資安專家指出,有伊朗 APT 駭侵組織針對重要人士發動釣魚郵件攻擊,手法是假冒知名媒體記者的名義進行約訪。
資安廠商 Certfa Lab 的研究人員於本周三(2/5)發表調查報告,指出該公司發現由伊朗支持的 APT 駭侵團體「Charming Kitten(迷人小貓)」,最近針對政治人物或人權運動家進行 Email 駭侵與監聽攻擊;而攻擊的手法,是透過假冒為華爾街日報或紐約時報的記者,對目標對象發出訪問邀約,進而對目標發動釣魚郵件攻擊。
這波釣魚郵件攻擊的目的,在於取得重要政治人物或人權運動家的 Email 往來內容、通訊錄名單,甚至 Email 的帳號密碼。
這些用來進行釣魚攻擊的郵件,會在郵件中放入看起來極像來自華爾街日報或紐約時報的真實網址,但實際上卻會導向惡意軟體頁面;一旦受害者點擊,即有可能洩露部分基本資訊,例如使用裝置名稱、作業系統名稱與版本、IP 位址等訊息。
然後受害者會收到一個假冒為訪問題綱的連結,並且會連到一個放在 Google Sites 的網頁;如果用戶不疑有他,繼續點頁面中的連結,就會被導到一個假冒的登入頁面,可能被騙走重要的帳號和密碼。
Certfa 的專家自 2018 年開始監控 Charming Kitten,並指出該駭侵團體曾經自行開發利用 Windows 資安漏洞的惡意軟體,進行駭侵攻擊的工具。
Certfa 在報告中指出,Charming Kitten 長期鎖定的駭侵對象包括美國、英國、沙烏地阿拉伯與多個歐洲國家的政府單位、智庫、學術單位,試圖竊取這些單位內部的機敏資訊,或鎖定重要人士進行駭侵攻擊。
微軟和另一家資安公司 ClearSky 的資安研究人員,則指出該駭侵團體曾試圖駭入美國總統川普連任競選活動使用的 Email 帳號。 twcert 發表在 痞客邦 留言(0) 人氣(9)
日本最大製造業者 NEC 承認遭駭侵,大量國防相關檔案被竊
日本最大電氣相關產品製造業與 IT 業者日本電氣(NEC),日前公開遭嚴重駭侵的始末。
NEC 承認的駭侵事件發生於 2016 年 12 月,距今已有三年之久。
據報,目前由 NEC 確認遭駭的檔案數量非常多,高達 27,455 個,全部都是和日本防衛省相關的業務往來文件;但 NEC 強調這些文件內並不包含日本國防機密或相關人員的個人資料在內。
針對日本大型製造業的駭侵活動正在日益升高,事實上這是一個多月來傳出的第二起類似駭侵事件。上個月,另一家日本超大型製造業者三菱電機也曾傳出大規模駭侵事件,同樣也有和日本國防相關的檔案被竊。
日本防衛省表示,該單位掌握到的情報指出,除了三菱電機和 NEC 外,另外還有兩家與日本防衛省進行業務合作的公司也遭駭侵;但日本防衛省並沒有透露這兩家公司的確實名稱。
目前還沒有充分證據指出 NEC 駭侵事件的幕後主要攻擊者,但日本媒體和資安專家都認為和針對三菱電機發動攻擊的駭侵組織可能有關。
twcert 發表在 痞客邦 留言(0) 人氣(28)
Facebook臉書旗下著名通訊軟體WhatsApp,被發現有重大安全漏洞,可能讓用戶私人檔案被有心人士竊取,並陷入網路釣魚的風險。國外IT資訊網站The Hacker News報導,PerimeterX公司的研究員Gal Weizman在2月4日公布了多項來自通訊軟體WhatsApp的重大安全漏洞。幾乎所有平台之版本受影響,包括WhatsApp的Windows、Mac以及iOS、Android版本。twcert 發表在 痞客邦 留言(0) 人氣(162)
上個月(2020年1月)國內爆發近年來最大規模的網路監視系統駭侵事件,多家品牌網路監視器 DVR 主機遭駭侵並且植入惡意軟體,業者已於日前釋出新版韌體,以修補漏洞。
2020 年一月,國內爆發近年來最大規模的網路監視系統駭侵事件,多家品牌網路監視器 DVR 主機遭駭侵並且植入惡意軟體;據非正式估計,受害主機多達十萬台到二十萬台之譜。
這波攻擊的典型症狀,是 DVR 資安漏洞遭鎖定並植入 DDoS 惡意軟體,並由 DVR 主機發出大量網路攻擊封包,除了攻擊其他對象外,還會造成用戶主機所在區域網路被塞爆,內網各項網路連線均告受阻。一月時,國內多家公司已在官網或經銷商網站、粉絲頁中證實遭到攻擊,並提供緊急處理步驟,包括新版韌體下載、維修服務資源等等。
而在二月時,廠商在官網釋出新版的 DVR 主機韌體,供用戶更新並修補漏洞。
在韌體更新網頁中,提供了多款機種的新版韌體;在頁面中也強烈建議用戶在更新韌體之後,務必更改預設的管理者帳號與密碼,並使用混合複雜字母、數字與特殊符號的高強度密碼,以免再次發生使用預設帳號密碼,而遭攻擊者輕易進入管理界面的問題。
去年在網路上曾有監視錄音工程公司發表一篇文章,直接公開各廠 DVR 主機的預設登入用帳號密碼或所謂「萬用工程登入密碼」。
除了更改管理者登入帳密外,資安單位也建議用戶修改 DVR 管理界面預設使用的網路埠號,並且在防火牆設定更強大的防護措施。twcert 發表在 痞客邦 留言(0) 人氣(283)
聯合國人權辦公室去年七月的遭駭事件,來自未被修補的微軟 SharePoint 伺服器漏洞。
據專業資安媒體 Threatpost 報導指出,去年七月發生於聯合國人權辦公室的嚴重駭侵事件,源自於微軟 SharePoint 伺服器一個未被適當修補的資安漏洞,因而造成多達 400GB 機敏資料外洩。
據上周被人權媒體 The New Humanitarian 公開的聯合國機密文件指出,一共有至少 42 台聯合國布署在日內瓦和維也納三個不同辦公室的伺服器遭到駭侵,可能洩漏的資料,包括聯合國至少 1600 名內部職員的個人資料,以及和聯合國進行合作的組織相關機密文件。
據美聯社指出,駭侵團體係利用微軟 SharePoint 伺服器一個已知的資安漏洞(CVE-2019-0604),植入可用以遠端執行任意程式碼的惡意軟體。
這個漏洞早在去年二月就已被發現,微軟也在四月就推出資安修補軟體供用戶更新。
以這個漏洞來說,像這類有更新卻未套用而造成的駭侵事件,在去年五月也發生在沙烏地阿拉伯和加拿大;兩國的資安主管機關都曾發布警訊,指有駭侵團體利用此漏洞進行攻擊。
據 Threatpost 指出,這次駭侵事件是有史以來聯合國遭遇的最大規模資安攻擊事件。雖然聯合國官員說駭侵團體並未取得任何密碼和主機存取權,但資安專家認為聯合國的資安防護能力仍然過於薄弱。 twcert 發表在 痞客邦 留言(0) 人氣(31)
當疫情感染爆發後,就有網路攻擊者藉此混亂時機,利用武漢肺炎名義的電郵,傳播惡意巨集檔案,主要是 Emotet類型的惡意巨集。類似的Emotet惡意巨集電郵,採用日文訊息內容,標題多半與「武漢肺炎」的相關文字有關(Corona Virus,或是China Virus)整封電郵均改用日文撰寫,並在信件中提及其附件為政府相關衛生單位所提供之新型冠狀病毒防疫措施,以此誘使使用者開啟附件。而當使用者開啟該附件後,該檔案內含與惡意程式Emotet的連結,造成使用者的相關資料,例如憑證、瀏覽紀錄或其他文件都可能遭到惡意程式竊取。
twcert 發表在 痞客邦 留言(0) 人氣(37)
外媒根據其掌握的聯合國內部機密文件指出,聯合國旗下多個組織的伺服器遭嚴重駭侵攻擊,但聯合國並未對外公開此事。瑞士媒體《新人道主義者》(The New Humanitarian)日前獨家揭露聯合國在去年遭到嚴重駭侵攻擊,但聯合國當局並未對外公開的消息。
該媒體指出,聯合國日內瓦辦公室的 IT 官員在去年 8 月 30 日就提出旗下電腦設備遭駭的報告,指出整個聯合國網域下的電腦系統都遭到駭侵威脅;但聯合國沒有對外公開這些訊息。
報導說遭到攻擊的伺服器有十多台,包括聯合國人權辦公室與其人力資源部門的伺服器都遭到入侵,多個管理用帳號也被駭侵者掌控。
攻擊是從去年七月中開始發動,一位聯合國資深 IT 官員形容這次攻擊的嚴重程度「如同核能電廠發生爐心熔毀事件」;不過只有少數聯合國高階官員知道此事,其他聯合國內部人員僅收到系統維護通知。
這次攻擊事件造成的損害,目前仍無法得知,因為相關的系統記錄已被攻擊者清除;但一位聯合國官員向媒體表示,可能有很多敏感的個人資料在攻擊中被竊取。
資安專家指出,這次攻擊事件明顯是屬於間諜監看類型,因為駭侵攻擊的對象中包括數台 Active Domain 節點,內含所有伺服器的用戶管理功能。 twcert 發表在 痞客邦 留言(0) 人氣(18)
美國連鎖超商與加油站業者 Wawa 去年 12 月遭駭,超過三千萬顧客個資疑遭上網求售。從美國東部起家,在全美國擁有 850 家分店的大型連鎖超商與加油站的 Wawa 集團,去年 12 月傳出其信用卡支付系統被長期駭侵;駭侵期間據報導長達九個月以上,被駭侵者竊取個資的受害顧客人數,恐怕多達三千萬人以上。
日前在一個著名的個資市集「Joker’s Stash」上,出現了疑似和這起駭侵事件有關的個資販賣案例;賣家稱這包個資來自四十個以上美國各州,超過三千萬人的信用卡資訊。
總部設在賓州的 Wawa 表示,該公司在去年12月10日發現系統遭駭,旗下的信用卡收銀機疑在3月4日左右遭植入惡意軟體,時間長達九個月以上;外洩的顧客信用卡資訊包括卡號、到期日、用戶姓名等。Wawa 說信用卡的 PIN 和卡片背面的三位安全碼並未外洩。
該公司表示已得知個資可能遭變賣一事,目前正和相關調查單位密切合作,進行事件調查中。
一家位於紐約的網路詐騙事件調查公司 Gemini Adversary 指出,該批資料目前只被賣家釋出一小部分,這是常見用來抬高資料賣價的手法。目前賣家僅釋出十萬筆資料,其中大多數信用卡資料屬於美國當地用戶在美國所屬銀行申辦的信用卡,但也有少數受害者來自拉丁美洲、歐洲或亞洲國家。
據 Gemini Adversary 估計,每張信用卡個資的售價,會依受害者國籍而有所不同;美國本土受害者的資料約為一張信用卡 17 美元,但海外受害者則高達每張信用卡 210 美元。
資安專家指出,被植入刷卡機的惡意軟體,目前僅能讀取信用卡磁條上未加密儲存的資訊,還無法存取晶片卡;但由於美國尚有大量信用卡僅具備磁條,許多銷售端點也沒有晶片信用卡的讀取能力,因而造成極大資安風險。 twcert 發表在 痞客邦 留言(0) 人氣(13)
超過七萬張交友軟體 Tinder 上的照片,遭分享至討論網路犯罪相關話題的論壇上,可能對這些人的安全產生威脅。資安廠商 White Ops 旗下的資安專家,日前發現某個以討論惡意軟體為主的論壇上,出現了一大批交友軟體 Tinder 上的使用者照片,照片張數多達七萬張以上。
除了照片以外,同時被上傳到論壇的資料,還包括這些用戶的 Tinder 用戶 ID,數量達到 16,000 人以上。
除了用戶 ID 等個資外,很多照片的 metadata 中還含有相片拍攝日期和時刻;其中有不少照片是自拍照。
目前尚不清楚這些相片和資料的上傳目的,以及上傳者的背景;但由於上傳的目的地網站是個專門討論惡意軟體駭侵相關技術與資訊的網站,因此不能排除這些相片與個資會被用來進行不法用途的可能性。
資安專家指出,歹徒可能會使用這批相片與資料來製作假身分,用來進行各種詐騙活動,或是直接針對相片本人進行各種騷擾或其他不法行為。
就算歹徒不間接或直接使用這些相片和資料進行不法活動,有這麼多用戶的相片和個資外洩,對這些交友用戶的隱私權,也是嚴重的破壞;例如可能會有不尊重用戶隱私權的業者,在未經相片主人許可的情形下,把這些相片拿去用以訓練人工智慧程式,或進行其他應用。
這些照片是如何從 Tinder 流出的,目前不得而知;Tinder 表示該公司的 App 對交友對象相片的瀏覽範圍限為 100 英哩內,目前正在調查這起事件的原因。資安專家表示,該公司的 API 過去曾有被濫用的記錄。 twcert 發表在 痞客邦 留言(0) 人氣(167)
日本最大製造業者三菱電機,遭多個駭侵組織共同發動大規模駭侵日本最大製造業者三菱電機於星期一表示,該公司遭到駭侵團體大規模駭侵。
三菱電機在日本的國防與基礎設施工業領域,佔有非常重要的地位。該公司指出,根據社內進行的事後調查,認為高機密性的各項營業資料,如國防、電力、鐵道等與社會基礎建設相關的資料應無外洩之虞。
目前該公司正在進行事件調查,整個受災情況仍在確認中。
據日本經濟新聞報導指出,該社日本本土和海外分社有多達數十台 PC 和伺服器遭到入侵,被不當存取的資料量約有 200MB。
除了營業秘密資料外,可能外流的資料還包括八千多名該社社員、應徵者和退休人員的各項個資。
三菱電機在日本國內的伺服器,於去年六月底也曾遭到駭侵;外洩的檔案後來在多個國家的某些伺服器上出現。
朝日新聞指出,這次的駭侵團體很可能是稱為「BlackTech」、「Aurora Panda」「emdivi」和「Tick」的駭侵組織共同發動。這些組織過去常以製造業、政府單位、大企業、電力、航空、資通訊等基礎建設設施為攻擊目標,竊取內部機密資訊或製造破壞。
據讀賣新聞報導,由於三菱電機在日本國防與各項基礎建設的重要地位,日本政府已要求三菱電機提出完整調查報告,同時加強日本各政府單位的資安防謢措施。 twcert 發表在 痞客邦 留言(0) 人氣(18)
資安宣導 (2)