資安廠商 Cisco Talos 和 Citizen Labs 旗下的資安研究人員近日發表研究報告,分析一個商業化的 Android 間諜惡意軟體 Predator 與其載入器 Alien,指出其資料竊取能力與其他操作細節。
Predator 是由一家以色列公司 Intellexa 開發並發售的商業化行動平台間諜軟體,同時支援 iOS 與 Android 平台;該惡意軟體已證實與多起針對媒體記者、歐洲政治人物,甚至 Meta 公司高階主管的駭侵事件有關。
在 Android 裝置上,Predator 能夠盜錄受害者的來電語音通話、自即時通訊軟體中收集資訊,甚至隱藏安裝在手機上的應用程式,同時阻止該程式的執行。
2022 年 5 月時,Google 旗下的資安研究團隊 Google TAG 就發現了 Predator 用以入侵並植入其載入程式 Alien 的 0-day 漏洞;Alien 載入程式是注入一個名為 zygote64 的 Android 程序,然後下載並啟用附加的間諜軟體程式碼;Alien 是從一個外部位址取得並啟動 Predator 組件;如果發現新版 Predator,也會進行更新。
當 Alien 偵測到自己在 Samsung、Huawei、Oppo 或 Xiaomi 手機上執行時,就會以遞迴方式窮舉列出存有用戶資訊、電子郵件、即時通訊內容、社群媒體、瀏覽器 App 資料的目錄並竊取其內容,也會竊取用戶通訊錄與媒體資料夾中的私人媒體檔案,包括音訊、圖片和影片等。
各平台手機用戶應對不明連結或檔案隨時提高警覺,避免自不明來源安裝或開啟可疑檔案。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前發表資安警訊,要求美國聯邦政府旗下單位立即檢視並調查是否因 Barracuda 日前修補的 0-day 漏洞遭駭侵攻擊。
該 0-day 漏洞的 CVE 編號為 CVE-2023-2868,發生在 Barracuda Email Security Gateway 應用程式中,該產品廣為全球 200,000 個公私單位採用,包括大型企業如 Samsung、Mitsubishi、Kraft Heinz、Delta Airlines 以及各國政府機構。
據 CISA 指出,該漏洞已遭駭侵者廣泛利用於攻擊,因此 CISA 除將此 0-day 漏洞列入其指定資安漏洞列表之外,也要求美國聯邦政府各民事執行單位(Federal Civilian Executive Branch Agencies,FCEB)必須依其 BOD 22-01 具強制力的作業指引,在期限之前更新或應對該 0-day 漏洞。
不過,Barracuda 原廠也表示,該公司已在前一周周末期間透過強制更新機制套用兩個針對此 0-day 漏洞的修補程式,因此該 0-day 漏洞已經在 5 月 21 日時自動修補完成。
不過根據 Barracuda 建議,雖然漏洞已經自動修補完成,但採用該公司 ESG 產品的客戶,其系統管理者仍應檢視其應用環境是否有遭到駭侵攻擊得逞的跡象;CISA 也對此發出相同的建議,聯邦單位仍應檢視是否曾遭攻擊。
雖然 CISA 的強制性資安檢測修補命令僅適用於美國聯邦政府單位,但仍建議所有公私單位隨時注意並遵守 CISA 發表的最新資安警示與作業指引。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Scam Sniffer 日前發表資安研究報告,指出該公司的研究人員發現一個用來提供加密貨幣釣魚詐騙「服務」的平台 Inferno Drainer;該平台自今年三月底至今已有近 5000 名受害者,詐騙金額超過 590 萬美元。
據 Scam Sniffer 指出,詐騙者自 2023 年 3 月 27 日開始,至少已經利用該平台架設多達 689 個詐騙網站;這些詐騙網站假冒的加密貨幣產業相關知名品牌,數量多達 229 個,其中包括 MetaMask、OpenSea、Collab.Land、LayerZero Labs 等。
這批詐騙網站絕大部分都在今年 5 月 14 日後才上線運作,但已經造成相當規模的損失。Scam Sniffer 的資安研究人員,曾在 Telegram 上看到 Inferno Drainer 的成員展示一張成功詐騙取得 103,000 美元的螢幕截圖,用來強調其詐騙得逞的能力。
該平台稱提供多種加密貨幣詐騙方式,並以此為招徠;這些詐騙方式包括多鏈詐騙(Multichain Fraud)、Aave 代幣與 Art Blocks 耗盡攻擊、MetaMask 代幣核准漏洞攻擊等等。該平台也具備十分現代後的操作後台,甚至還提供免費試用。
該平台向有意使用的駭侵者收取至少 20% 的不法所得;如果需要代客架設詐騙網站,收費則為 30%。
Scam Sniffer 統計自該平台開始運作後的損失,絕大多數的數位資產損失來自以太坊主網(Mainnet),高達 430 萬美元,其餘為 Arbitrum(79 萬美元)、Polygon(41 萬美元)、BNB(39 萬美元),合計高達 590 萬美元。其中單一攻擊損失的最高金額為 40 萬美元。
建議加密貨幣投資人對於各種可疑或利潤明顯不合理的投資機會,必須提高警覺,切勿點按不明連結、安裝不明軟體,也不要將數位錢包的復原短語交付給任何人。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近日修復 3 個可讓駭侵者用以攻擊 iPhone 與 Mac 等多款 Apple 產品的 0-day 漏洞 CVE-2023-32409、CVE-2023-28204、CVE-2023-32373。iPhone 與 Mac 使用者應儘速更新,以降低遭駭侵者以已知漏洞發動攻擊的風險。
據 Apple 這三個漏洞都存於跨平台的 WebKit 瀏覽器引擎。頭一個漏洞 CVE-2023-32409 為一個沙箱跨越漏洞,可讓遠端駭侵者跳過 Web 內容沙箱的侷限,影響到沙箱以外的操作環境。
至於另外兩個漏洞,駭侵者都可以利用特制的網頁內容來觸發。其中一個屬於越界讀取錯誤(out-of-bounds read),駭侵者可藉以取得機敏資訊;另一個則是屬於釋放後使用(use-after-free)的錯誤,駭侵者可透過此漏洞遠端執行任意程式碼。
受到此漏洞影響的裝置相當多,包括 iPhone 6s(所有機型)、iPhone 7(所有機型)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)、iPhone 8 與後續機型、iPad Pro(所有機型)、iPad Air(第 3 代與後續機型)、iPad(第 5 代與後續機型)、iPad mini(第 5 代與後續機型)、所有執行 macOS Big Sur、Monterey 與 Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型、Apple TV 4K(所有機型)、Apple TV HD。
Apple 在新推出的 iOS、iPadOS 16.5、macOS Ventura 13.4、tvOS 16.5、watchOS 9.5、Safari 16.5 中強化了邊界檢查、輸入驗證和記憶體管理,解決了這 3 個 0-day 漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 日前發表 App Store 統計數字報告,在報告中指出該公司在 2022 年間除了封鎖 170 萬個存有隱私、資安與違反內容政策問題的 App 之外,也防止超過 20 億美元疑似詐騙的交易。
該公司在報告中說,在 2022 年有超過 420,000 個開發者帳號因涉及詐騙或惡意行為而遭停權; 且有超過 2.82 億個用戶帳號亦因類似原因而遭停權。
Apple 也說,有 150,000 個開發者帳號在申請註冊時就因偵測到可疑活動而遭到中止;也有接近 400,000 個 App 因為內含試圖在未告知用戶的情形下獲取用戶個資,因而遭到 App Store 審核人員拒絕上架。
另外,也有 153,000 個 App 因為試圖誤導用戶,或因抄襲現有其他 App 而遭到拒絕上架;也有 29,000 個 App 因為含有未載明或隱藏的功能,也遭拒絕上架到 App Store 內。
App Store 也表示,2022 年中有多達 24,000 個 App 因為試圖以假功能先引誘用戶安裝,之後再出現惡意功能,因而遭到該團隊封鎖。
而在 App Store 的支付方面,該團隊一共封鎖了 20.9 億美元的詐騙交易,破歷年新高紀錄,亦有 714,000 個假帳號因涉及詐騙交易而遭封鎖,無法再次進行交易。
App Store 在去年一年之中,也封鎖了近 390 萬張遭到盜刷,試圖在 App Store 中進行詐騙交易的信用卡。
此外,App Store 在去年也刪除了超過 1.47 億則詐騙 App 評價,以防用戶受到假冒評價誤導而下載到不符所需的 App。
建議用戶下載手機 App 時,應避免在非官方管道下載或進行測載;即使在官方 App Store 下載,也應仔細閱讀其他用戶評價,以避開資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Patchstack 近期發現一個 WordPress 外掛程式漏洞 CVE-2023-30777,在該廠商公布相關漏洞資訊後短短 24 小時,就開始遭到駭侵者藉以大量發動攻擊。
該漏洞 CVE-2023-30777 存於一個獲得廣泛採用的 WordPress 外掛程式(Plugin)Advanced Custom Fields,屬於高危險性的跨站指令碼攻擊(Cross-site scripting, XSS)漏洞;未經授權的攻擊者可透過該漏洞竊取機敏資訊,並且在受到攻擊的 WordPress 網站中提升自身的執行權限。
該漏洞的 CVSS 危險程度評分為 7.1 分(滿分為 10 分),危險程度評級為「高」(High);Patchstack 於 2023 年 5 月 2 日發現此漏洞,並在 3 天後的 5 月 5 日公布漏洞相關細節與攻擊用的概念驗證(proof of concept)。Advanced Custom Fields 外掛程式的開發者則是在 Patchstack 推出概念驗證前一天完成該外掛程式的修復,並且推出更新版本 6.1.6。
然而根據網路基礎建設業者 Akamai 旗下資安團隊的報告指出,該團隊自 5 月 6 日起開始觀察到大量使用 Patchstack 攻擊概念驗證程式碼發動的攻擊活動;報告指出駭侵者直接拷貝了 Patchstack 撰寫的程式碼,針對眾多 WordPress 網站發動攻擊。
據估計,目前仍在使用舊版未更新 Advanced Custom Fields 外掛程式的 WordPress 網站,高達 140 萬個之多,因此給駭侵者很大的攻擊空間。
建議使用 Advanced Custom Fields 外掛程式的 WordPress 網站管理員,應立即將該外掛程式更新到 5.12.6、6.1.6 或後續版本,以避免遭到攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
一名 Twitter 工程師發現廣為使用的通訊軟體 WhatsApp 的 Android 版本,會在閒置時頻繁存取 Adnroid 裝置的麥克風,引發資安與隱私疑慮;但 WhatsApp 的開發者 Meta 在回應該問題時表示,該問題為 Android 系統內的錯誤所造成。
發現問題的 Twitter 工程師 Foad Dabiri,日前在 Twiiter 上發表一張截圖,表示安裝在其 Google Pixel 7 Pro 手機上的 WhatsApp 通訊軟體,從清晨 4 時左右頻繁使用該手機的麥克風;但該時間 Foad Drbiri 仍在睡眠中,並未使用 WhatsApp 進行語音通訊。
在該篇 Twitter 文章之後,陸續也有其他 WhatsApp 用戶通報相同的問題,不只會發生在 Google 品牌手機上,也會發生在 Samsung 手機上,包括 Samsung Galaxy S22 與 Galaxy S23。
在該推文下方也有不少用戶加入討論,分享其發現的狀況;有用戶注意到在未使用 WhatsApp 時,其 Android 手機右上角的通知區內,也會頻繁出現綠色小亮點(表示手機的敏感性硬體裝置,如相機或麥克風正在使用中)。
在相關討論愈來愈多時,WhatsApp 官方帳號也貼文回應,表示已與推文原作者的 Twitter 工程師聯絡並了解狀況。WhatsApp 也強調,當用戶授予手機麥克風的存取權限後,WhatsApp 僅在會使用者進行語音通話、視訊通話或錄製語音訊息時,才會使用裝置上的麥克風,且所有通訊內容皆以端對端加密進行傳輸。
WhatsApp 也表示,該問題可能是來自 Android 系統在隱私儀表板中發生的屬性錯誤,且已通報 Google 調查並解決該問題。
由於 Android 系統上較常出現要求過多權限的惡意軟體,因此建議用戶在授予 App 存取權限時應特別注意,且如果發現不正常的相機與麥克風存取情形,應特別提高警覺並移除可疑軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
一項由資安廠商 Delinea 針對多國共 2,000 名企業資安技術決策者進行的調查指出,多數公司對於資安的認知與投入相當不足,恐將造成嚴重後果。
這項調查針對位於澳洲、紐西蘭、新加坡、馬來西亞、印度、台灣、香港的 2,000 名企業資安決策人員進行問卷調查,發現多數企業並未將資安視為公司業務策略的一部分。
調查指出,這些企業資安決策人員中,只有 39% 認為所屬公司的領導階層,將資安視為強化公司業務的一環;有 36% 的公司更是只在監管與法規要求之下,才會認真考慮資安。也有 17% 的公司完全不認為資安是該公司的工作重點。
調查也說,雖然有 54% 的公司設有專責資安人員,但只有 48% 的公司會將資安政策與作為以文件方式明文規範,也有 33% 的公司只有在發生資安事件時才會以書面方式進行資安作為與政策的溝通。
對公司內從事資安工作的人員來說,這樣的情況也造成衝擊;有 31% 受訪者表示其資安團隊承受極大的工作壓力,而在近年來全球經濟發展不確定性提高的情況下,有 48% 的受訪者表示,要將資安與公司的發展重點相互結合,也變得更不容易。
由於多數公司對資安的不夠重視,因此導致 35% 公司延遲在資安人員與軟硬體設備方面的投資、34% 公司發生資安策略決策的延遲,更有 27% 公司因而增加了非必要的費用。有 89% 的企業因而發生了資安負面事件,也有 26% 公司遭到更為嚴重的駭侵攻擊。
建議各公司的決策階層人員,能夠更加理解資安和企業業務發展方向結合的重要性,才能有效降低企業面臨的資安風險,避免發生重大資安事件與損失。
twcert 發表在
痞客邦
留言(0)
人氣()
西班牙警方日前破獲一個金融釣魚攻擊犯罪集團,一共逮捕包括駭侵者和其他協助犯罪者等 40 名不法分子;該犯罪集團的不法獲利所得高達 70 萬歐元,受害者超過 30 萬人。
西班牙警方表示,這個名為「Trintarios」的犯罪集團,主要在馬德里與塞維利亞(Seville)兩大城市進行犯罪活動,以釣魚簡訊與釣魚郵件為工具,針對進行金融詐騙攻擊,竊取受害者的信用卡資訊,用以購買加密貨幣,再換為法定貨幣以獲取不法利益。
警方說,遭到逮捕的 40 人,將遭到下列罪名起訴,包括組織犯罪、銀行詐騙、偽造文書、冒用他人身分、洗錢等。
駭侵者透過假冒為銀行的詐騙簡訊,謊稱受害者的信用卡遭到盜刷,或是銀行帳戶遭到冒領,需要受害者使用簡訊中提供的釣魚網頁連結,提供正確的信用卡或帳戶相關資訊,藉以竊取受害者的金融服務登入資訊、各種個資等機敏資訊。
駭侵者也透過釣魚機制的儀表板,在取得受害者的金融服務登入資訊和各種個資後,立即以竊得的資訊來申請貸款,並將受害者的信用卡與其控制的加密貨幣錢包連結,以便盜刷並購買加密貨幣。
警方也說,該犯罪集團也透過多種方式進行洗錢,例如僱用人頭戶來收取銀行轉帳、以 ATM 提款,並以虛設行號的 POS 系統偽造交易等方式洗錢。竊得的資金則用來購置該犯罪集團使用的毒品、槍械武器、資助遭到拘押的該集團成員,其餘款項則匯出到多明尼加共和國,供該集團分子在該國購置房地產。
西班牙警方表示,目前除了繼續追緝可能的在逃分子之外,也積極與國際檢警單位合作,盡一切努力以追回贜款。
建議用戶如接獲宣稱銀行或信用卡因盜刷遭停用的簡訊或 Email,切勿點按其中的連結,或開啟附件;應立即與相關銀行聯絡確認。
twcert 發表在
痞客邦
留言(0)
人氣()
網通大廠 Cisco 旗下的資安研究單位 Cisco Talos,其資安專家發現一個全新的釣魚攻擊「服務」(Phishing-as-a-Service, PhaaS)平台「Greatness」,在多個國家廣泛用於發動針對 Microsoft 365 的釣魚攻擊活動中。
由於 Microsoft 365 雲端生產力服務的全球使用者為數眾多,包括各式大中小型企業、政府單位與個人,因此這類 PhaaS 攻擊可能造成的影響層面甚廣。
Cisco Talos 在報告中指出,「Greatness」PhaaS 平台最初是在 2022 年中推出,其活動在 2022 年 12 月第一次達到高峰;在 2023 年 3 月又再次開始活躍;受該平台發動釣魚攻擊所影響的受害者遍及全球,主要分布在美國、加拿大、英國、澳洲與南非。
在受影響業種方面,主要的受害者分布於製造業、醫療保健業、科技產業、敎育、房地產、營建業、金融業、企業服務等等。
報告指出,「Greatness」PhaaS 平台幾乎包辦一切發動釣魚攻擊所需的要素;欲發動攻擊的駭侵者,只要使用 Greatness 的管理控制台來使用其 API key,並且提供攻擊目標的 email 地址,並且指定釣魚信件的標題與部分內容即可;其餘包括用來發送釣魚信件的伺服器、惡意 HTML 附件的產生等,都由 Greatness PhaaS 平台一手包辦。
受害者一旦開啟 Greatness 釣魚信中的附件,就會看到一個冠上受害者公司 logo 的 Microsoft 365 假登入對話框,用以竊取受害者輸入的 Microsoft 365 登入資訊;接著該惡意頁面就會中繼受害者和真正 Microsoft 365 之間的通訊內容,竊取各種機敏資訊。
建議各機關或個人都應加強對釣魚郵件的警覺,切勿任意開啟來路不明郵件中的附件。
twcert 發表在
痞客邦
留言(0)
人氣()
QR Code 已成為通用全球的便利工具,使用者可利用智慧型手機掃瞄 QR Code 後,快速存取各種網路資源;但近來在全球各地傳出多起不法分子利用 QR Code 假冒會員問卷、停車票卡,實則埋藏惡意連結,造成各種損害。
新加坡海峽時報日前報導指出,一名 60 歲左右的婦人,在一家珍珠奶茶店,以智慧型手機掃瞄了貼在店面牆上的會員問卷 QR Code,想要填寫會員問卷以獲贈一杯免費的飲料,結果不幸遭到駭侵者惡意攻擊。
報導說,婦人以其 Android 手機掃瞄該惡意 QR Code 後,便下載了一個第三方 App 在手機上;婦人以該 App 填寫完問卷資料後,當天半夜突然接獲銀行通知,帳戶已遭盜領達 20,000 美元。資安專家指出,該惡意軟體顯然竊取了受害者手機中的網路銀行登入資訊。
新加坡警方指出,光在 2023 年 3 月,類似案件就有 113 起,共造成 445,000 美元的財損。
此外,在美國與英國各地,近來也頻頻發生類似的攻擊事件。許多將車輛停在停車場內的車主,會遭到駭侵者將假冒的停車計時票卡夾在擋風玻璃上;以發生在美國舊金山的案例而言,駭侵者偽造舊金山交通局(San Francisco Municipal Transportation Agency, SFMTA)製作的停車票卡;車主若以手機掃瞄偽造票卡上的 QR Code,就會進入駭侵者製作偽造 SFMTA 官方網站,其外觀和真實的 SFMTA 官網極為類似,用以詐騙受害者誤將停車費繳交到駭侵者設立的帳戶中。
在英國的案例則是受害者掃瞄假 QR Code 後,會進入釣魚網站並輸入自己的信用卡資料,造成卡片資料外洩並被盜刷。
建議用戶以手機掃瞄 QR Code 後,如果被要求下載軟體,應提高警覺,仔細判斷軟體真偽,且不應授予過多權限;若被導到網站,應仔細觀察網址是否正確無誤,以免遭到釣魚攻擊而造成資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 5 月例行資安更新修補包「Patch Tuesday」,共修復 38 個資安漏洞,其中有 6 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 3 個 0-day 漏洞也獲得修復,這些漏洞已知遭用於攻擊活動。
本月 Patch Tuesday 修復的漏洞數量僅有 38 個,較上個月(2023 年 4 月)的 97 個資安漏洞少了很多,可說是歷來修補漏洞數量最少的一次;其中 6 個屬於嚴重等級的漏洞,分類上全部屬於遠端執行任意程式碼類型,也是各種軟體漏洞中危害最大的一類。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
