於今年 2 月對美國大型社群討論平台 Reddit 發動攻擊的 BlackCat(ALPHV)勒贖團體,最近揚言要公開當時自該平台竊得的 80 GB 資料。
Reddit 在今年 2 月 9 日對外揭露該平台在 2 月 5 日時遭到駭侵攻擊,遭竊的資料包括各種內部文件、軟體源程式碼、員工資料、部分該平台廣告委刊客戶資料等。
當時 Reddit 在進行內部調查後指出,駭侵者係透過取得僅僅一位員工的內部網路登入資訊,即取得該平台部分內部業務系統、控制面板與部分文件檔案和程式碼的存取權限。
Reddit 在當時否認有任何生產系統遭到駭入,也沒有任何用戶相關個資如密碼、帳號或信用卡資訊外流。
不過在近日,一位資安專家發現 BlackCat(ALPHV)駭侵團體現在宣稱自己就是Reddit 於 2 月 5 日遭到駭侵攻擊的發動者;該團體宣稱手上掌握的該公司內部檔案與資料多達 80 GB,且曾在 4 月 13 日和 6 月 16 日兩度接觸 Reddit,要求高達 450 萬美元的贖金,但 Reddit 均未回應。
該團體宣稱當時正在等候 Reddit 宣布 IPO(股票首次上市),但近來由於 Reddit 因其公開 API 即將開始收費,造成平台大量用戶與開發者不滿,正在威脅撤離 Reddit,該團體認為這又是威脅 Reddit 支付贖金的好機會,因此再次威脅公開所竊資料。
建議手上擁有大量用戶個資的平台,針對日益嚴重的勒贖攻擊,應確實加強資安防護能力,特別是以社交工程或釣魚攻擊取得員工持有的系統登入資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
跨國零售暨接待服務產業組織 Retail & Hospitality Information Sharing and Analysis Center(RH-ISAC)日前協同電信業者 Verizon,於 Verizon 日前發表的資安報告 2023 Verizon Data Breach Investigation Report Analysis 中,指出多項該產業的資安現況,包括最常發生的攻擊形態、業者最擔心的資安威脅形式等資訊。
RH-ISAC 針對旗下 242 個來自零售、接待服務與旅宿業者的資安調查,與 2023 Verizon Data Breach Investigation Report Analysis 的廣泛調查結果相比對,得到以下關於該產業資安現況的調查結果:
twcert 發表在
痞客邦
留言(0)
人氣()
美國與世界各國的資安主管機關,近期針對惡名昭彰的 LockBit 勒贖攻擊,聯合發表警示報告;報告指出該勒贖軟體自 2020 年起針對美國境內各公私組織,總共發動近 1,700 起勒贖攻擊,所獲的不法勒贖金額合計高達近 9,100 萬美元。
發表這份警示指引的,除了包括美國資安最高主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)之外,還包括澳大利亞、加拿大、英國、德國、法國與紐西蘭的資安主管機關。
報告指出,光是去年一年之內,針對美國各級政府單位(包括州、地方行政單與各級司法單位)的勒贖攻擊中,有 16% 的攻擊行動是透過 LockBit 來發起。
報告同時指出,自 2020 年 1 月起,駭侵者也利用 LockBit 來攻擊各種領域、不同大小的關鍵基礎設施,例如金融服務、食品與農產、教育、能源、政府單位、緊急服務、醫療、生產製造、交通運輸等領域。
報告中也詳列多達 30 種 LockBit 勒贖駭侵者,在發動攻擊時會使用的免費與開源軟體工具,以及多達 40 種發動攻擊時使用的手段、技巧與程序(tactics, techniques and procedures, TTPs)。
報告同時列舉多個 LockBit 駭侵攻擊時經常使用的各種漏洞之 CVE 編號,以及自 LockBit 於 2019 年 9 月出現以來的演進路線分析。
美國 FBI 建議所有組織應仔細閱讀該報告,並且實作報告中的各種應對指引,以降低遭 LockBit 攻擊的風險與損害。
建議各公私單位皆應參考該報告,找出所有潛在資安弱點予以解決,並依建議加強防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
瑞士政府最近針對一起鎖定 IT 服務商進行的勒贖攻擊發出警訊,指出不僅受攻擊者可能發生資料外洩的風險,更可能遭到 DDoS 攻擊。
瑞士政府於 6 月 6 日發出警訊,表示瑞士政府旗下多個部門,因其 IT 供應商 Xplain 遭到勒贖攻擊,造成多個政府單位的服務受到影響。
Xplain 服務的瑞士政府部門相當廣泛,包括多個部級單位、行政組織與瑞士軍方等。
Xplain 是在今年 5 月 23 日起遭到 Play 勒贖軟體發動攻擊,攻擊者宣稱已經取得 Xplain 內部多種包含隱私、機密資訊、財務、稅收相關的檔案;而在 6 月 1 日時,由於未能順利取得贖款, Play 勒贖團體便對外釋放出所有被竊檔案內容。
瑞士政府指出,正在針對這些遭到外洩的資料進行調查,而攻擊者釋放出來的文件檔案,可能是屬於瑞士聯邦政府部分單位所有。
瑞士政府近日又發表一項資安警訊,指出部分政府入口網站與聯邦行政網站的線上服務,已經因遭到分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)而受到影響。
據報,這次 DDoS 攻擊是駭侵團體「NoName」,該駭侵團體自 2022 年起就針對北大西洋公約組織(NATO)會員國與其在歐洲、烏克蘭、北美設立的各個實體發動各式駭侵攻擊。
瑞士政府表示,在今年 6 月 12 日當天,許多該國聯邦行政單位的網站出現無法存取的問題,經查後證實是遭到 DDoS 攻擊所致。該國現已調派專家進行處理與調查,並將盡速恢復正常服務。
建議各政府單位或公用事業如有使用外包廠商服務,應確實監督並要求廠商加強資安防護,避免機敏資訊外洩。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 6 月例行資安更新修補包「Patch Tuesday」,共修復 78 個資安漏洞;特別的是其中含有 38 個屬於遠端執行任意程式碼(RCE)的漏洞。
本月 Patch Tuesday 修復的漏洞數量有 78 個,較上個月(2023 年 5 月)的 38 個資安漏洞增加許多;而在這 78 個漏洞中有多達 38 個屬於遠端執行任意程式碼類型,其中有 6 個的危險程度評級達到「嚴重」等級(Critical)。
這次的 Patch Tuesday 也是自 2022 年 3 月以來,首次沒有任何 0-day 漏洞的例行性更新。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Scam Sniffer 發現一個被稱為「Pink Drainer」的駭侵團體,以假扮為加密貨幣新聞記者的方式,透過釣魚信件盜用受害者的 Discord 與 Twitter 社群媒體帳號,成功竊得近 300 萬美元。
根據 ScamSniffer 的鏈上監機器人觀測到的駭侵活動,Pink Drainer 在這次攻擊行動 中,成功竊得的總金額高達 2,997,307 美元的等值加密貨幣;受害者人數多達 1,932 人,單一受害者最大損失高達 327,000 美元,而遭到攻擊的區塊鏈網路則包括以太坊、Arbitrum、Polygon、BNB 和 Optimism。
資安專家指出,Pink Drainer 主要透過社交工程攻擊來竊取受害者的社群帳號,其手法十分細緻。駭侵者會先假冒為知名加密貨幣相關媒體如 Cointelegraph 與 Decrypt 等旗下的新聞記者,詐稱要對受害者進行專訪;得到受害者的信任之後,駭侵者會要求受害者進行所謂的 KYC(Know Your Customer)認證流程以證實其身分無誤,並將受害者導向用來竊取其 Discord 登入憑證的釣魚頁面。
Pink Drainer 將受害者導入的釣魚頁面中,含有惡意軟體 Carl verification bot,會以「Drag Me」指示,要求受害者將含有惡意 JavaScript 程式碼的按鈕加入瀏覽器的書籤中,藉以執行程式碼並竊取受害者的 Discord 登入憑證。
如果竊得的 Discord 帳號本身擁有許多追蹤者,駭侵者還會對這些追蹤者發動攻擊,利用假冒的加密貨幣贈與活動、鑄幣活動,或以釣魚網頁等其他詐騙方式,進一步進行詐騙。
建議加密貨幣投資人對於各種不請自來的邀約,包括投資機會、交友、訪問等,均應提高警覺,切勿接受不明邀請、連結與檔案,以免遭駭而蒙受損失。
twcert 發表在
痞客邦
留言(0)
人氣()
區塊鏈金流監控廠商 Elliptic 日前發表研究報告指出,駭侵團體 Lazarus 疑似在近期發動針對 Atomic 錢包的駭侵攻擊行動,竊走高達 3500 萬美元的加密貨幣。
這起針對 Atomic Wallet 發動的攻擊事件發生於 2023 年 6 月初,有許多用戶通報其錢包遭到入侵,存於其中的加密貨幣資金遭竊一空。
加密貨幣分析廠商 ZachXBT 在分析本次攻擊事件時,指出這波攻擊行動總共造成的財務損失,高達 3,500 萬美元,其中單一用戶的最大損失,幾乎佔總體被竊金額的 10%。
Elliptic 的分析則根據多種跡象研判指出,這次攻擊行動的幕後操作者,可能是駭侵團體 Lazarus;這也是該團體在 2023 年犯下的最大金額加密貨幣竊案。
Elliptic 的分析層面包括錢包間的金流流向、洗錢的策略與手法等;這些分析都顯示出與 Lazarus 慣用手法的高度相關。
美國聯邦調查局(Federal Bureau of Investigation, FBI)曾指稱發生於 2022 年 6 月的 Harmony Horizon Bridge 駭侵攻擊事件,也是由 Lazarus 所發動,當時被竊取的金額高達 1 億美元;而在 2022 年 3 月發生的 Axie Infinity 駭侵攻擊案件,也是由 Lazarus 發動,更造成高達 6.2 億美元的鉅額損失。
資安專家也指出,Lazarus 駭侵團體近年來的攻擊行動,全部精準鎖定各種加密貨幣相關漏洞,主要目的就是竊取大量資金。
建議加密貨幣投資者應妥善保管自己的數位資金,如果資金金額較大,應使用離線的冷錢包儲存,勿儲存於任何線上熱錢包,且應嚴加保管冷錢包的登入資訊與復原密語。
twcert 發表在
痞客邦
留言(0)
人氣()
羅馬尼亞資安廠商 Bitdefender 日前發表研究報告,指出該公司旗下的資安研究人員,發現過去半年以來,共有超過 60,000 種不重覆的 Android App,表面上看來是正常的手機應用程式,但卻內含惡意廣告軟體。
Bitdefender 指出,該惡意廣告軟體約在 2022 年 10 月開始出現,假扮為各種不同型式的 Android App 吸引用戶下載,類型包括假冒為資安防護軟體、遊戲破解工具、遊戲作弊工具、VPN 連線軟體、Netflix 串流影片觀賞工具、各種第三方網站的原生 App 等等。
Bitdefender 指出,這些內含廣告惡意軟體的 App,並非上架到官方的 Google Play Store,而是在許多第三方網站中,透過 Google Search 來接觸潛在受害者,吸引他們以側載(Sideloading)方式自行安裝 APK 檔,以規避 Google Play Store 的惡意軟體防護機制。
當受害者在其 Android 手機上安裝這些 App 後,不會立即自我設定為自動執行,因為這會需要額外權限;反之,這些 App 會走正常的 Android 軟體安裝流程,然後在安裝完成前要求用戶開啟 App。此外,這些 App 不但沒有圖示,也沒有一般會顯示在圖示下方的 UTF-8 名稱標籤,所以用戶也很難在手機中找到這些惡意 App。之後這些惡意 App 就會在受害者手機上大量顯示蓋版廣告。
據 Bitdefender 指出,這波惡意攻擊主要受害者以美國 Android 用戶為主,比例達 55.27%,其次為南韓(9.8%)、巴西(5.96%)、德國(2.93%)、英國(2.71%)、法國(2.56%)等。
建議 Android 手機用戶不要在Google Play Store 官方以外的來源安裝任何來路不明的 APK 檔案,以避免安裝到內含惡意軟體的 App。
twcert 發表在
痞客邦
留言(0)
人氣()
全球汽車製造行銷大廠 Toyota,日前在進行進一步的資安檢測時,發現有兩個配置錯誤的雲端伺服器,造成客戶個資外洩,且時間長達 7 年之久。
這次資安調查與發現是在 Toyota 於 2023 年 5 月發現一台配置錯誤的伺服器洩漏超過 200 萬名客戶所在地資料長達 10 年後,由該公司針對由旗下子公司 Toyota Connected Corporation 管理的雲端環境,進行全面性的深入調查而發現的。
兩台被發現配置錯誤造成資料外洩的雲端伺服器,其中第一台洩漏的是 Toyota 位於亞洲與大洋洲於 2016 年到 2023 年 5 月間的資料;該資料原本只應開放 Toyota 經銷商與服務廠取用,但卻因伺服器配置錯誤而可公開存取;其洩漏的客戶個人資料包括以下欄位:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Dr. Web 旗下的研究人員,近日發現一個新的 Android 惡意軟體出現在多個上架於 Google Play Store 的 App 中,合計下載次數超過 4 億次。
這個命名為 SpinOK 的惡意軟體,本身是個廣告 SDK;資安研究人員發現 SpinOK 會以看似無害,每天提供各種獎勵和抽的迷你小遊戲或每日任務來吸引用戶安裝使用,但實際上 SpinOK 會擅自使用用戶 Android 手機裝置上的感測器資料,包括陀螺儀、磁力計,來確認自己不是在沙箱環境內執行,以避免誤入惡意軟體偵測工具布置的「蜜罐」(honeypot)。
一旦確認執行環境「安全」後,SpinOK 就會一邊從伺服器上下載各種小遊戲給用戶玩,一邊掃瞄、搜尋並上傳用戶存於手機資料夾中的檔案,包括用戶的私密照片、影片和文件檔,或是竊取並取代剪貼簿的內容,並上傳到駭侵者設定的伺服器內。
Dr. Web 發現在 Google Play 中一共有 101 個 App 內含 SpinOK,總下載次數合計高達 4.21 億次以上,下載次數最多的 App 包含 Noizz(1 億次)、Zapya(1 億次)、VFly(5000 萬次)、MVBit(5000 萬次)、Biugo(5000 萬次)、Crazy Drop(1000 萬次)、Cashzine(1000 萬次)、Fizzo Novel(1000 萬次)、Cash EM: Get Rewards(500 萬次)、Tick: Watch to earn(500 萬次)。
Google Store 已在 Dr.Web 公開 SpinOK 相關情形前,將包含 SpinOK 的 App 全數下架;必須在確認 App 內不再含有 SpinOK 後才能再次上架。不過目前無法確認各開發者是否知道這些 App 內含 SpinOK。
建議下載過這些 App 的用戶,應立即刪除並進行完整的系統掃毒;此外即使在 Google 官方 Play Store,下載任何 App 前也應先閱讀評價與留言,避免下載可疑 App。
twcert 發表在
痞客邦
留言(0)
人氣()
美國政府資助牙醫暨口腔醫療保險服務 Managed Care of North America (MCNA) Dental,日前在其官網發表資安通報,表示因遭到勒贖攻擊,造成超過 890 萬名美國病患個資遭到外洩。
MCNA Dental 於上周五發表資安通報,指出該單位現已獲悉其電腦系統於 2023 年 2 月到 3 月間遭到未經授權人士入侵;調查指出駭侵者在 2023 年 2 月 26 日起取得 MCNA Dental 內部網路的存取權限。
在駭侵者活動期間,近 900 萬名病患的資料遭到不當存取,遭竊的資料包括以下欄位:
twcert 發表在
痞客邦
留言(0)
人氣()
一個架構於 Arbitrum 區塊鏈上的去中心化金融(Decentralized Finance, DeFi)服務專案 Jimbos Protocol,近期遭到駭侵者以「閃電貸」(Flash Loan)攻擊得逞,損失的數位資金高達 4,000 枚以上以太幣,換算超過 750 萬美元。
營運 Jimbos Protocol 的公司在日前於 Twitter 上公開發表遭駭侵攻擊的消息,並表示已向司法單位報案,並已與資安專家合作,以期找出問題並加以解決。
該攻擊發生在 Jimbos Protocol 推出第二版後僅僅 3 天,許多投資人購買了其推出的 Jimbo Token 代幣之後;駭侵者成功竊得的數位資金,高達 4,090 枚以太幣。
雖然 Jimbo Token 具備一種半穩定地板價機制,可由其儲備的其他數位資產與其他機制,來試圖穩定幣價,但在 Jimbos Protocol 遭到駭侵攻擊一事傳出之後,該幣的價格立即暴跌,由原本的一枚 0.238 美元狂跌到僅有 0.0001 美元。
據區塊鏈資安專家指出,由於 Jimbos Protocol 平台缺少「滑點控制」(Slippage control)機制,因此遭到駭侵者以此發動「閃電貸」(Flash Loan)攻擊,其方法是重覆利用閃電貸,以極快的速度,在同一筆交易中同時借出並償還大量資金,並利用該漏洞來不斷賺取借還之間的價差。
這種利用閃電貸來快速賺取價差的攻擊,過去也頻繁發生在其他 DeFi 平台上過;其中一個比較知名的案例,是發生在 Euler Finnace DeFi 專案的閃電貸攻擊事件,當時的損失高達 1.97 億美元。
建議加密貨幣投資人在選擇投資標的時,應注意該專案的資安是否經過知名第三方資安廠商稽核,且設有投資人保障基金,且應避免高風險的目標。
twcert 發表在
痞客邦
留言(0)
人氣()
