一家為 Tesla 與 SpaceX 製造精密零組件的廠商,遭到勒贖軟體駭侵攻擊。
- 3月 04 週三 202016:39
Tesla 與 SpaceX 零組件供應商遭駭侵攻擊
一家為 Tesla 與 SpaceX 製造精密零組件的廠商,遭到勒贖軟體駭侵攻擊。
- 3月 02 週一 202014:13
以色列行銷業者未正確保護資料庫,近五千萬個 Email 等多項個資在網上曝光
以色列數位行銷業者未能妥善處理系統資安設定,導致近五千萬人的電子郵件信箱等個資在網路曝光。
- 2月 27 週四 202014:00
美國國防部所屬單位遭駭,相關人員之個人資訊被竊
美國國防部所屬單位日前遭駭侵攻擊,相關人員的多項可辨識身分之個資遭竊。
發生個資被竊案件的單位,是從屬於美國國防部的防衛資訊系統局(Defense Information System Agency, DISA),其職能包括對作戰任務提供 IT 後勤支援服務,同時負責白宮重要高官的通訊安全等事宜。
美國國防部發言人在上周四證實,發現 DISA 的部分系統遭到駭侵,與該單位有業務關係的所屬人員的資料遭到竊取;被竊的資料屬於可辨識個人身分的資訊,例如姓名、社會安全碼等多項個資。
據路透社報導指出,這起駭侵事件可能發生在 2019 年的五月到七月之間,但是美國國防部沒有透露駭侵事件的細節,例如駭侵手法、受影響程度、可能的駭侵者是誰、個資被竊的人數等資訊,僅表示目前正在進行調查工作,也已針對 DISA 的各項系統進行資安防護強化工作。
所有個資可能被竊的受害者,在二月11日時均收到 DISA 資訊長署名的一封信,信中除了通知個資可能遭竊之外,也表示 DISA 將會免費提供信用監控服務,一旦受害者的信用卡或銀行帳戶出現不明異動,即可立刻收到警示。
據 DISA 網站上的資訊,該單位的軍職和文職僱員約有八千人。
- 2月 27 週四 202011:42
澳洲多家銀行與金融單位接獲 DDoS 攻擊威脅
近來澳洲多家銀行與金融機構收到恐嚇信件,揚言將發動一連串強力的 DDoS 駭侵攻擊。
據澳洲媒體報導,該國多家銀行與金融機構,最近都收到來自某一駭侵團體的恐嚇信件,指稱如不支付相當數額的贖金,將對這些機構發動強力 DDoS 服務阻斷攻擊。
歹徒要求這些贖金必須以加密貨幣 Monero(XMR)來支付,但詳細的贖金金額細節並未公開。
澳洲資安中心(Australian Cyber Security Centre)在日前針對這波攻擊威脅也發出警訊,但據該中心表示,目前尚未觀察到任何針對目標金融單位發動的 DDoS 攻擊行為。
據 ZDNet 指出,澳洲最近的這波金融機構駭侵勒贖威脅,其實是自 2019 年十月起全球阻斷攻擊勒贖威脅(RDoS,Ramson Denial of Service)的一部分。這類勒贖威脅一開始都先以金融業為目標,但很快就會擴及製造業和其他行業。
過去新加坡和南非的銀行接獲類似勒贖威脅後,同樣的勒贖威脅就轉移到土耳其的電信業者與南非的網路服務接取業者。
ZDNet 報導中認為發動這些攻擊的駭侵團體,有可能是惡名昭彰的 APT 組織 Fancy Bear 或 Cozy Bear。
- 2月 27 週四 202008:38
簡單又便宜的資料竊取軟體服務大為流行,可竊取六十多種應用軟體的資料
一個名為「浣熊」(Racoon)的惡意軟體服務,在駭侵相關論壇中大為流行,可從六十多種常用軟體中竊取個資,而且使用費並不貴。
資安公司 CyberArk 發表研究報告,指出一個名為「浣熊」(Racoon)的惡意軟體服務(Malware-as-a-service),最近在英語系駭侵論壇上大為流行;即使不具備太多駭侵專業知識,有意進行駭侵攻擊者,也可以相當便宜的代價,透過這個惡意軟體服務發動資料竊取攻擊。
報告指出,這個惡意軟體服務係以 C++ 撰寫,技術上來說並不非常強大,但足夠有用,植入受害者系統後,可以攻擊六十多種常見應用軟體並取得資料;包括各種常見瀏覽器、Email、加密貨幣錢包、FTP 連線程式等都在範圍內;另外這個惡意軟體也會收集各種系統資訊。
這個惡意軟體服務的收費非常平易近人,一星期的服務費為 75 美元,一個月則為 200 美元;用戶可以透過集中化的管理工具來調整惡意軟體的設定值,並且存取竊得的各種資料,同時下載惡意軟體的執行檔。
一開始這個惡意軟體僅在俄語駭侵論壇中流傳,但去年四月起出現英文版後,即在英語系的駭侵論壇逐漸流行起來;由於價格便宜,使用門檻又低,全球已有數十萬台電腦遭其攻擊。
- 2月 26 週三 202015:58
全新駭侵攻擊手法,可繞過 AWS 伺服器上防火牆並自由進出
一種全新的駭侵攻擊手法,可利用植入系統的 Rootkit 避開 AWS 的防火牆設定進行資料竊取或其他攻擊。
資安廠商 Sophos 發表研究報告,指出發現一種全新且複雜成熟的駭侵攻擊手法,可以繞過 Amazon Web Service 內建的資安防護機制,進行資料竊取或其他形式的攻擊。
這種攻擊手法稱為「Could Snooper」,原理是設法將一個 Rootkit 低階後門惡意軟體植入 AWS 中的 Linux 伺服器,成功感染伺服器之後,該 Rootkit 便會透過變造的網路封包,以「尾隨」正常封包的手法,光明正大地通過防火牆所允許的傳入通訊埠,將內部的機敏資訊傳到外部,甚至從外部進行遙控,形成後門。
Sophos 說,該公司發現一些 AWS 伺服器的防火牆雖然只開放了 Web 通訊所需的通訊埠 80 和 443,但仍偵測到通訊埠 2080 和 2053 有不正常的 TCP 封包傳輸,因而發現這個攻擊手法。
Sophos 表示,這個後門 Rootkit 係基於 Gh0st RAT 惡意軟體的程式碼,該公司也已經偵測到 AWS 中的 Linux 和 Windows 伺服器都遭到類似 Rootkit 的攻擊;鑑於該手法的複雜度,有理由相信這類攻擊和 APT 駭侵團體有關,但尚無直接證據可歸因於特定的 APT 駭侵團體。
- 2月 26 週三 202014:13
Google 開始限制 Android App 於背景追蹤用戶所在地資訊
Google 將自八月起開始限制 Android App,若需在背景追蹤用戶所在地資訊,需通過程式審核。
Google 在一篇針對 Android 開發者的網誌貼文中指出,將自今年八月起從嚴審核會在背景追蹤用戶所在地的新 App;既有此類 App 也將在十一月起需要進行審核。
Google 在網誌文章中說,許多用戶表示對於 App 追蹤用戶地點造成的隱私問題表示關切,而 Google 在檢視眾多要求位置資訊權限的 App 後,發現有許多 App 的核心功能,並不需要用戶的所在地資訊,或是只需要在 App 執行期間追蹤用戶。
因此 Google Play Store 將修改 App 上架規範,如果 App 要在背景追蹤用戶資訊,則必須符合四個條件:追蹤用戶資訊的功能對用戶是確切有用的、用戶可預期自己的位置會被追蹤、追蹤用戶是該 App 的核心必要功能,而且開啟背景追蹤有其必要;不然就會被拒絕上架。
iOS 很早就開始規定 App 在追蹤用戶時,必須透過系統服務通知用戶,並且讓用戶選擇是否同意 App 進行追蹤;Android 此時宣布跟進,對所有行動用戶是有益的。不過 iOS 對於背景追蹤的的規定,並不包括 Apple 自己開發的 App 在內,這點曾受部分開發者的批評。
在 Google 的宣布中則將 Google 自行開發的 App 也納入此一規範,並且提供了一些審核可能通過的案例,供開發者參考。
- 2月 25 週二 202015:22
Google Play Store 中多個 Android 平台 VPN App 可能帶來嚴重資安風險
多個在 Android 平台上的 VPN App 內含嚴重資安漏洞,可能導致中間人駭侵攻擊。
VPN 專業媒體 VPN Pro 發表報告指出,在 Android 平台上有多個下載量相當大、廣受歡迎的 VPN app,內含嚴重資安風險,可能導致用戶在使用其 VPN 服務時遭到駭侵攻擊。
根據該媒體的統計,這些危險的 VPN 服務至少影響一億兩千萬用戶。
該報導列出了多個在 Google Play Store 中廣受歡迎的危險 VPN App:
- 2月 24 週一 202010:25
知名 YouTube 電玩直播頻道被盜,用以進行加密貨幣詐騙
一個擁有 188 萬訂戶的大型 YouTube 電玩直播頻道被盜,之後被用來進行比特幣詐騙活動。
擁有 188 萬名訂戶的大型 YouTube 電玩直播頻道 Neebs Gaming被駭侵者挾持;隨後該頻道便假冒全球最大加密貨幣交易平台 Coinbase 之名,進行比特幣詐騙活動。
在該 YouTube 帳號被盜後,其帳號名稱就被改為 Coinbase Pro,原本的影片內容也全遭刪除。
據媒體報導指出,詐騙活動是假冒 Coinbase CEO Brian Armstrong 之名進行的;影片中宣稱 Coinbase 正在進行史上最大比特幣空投活動,總獎額高達一萬枚比特幣;參加者只要將自己手上的比特幣轉帳到某個加密錢包網址中,就可以獲得最多十倍的獎金。
該詐騙直播還盜用了 Brian Armstrong 在其他場合的演說影片,加以移花接木以取信於人。一共有 95,000 觀看了詐騙直播影片。
影片中提到的比特幣轉帳用錢包,在詐騙影片播出後收到了二十筆轉帳,轉帳總額達到 2.465 枚比特幣,相當於美金 24,000 元。
Neebs Gaming 在 YouTube 頻道被盜後,立刻向 YouTube 平台反應。
先前 YouTube 上也發生過類似的加密貨幣詐騙事件。2018 年時有詐騙者誘使用戶點擊下載惡意軟體,以盜取用戶的電腦計算資源進行挖礦運算,替詐騙者賺取 Minero 幣;上個月也有一個擁有八十多萬訂戶的 YouTube 頻道被盜,竊盜者運用該頻道進行以太幣詐騙活動。
- 2月 21 週五 202011:34
WordPress 擴充套件的 0-day 漏洞,可用以新增管理者帳號
一個名為 ThemeRex 的 WordPress 擴充套件,被發現內含一個嚴重的 0-day 資安漏洞,不但可被駭侵者用以遠端執行任意程式碼,更可用來新增管理者帳號。
據資安廠商 Wordfence 的報告指出,估計約有 44,000 個 WordPress 網站使用該擴充套件,也已偵測到利用此 0-day 漏洞進行的駭侵攻擊。
這個漏洞來自於 WordPress REST API,該套件沒有先檢查用戶是否具有管理者權限,就能執行任何 php 函式;結果就是駭侵者可透過這個漏洞,遠端執行任意程式碼,並且在網站系統中新增具備管理者權限的帳號。
這個 0-day 漏洞的 CVSS 評分高達 9.8 分,屬於極度嚴重等級的資安漏洞。
目前發行 ThemeRex 的公司尚未推出更新程式,資安媒體 The Bleeping Computer 也連絡該公司進行詢問。
Wordfence 的資安專家表示,鑑於已經出現攻擊此漏洞的案例,安裝了這個擴充套件的 WordPress 用戶,最好暫時移除套件,直到新版推出為止。
資安宣導 (2)