波多黎各政府日前遭大規模釣魚郵件駭侵攻擊,財損高達 400 萬美元以上。
這場嚴重的駭侵攻擊源於去年 12 月,受害者為波多黎各政府的財政部門。一名任職於波多黎各公務人員退休系統的公務人員,其 Email 被駭客攻破,接著許多政府單位都收到假冒該名公務員的釣魚與詐騙匯款要求 Email。
- 2月 20 週四 202014:43
波多黎各政府遭釣魚攻擊,損失達 400 萬美元
波多黎各政府日前遭大規模釣魚郵件駭侵攻擊,財損高達 400 萬美元以上。
這場嚴重的駭侵攻擊源於去年 12 月,受害者為波多黎各政府的財政部門。一名任職於波多黎各公務人員退休系統的公務人員,其 Email 被駭客攻破,接著許多政府單位都收到假冒該名公務員的釣魚與詐騙匯款要求 Email。
- 2月 19 週三 202016:19
新形態勒贖攻擊:以大量假點擊致使受害者 Google AdSense 遭停權
針對網站擁有者發動的新型態勒贖攻擊,威脅將以大量無效廣告點擊攻擊受害者的網站,致使其 Google AdSense 營利資格遭停權。
資安公司 KrebsOnSecurity 近日發表研究報告,指出他們接獲用戶通報,一種新形態的勒贖攻擊正在擴散,目標是所有透過 Google AdSense 廣告聯播網獲取廣告營收的網站擁有者。
報告指出,用戶會收到來自攻擊者的勒贖信件,信中要求受害者以比特幣支付約 5,000 美元的贖款,否則就將以大量機器人攻擊受害者擁有的網站,製造大量無效廣告點擊,包括點了廣告就離站的 100% 跳出率攻擊、多個 IP 輪流點擊等。
由於 Google AdSense 對這類詐騙點擊有很強大的偵測機制,意圖製造假點擊的 AdSense 用戶經常會遭到停權處分,而且被停權的網站很難再次加入 Google AdSsense 計畫,所以這個勒贖攻擊即利用此一弱點,以大量假點擊造成受害者的 Google AdSense 被 Google 停權。
KrebsOnSecurity 也在報告中說,據通報者提供的網站流量分析,確實在收到勒贖信件後,他的 Google AdSense 流量與營收報告中也出現了明顯過高的無效廣告點擊流量。
攻擊者也表示,被攻擊的網站在一開始很可能會得到較平常更高的廣告點擊營收,但很快 Google 系統便會偵測到異常流量,然後把超額的廣告刊登費用自受害者處扣除,歸還給廣告刊登者,這就會造成受害者的廣告營收損失。
Google 表示已經注意到這波勒贖攻擊,將會強化其異常廣告點擊的偵測能力,但該公司也說,目前這類因勒贖攻擊而產生的異常點擊案例仍然不多。
- 2月 19 週三 202011:06
新發現:惡意軟體 Emotet 可透過駭侵鄰近無線網路進行擴散
資安專家發現最新 Emotet 變種,擁有透過駭侵鄰近不安全的無線網路,進行自我擴散的能力。
資安廠商 Binary Defense 的專家日前發表研究報告,指出該公司最近發現了新型 Emotet 惡意軟體的變種,可以從已感染的裝置,駭入鄰近未經加密的無線網路,並且進行自我擴散。
報告中描述了變種 Emotet 如何透過無線網路擴散:當某個裝置首先被感染時,會有兩個可執行檔 worm.exe 和 service.exe 從自我解壓縮的 RAR 檔中解開,同時自動執行 worm.exe。
接著 worm.exe 會開始掃瞄附近可駭侵的不安全的無線網路,並利用網路上可取得的各種預設密碼檔進行暴力嘗試,並開始進行駭侵攻擊。
專家指出,一旦 Emotet 能夠成功透過無線網路擴大駭侵範圍,就可能造成大量感染;由於 Emotet 透過社交工程和釣魚郵件造成的災情原本就肆虐甚廣,專家擔憂這種新的擴散方式,將會造成更大規模的資安災情。
專家也表示在一月份偵測到的無線擴散版 Emotet 惡意程式碼,其執行檔的日期標籤標為 2018 年四月份,這表示這個版本的 Emotet 可能兩年前就開始駭侵活動。
由於 Emotet 可做為載體承載多種駭侵攻擊工具,如資料竊取、Email 通訊錄搜刮、自我擴散,甚至是勒贖軟體等,因此威脅甚大。
不過目前發現的無線擴散版 Emotet 還不會進行加密通訊,因此資安專家建議資安管理人員可透過其封包特徵碼加以阻擋預防。
- 2月 18 週二 202009:19
WordPress 重要擴充套件內含資安漏洞,70 萬個網站曝險
一個廣受歡迎的 WordPress 擴充套件 GDPR Cookie Consent 內含嚴重資安漏洞,可能導致 70 萬個使用該套件的 WordPress 架設網站曝險。
這個 WordPress 擴充套件的功能,是讓以 WordPress 架設的網站,能夠自動顯示一條 Banner,告知訪客該站使用 Cookie 並符合歐盟一般資料保護法規(GDPR)。
這個資安漏洞存在於該擴充套件在處理 AJAX 特效時的疏失,可能導致駭侵者取得 WordPress 的更高權限,例如變更 WordPress 網站的內容、或是任何內容下線或上線。
目前這個資安漏洞已有 CVSS 危險性評級;其評級為「嚴重級」的 9.0 分。
資安公司 Wordfence 在發現此漏洞時,已在第一時間通報該擴充套件的開發者和 WordPress 的開發公司 Automattic,很快的該擴充套件就暫時從 WordPress.org 的擴充套件目錄中下架。
在新版 GDPR Cookie Consent 解決此漏洞後,該擴充套件又再度上架到 WordPress.org 擴充套件目錄了。
有此資安漏洞的舊版本為 1.8.2 之前的舊版,更新至 2 月 11 日推出的 1.8.3 新版即可修復此一漏洞。
WordFence 的事件報告中,詳列了這個資安漏洞的細節,包括錯誤內容與如何利用此漏洞攻擊 WordPress 主程式。
- 2月 17 週一 202009:55
Google 移除 500 個以上 Chrome 的惡意延伸套件
Google 近期針對 Chrome 瀏覽器上的惡意延伸套件(Extensions)進行了為期兩個多月的調查後,自 Chrome Web Store 中移除了超過 500 種內含惡意程式碼的延伸套件。
據 ZDNet 指出,被移除的延伸套件,多半是因為內含惡意廣告程式碼,會在用戶瀏覽網頁時進行各種和廣告有關的詐騙。
舉例來說,有些惡意延伸套件會顯示大量廣告,或是顯示聯盟行銷的購物連結,單純賺取佣金;但有些則會把用戶導向到看似真實電商網站的假冒頁面,甚至是惡意軟體下載或個資釣魚頁面。
根據資安廠商 Duo 的報告指出,有一些 Chrome 惡意延伸套件肆虐期間超過兩年以上,受害者人更高達一百七十萬人。
資安專家透過特製的 Chrome 延伸套件掃瞄工具,發現有許多不同的 Chrome 惡意延伸套件,內含相同或近似的惡意程式碼,但以不同的名目包裝,企圖混淆用戶視聽。
Google 表示,所有被認定為惡意的 Chrome 延伸套件,不但已從 Google Chrome Web Store 中移除,用戶先前安裝的這些套件也會被自動停用。
- 2月 15 週六 202010:22
Google 表示正在努力加強 Android App 和 Google Play Store 的安全性
Google 表示持續加強 Android App,特別是 Google Play Store 中 App 的安全性,目前已見成效。
Android 裝置使用的 App 有許多惡意軟體混雜其中,過去經常傳出大規模感染和駭侵事件,甚至連 Google 官方直營的 Google Play Store 都經常有惡意 App 夾藏其中。
對此 Google 表示多年來一直在設法加強 Android App 與 Google Play Store 的安全性,而目前已經有一些成果可以分享。
Google 負責 Google Play Store 與 Android App 安全性的主管,日前在 Google 官方部落格發表專文,指出光是去年一年就從 Google Play Store 上下架了超過 79 萬個違反 Google App 上架規範的 App。
而在上個月,Google 也從 Play Store 中移了一萬七千個內含 Joker(或稱 Bread)惡意軟體的 App ,其中有不少被移除的 App 使用各種技巧隱藏其中的惡意程式碼,但還是被 Google 偵測到。
不過即使如此,資安公司 Check Point 仍然指出在 Play Store 中還有為數破百的 Android App 內含嚴重資安漏洞;即時用戶正常定期更新,仍可導致用戶的 Android 裝置遭駭侵攻擊,遠端執行任意程式碼。
Google 表示將會繼續努力提升 Android App 的整體安全性,例如要求 App 不得在沒有必要的情形下要求過多權限,否則就違反 Play Store 的上架規範。
- 2月 14 週五 202009:17
微軟推出 2020 年二月 Patch Tuesday 資安修補包
微軟推出每月例行性的「Patch Tuesday」軟體資安漏洞修補包,近 100 個資安漏洞得到修補。
微軟於日前推出 2020 年二月的「Patch Tuesday」例行軟體資安修補包,一共補上了近百個先前發現的多種軟體資安漏洞。
在這些被修補的資安漏洞中,比較重要的包括舊版 Internet Explorer 網路瀏覽器的一個 0-day 漏洞(CVE-2020-0674);未修補的用戶只要逛到某些藏有惡意程式碼的網頁,連點擊都不需要,就會被安裝惡意軟體。
這個修補包同時也修補了一個存在於 Windows 8、Windows 10 和 Windows Server 2008 到 2012 的嚴重漏洞 CVE-2020-0729,這個漏洞發生在 Windows 對 .LNK 檔的處理不當,以致可被攻擊者用以遠端執行任意程式碼。
另外,發生在 Microsoft Exchange 2010 到 2019 各版本的一個漏洞 CVE-2020-0688,同樣也能讓駭侵者遠端執行任意程式碼;這個漏洞本次也得以修補完成。
長期以來,有許多駭侵攻擊都是針對已知的微軟軟體資安漏洞進行攻擊,有些漏洞甚至是非常老舊的漏洞,但仍然會有為數眾多的系統遭駭,這表示許多用戶並未養成自動安裝或定期更新的習慣,因而將自身曝露在駭侵風險之下。
微軟每月都會定期針對已發現的資安漏洞推出例行修補包,建議所有用戶不論是否已經發現系統弱點,都能定期安裝這些修補軟體,以減低遭到駭侵攻擊得逞的機會。
- 2月 13 週四 202009:25
丹麥政府稅務軟體錯誤,造成 126 萬人個資外洩
由於稅務入口的軟體錯誤,多達 126 萬名丹麥國民的個資遭到外洩。
丹麥日前驚傳由政府造成的大規模個資外洩事件,一共有 126 萬名丹麥國民的個資,因為丹麥政府財政部的稅務入口網站程式錯誤而外洩。
受到影響的人數多達丹麥總人口的五分之一,可說是丹麥歷史上最嚴重的資安事故。
這個軟體錯誤存在的時間長達五年,自 2015 年 2 月就開始造成影響,但一直到 2020 年 1 月丹麥政府進行內部稽核時才被發現。
發生這起資安事故的網站,是丹麥政府的稅務入口網站,可供居民進行稅務申報與繳納之用;每當居民申報稅務資訊時,申報人的身分證字號就會出現在網頁的 URL 中;有心人士可以利用 Google 或 Adobe 的網頁流量分析服務,來分析並收集 URL 中的身分證字號。
丹麥的身分證字號格式共有十碼,前六碼是持有者的出生年月日,最後一碼的奇偶數則代表性別,因此只要身分證字號外洩,個人的生日和性別的資料也等同外洩。
丹麥政府在獲知此事時,並未在第一時間公開此一外洩事件;因為丹麥政府認為只有 Google 和 Adobe 這兩家大公司的分析工具可以取得 URL 中的個資,影響不會太大。
然而丹麥當地的資安業者與專家並不認同這種做法,他們還要求政府應該公開財稅入口網站的程式碼,以檢視並發現是否存有其他資安風險。
- 2月 12 週三 202009:15
美國聯邦檢查官正式起訴涉嫌 Equifax 駭侵案人員
美國聯邦檢查官正式起訴某國軍方人員涉及美國史上最大的 Equifax 駭侵案,竊取多達一億五千萬名美國人的消費金融資料。
美國聯邦檢查官於本周一正式起訴四名某國軍方人員,指這四人涉及美國史上最大的 Equifax 駭侵案,竊取多達一億五千萬名美國人的消費金融資料。
檢查官說,這四人涉及指使駭侵團體 APT10 竊取大量美國民眾個資,不僅用於情報活動,同時也用以協助該國企業取得更多情報。
聯邦總檢查長 William Barr 在記者會中指出,該單位掌握多項對美國人民個資的長期駭侵攻擊行為,這些資料被用以協助發展人工智慧技術,也用於進一步的智慧化駭侵攻擊。
這四人一共被控九項罪名,包括詐騙監聽、經濟間諜活動、進行各種電腦詐騙等犯罪活動。
Eqifax 是美國最大的信用卡消費記錄業者,2017 年該公司發生的大規模駭侵事件,造成一億五千萬美國人的消費金融個資外洩,是史上最大的資料外洩事件;兩年來該公司在各種調查與司法控訴要求下,需支付高達六億五千萬美金的賠償金。
據美國媒體指出,駭侵者是在 2017 年 5 月開始駭入 Eqifax 的主機,利用名為 Apache Struts 的資安漏洞,竊得該公司多個系統的登入權限,並開始大量竊取個資。
被竊走的美國用戶個資,除了消費金融記錄外,還有包括社會福利編號和護照相片等敏感資訊,可用於製作進一步的詐騙攻擊之用。
- 2月 11 週二 202014:38
駭侵者利用武漢肺炎病毒為主題,針對和運輸有關的各行業發動攻擊
資安專家發現愈來愈多駭侵攻擊以武漢肺炎為名,針對製造業與運輸業等各行業進行 Email 攻擊。
資安廠商 Proofpoint 的研究人員發現,近來出現愈來愈多以武漢肺炎為名的 Email 惡意攻擊事件,針對和運輸相關的各個產業發動攻擊。
據資安專家指出,遭到攻擊的行業包括製造業、工業、金融、運輸、製藥與化粧品等行業。Email 內容詐稱提供武漢肺炎對全球流通業的影響分析,企圖誤導受害者開啟 Email 中的惡意夾檔。
在這波攻擊中,駭侵者利用的是夾帶惡意程式碼的 Microsoft Word 檔案。這個檔案中夾帶的惡意軟體名為 AZORult,透過一個兩年半之前就已發現的方程式編輯器資安漏洞(CVE-2017-11882)發動攻擊。
過去有相當多惡意軟體都利用這個資安漏洞進行駭侵攻擊;受害者如果誤開這個 Word 檔,AZORult 即會進行安裝並竊取電腦內的資訊;資安專家也說,由於 AZORult 具備相當的調整彈性,未來也很可能被用來安裝勒贖軟體。
資安專家表示,這波攻擊的來源來自某些東歐國家,然而目前尚無任何 APT 駭侵團體與此案有關的證據。
不久前才出現一波以日本為主要攻擊對象,提供虛假防疫訊息的惡意攻擊;資安專家指出,隨著武漢肺炎影響日漸擴大,可能會有愈來愈多這類假借疫情之名的惡意攻擊。
資安宣導 (2)