新版本,以修補上述資安漏洞。
過去 Adobe 公司經常會在微軟發表 Patch Tuesday 每月資安修補包時,同步推出自己的當月資安修補包。 twcert 發表在 痞客邦 留言(0) 人氣(78)
twcert 發表在 痞客邦 留言(0) 人氣(126)
資安宣導 (2)