Apple 近日發表 iOS 15.7.4 與 iPadOS 15.7.4,其中針對舊款 iPhone 與 iPad 上已遭大規模濫用於攻擊的一個 0-day 漏洞進行修復。
這個 CVE-2023-23529 0-day 漏洞發生在 WebKit 瀏覽器子系統中,屬於類型混淆漏洞;駭侵者可利用特製的網頁內容來誘發此漏洞,造成作業系統崩潰,進而取得足夠權限,在受害的 iPhone 或 iPad 上執行任意程式碼,也可以取得該系統控制權。
本漏洞的 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),危險程度評級為「高」(high)等級。
在此次更新中,Apple 強化了類型檢查的強度,以避免此漏洞的發生。
Apple 在 iOS 15.7.4 與 iPad 15.7.4 的發行註記說明中表示,該公司已得知此漏洞已遭大規模用於駭侵攻擊的情報;不過在該說明中並未明確指出攻擊活動的相關情報。
這個漏洞影響的 Apple iPhone 與 iPad 機型,以舊款為主,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)、iPod Touch(第 7 代)等。
除了上述的 CVE-2023-23529 0-day 漏洞外,Apple 在這次發行的 iOS 15.7.4 與 iPadOS 15.7.4 更新中,也修復了另外 15 個資安漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Guardio 旗下的資安研究人員,近期發現一個正常的 Google Chrome 擴充套件 ChatGPT for Google,遭到駭侵者植入惡意程式碼,以竊取用戶的 Facebook 帳號控制權。
研究人員發現這個 Google Chrome 擴充套件,在 Google Chrome web store 上相當受歡迎,目前已有超過 9000 次以上的下載安裝次數。
研究人員指出,該擴充套件首次於 2023 年 2 月 14 日上架到 Chrome Web Store,但一個月後才開始在 Google 搜尋頁面投放關鍵字廣告,之後每天都有上千次下載安裝數量。
研究人員發現該擴充套件在使用時,會連線到先前已遭 Google 移除的惡意擴充套件相同的伺服器;該惡意擴充套件同樣也是宣稱以提供 ChatGPT 功能為號召,因此研究人員認為新的惡意擴充套件是與舊版相同的攻擊活動。
用戶點按搜尋引擎上顯示的廣告後,會連到一個假冒的詐騙 ChatGPT for Google 頁面,再導向到該套件在 Chrome Web Store 上的安裝頁面;用戶安裝該套件後,雖然確實可以使用 ChatGPT 提供的服務,但套件中的惡意程式碼會試圖竊取用於存在瀏覽器中的 Facebook session cookie,導致駭侵者取得受害者的 Facebook 帳號控制權。
駭侵者隨即會竄改使用者設定的登入密碼,導致用戶無法再次存取自己的 Facebook 帳號,甚至還會把用戶的個人顯示名稱與大頭貼改掉。
鑑於 ChatGPT 等生成式 AI 工具近期引發的熱潮,許多駭侵者以此名目進行冒名詐騙攻擊,投放各式假冒 App、擴充套件或釣魚網站;建議用戶在搜尋使用這類工具時,必須提高警覺,避免使用非官方出品的 App、擴充套件或網站。
twcert 發表在
痞客邦
留言(0)
人氣()
惡名昭彰的駭侵攻擊相關論壇 Breached 近日宣布關閉,不再提供交流,原因是管理者認為該網站的伺服器很可能已遭司法單位掌握。
Breached 駭侵論壇過去專門提供駭侵者放置竊自各企業、政府單位或其他組織的資料,供駭侵者展示並販賣。由於這些功能,Breached 吸引了各式網路犯罪分子,包括勒贖團體、資料竊取者、資安研究人員、黑帽駭客、或是對網路犯罪技術有興趣的各色人等。
過去有許多著名的駭侵攻擊行動,包括資料竊取、勒贖攻擊等,都與該網站有關,受害者包括許多大型公司,例如 DC Health Link、Twitter、RobinHood、Acer、Activition 等。
該論壇是在一個已遭破獲的駭侵論壇 RaidFuroms 之後成立的,RaidForums 也和許多大規模資料竊取案件有關,並於去(2022)年 4 月遭到美國聯邦調查局 (Federal Bureau of Investigation, FBI)破獲,其創辦人 Omnipotent 在倫敦落網。
Breached 論壇是在上周五開始停止服務,原因是其創辦人兼擁有者 Pompompurin 在三月中遭到 FBI 逮捕,罪名為協助他人販賣未經授權的存取工具。
在 Pompompurin 被捕後,該網站管理人員 Baphomet 曾試圖先關站,然後將論壇網站搬遷到另一難以追蹤的網路主機,以逃避司法追緝;但 Baphomet 後來表示連該主機都可能遭到司法單位掌握,因此取消了復站計畫。目前論壇上的參與者都轉往 Telegram 頻道上繼續互動。
建議擁有各種機敏資訊的單位,應加強資安防護能力,以免其機敏資訊遭到竊取後,被放上這類網站外洩或販賣。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Mandiant 近期發表 2022 年 0-day 漏洞濫用研究報告,指出駭侵者持續使用 0-day 漏洞發動惡意攻擊;報告指出,2022 年有 55 個 0-day 漏洞遭大規模濫用,其中大部分漏洞來自 Microsoft、Google 和 Apple 產品。
遭駭侵者濫用的 0-day 漏洞共有 55 個,其中有 53 個可讓駭侵者在受害裝置上提升其執行權限,或是遠端執行任意程式碼。
以遭攻擊產品而來說,2022 年 Microsoft Windows 共有 15 個 0-day 漏洞遭利用,Chrome 排名第二,有 9 個遭濫用的 0-day 漏洞,iOS排名第三,有 5 個 0-day 漏洞,macOS 排名第四,有四個 0-day 漏洞。
報告說,由於 0-day 漏洞是在開發者得知或發表修補程式之前,就遭到駭侵者利用的漏洞,因此幾乎沒有任何保護或監控措施可用於保護,因而成為駭侵者樂於使用的攻擊目標。
Mandiant 於 2022 年追蹤 13 個 0-day 漏洞的濫用情形,據其報告指出,駭侵者使用 7 個 0-day 漏洞發動攻擊,主要攻擊作業系統、網路瀏覽器和網路管理產品,以進行網路問諜攻擊為主,佔比達 50%以上。另外有 4 個 0-day 漏洞用於金融方面的攻擊,其中又有 75% 的攻擊屬於勒贖。
在 2021年,駭侵者利用了 81 個 0-day 漏洞發動資安攻擊入侵,2022 年的數字略有下降;然而,2022 年受到濫用的 0-day 漏洞的數量也比 2021 年之外的年份來得多。Mandiant 預計在 2023 年,這一趨勢將繼續上升。
建議企業和個人用戶應採取以下措施:及時更新作業系統、網路瀏覽器和其他軟體;使用網路安全防護產品,如防火牆和入侵檢測系統,並加強內部網路監控,以便及時發現各種可疑活動,並增強人員的資安意識與教育訓練。
twcert 發表在
痞客邦
留言(0)
人氣()
烏克蘭網路警察宣佈逮捕一名涉嫌製作遠端存取木馬(RAT)惡意軟體的開發者;該惡意軟體對外冒充為遊戲應用程式,已感染多達一萬多台電腦設備。
警方指出,該惡意軟體開發者將其惡意軟體偽裝為電腦遊戲;在警方捕獲該嫌犯時,該駭侵者已可即時存取 600 台遭感染的電腦,且能自受害者處下載檔案,竊取各種安全憑證、植入各種惡意軟體酬載、遠端安裝或刪除任何程式、竊取螢幕截圖,並攔截電腦麥克風和攝影機取得的聲音或影片。
駭侵者竊得這些資料後,也存取受害者的帳戶,以竊取「電子資金」,但目前還不清楚被竊的是網路銀行存款還是加密貨幣資產。
警方在搜索駭侵者住處時,發現了該駭侵者用於操作惡意軟體並發動工具的電腦系統;這些裝置目前已遭警方沒入並展開進一步的調查。目前還不清楚受害者是否僅限於烏克蘭境內,或包括其他國家的電腦與使用者。
烏克蘭警方並未提供有關駭客如何散布惡意軟體的詳細資訊。以往類似的惡意軟體,多半以透過 YouTube 影片來宣傳其偽造的遊戲外掛模組、作弊工具,也會藉由 Google 關鍵字廣告、惡意廣告、社群媒體行銷活動、直接訊息傳遞和電子郵件等方式來進行散布。
被捕嫌犯現在面臨刑事控告,罪名是違反烏克蘭犯罪法第 361 條第 5 段之未經授權進行(自動化)資訊、電子通訊、資訊和通訊系統以及電子通訊網路的干擾。上述最高刑責為 15 年有期徒刑。
烏克蘭國警察持續在努力應對日漸猖獗的網路犯罪活動,破獲多起網路犯罪案件,包括僵屍網路、勒贖團體,以及針對該國政府與能源基礎設施的多起攻擊事件。
鑑於假冒為遊戲或付費應用程式破解版的惡意軟體愈來愈多,各用戶應完全避免安裝來路不明的所謂破解版、註冊機或外掛程式,以確保不受惡意軟體植入。
twcert 發表在
痞客邦
留言(0)
人氣()
據 Cybersecurityhelp 網站近期發布的 Google Pixel 安全漏洞通報指出,近期 Google Pixel 系列手機共發現多達 120 個資安漏洞。
這批多達 120 個資安漏洞中,以其危險程度評級來說,並沒有被列為「嚴重」(critical) 等級的資安漏洞;列為「高」(high) 等級的有 7 個、「中」(medium) 的有 1 個,其餘的都屬於「低」(low) 危險等級資安漏洞。
屬於「高」危險等級的有以下數個漏洞較值得注意:
twcert 發表在
痞客邦
留言(0)
人氣()
由於雲端服務具有高擴展性、高方便性以及高運算彈性,因此企業透過雲端部署服務的比例逐漸增長。然而駭客逐漸改變攻擊模式,鎖定雲端服務,而雲端服務的漏洞數量也不斷增長,企業在處理雲端安全的議題時,仍以傳統資安架構及防禦模式來處理,因此容易形成資安防禦層面的缺口。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 旗下的資安研究團隊 Project Zero 日前發表資安通報指出,該團隊的研究人員在 Samsung 用於行動裝置、穿戴式裝置與汽車中的 Exynos 晶片組,一口氣發現多達 18 個 0-day 資安漏洞。
該團隊是在 2022 年末到 2023 年初之間,在 Exynos 晶片組的 Modem 內發現多個安全漏洞,在 18 個漏洞中有 4 個的危險程度極高,可讓駭侵者自外網入侵裝置的基頻 (Baseband),並且遠端執行任意程式碼。
據報告指出,這 4 個遠端執行任意程式碼漏洞(其中一個為 CVE-2023-24033,另外三個尚無 CVE 編號),可讓攻擊者在無需任何使用者互動的隱密情形下遠端入侵設備,並遠端執行任意程式碼。
Samsung 也在自行發表的漏洞資安通報中表示,Exynos 晶片組中的基頻軟體未能妥善檢查由 SDP 指定之接受類型的格式,導致駭侵者可在基頻晶片中發動服務阻斷攻擊 (Denial of Service, DoS),或是遠端執行任意程式碼。
Google Project Zero 的報告也指出,駭侵者只需要擁有受害者的手機電話號碼,即可發動攻擊。
其他 14 個 Exynos 晶片組中的漏洞,其危險程度較低,但仍有一定程度的資安風險;攻擊者需實際操作受害手機,或利用惡意行動網路才能發動攻擊。
受此漏洞影響的行動裝置不限於 Samsung 品牌,只要是採用 Exynos 晶片組的裝置都受到影響,包括:
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 3 月例行資安更新修補包「Patch Tuesday」,共修復多達 83 個資安漏洞,其中有 9 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 2 個 0-day 漏洞也獲得修復,這些漏洞已知遭用於攻擊活動。
本月 Patch Tuesday 修復的漏洞數量較上個月(2023 年 2 月)的 77 個資安漏洞略多一些,達 83 個;其中 9 個屬於嚴重等級的漏洞,分類上包括遠端執行任意程式碼、分散式服務阻斷 (Distributed Denial of Service, DDoS),以及權限提升類型。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
由位於英國的 Eular Labs 推出的加密貨幣借貸協定 Euler Finance 於日前遭到駭侵者發動攻擊,多種加密貨幣資產遭竊,總額高達 1.97 億美元。
駭侵事件發生於本(2023)年 3 月 12 日,不明身分的駭侵者,利用該協定閃電貸款 (flash loan) 的漏洞,成功竊取多種加密貨幣資產,包括價值 875 萬美元的 DAI、1850 萬美元的 WBTC、3385 萬美元的 USDC,以及 1.358 億美元的 stETH。
閃電貸是一種去中心化加密貨幣交易所提供的服務,可讓使用者在無擔保,無抵押的情形下快速借出加密資產進行操作;借貸者須在交易資料寫入區塊前的極短時間 (多半在數秒內) 內償還貸款,否則將會取消使用者的貸款。通常用於快速借款投資套利。
這次 Euler Finance 遭到攻擊的部分,就是其閃電貸智慧合約的安全漏洞,在借出資金後竄改借貸額度,在數秒後還款金額遠低於借貸出來的資產金額,藉以獲得極大的不法所得。
資安專家指出,這次攻擊所使用的漏洞,發生在 Euler Finance 在資金驗證機制上未能完整驗證的漏洞。駭侵者同時扮演借貸者與平倉者兩種角色,透過相互操弄, 以閃電貸借出 3000 萬美元的 DAI,在利用該漏洞後,獲得高達 880 萬美元的不法獲利。
雖然駭侵者使用的以太幣數位錢包已遭到追蹤,理論上可以掌握所有金流,但也有專家指出駭侵者早已先一步使用遭到多國禁用加密貨幣混合服務 Tonardo Cash 來進行洗錢因此仍然難以追蹤。
建議加密貨幣交易協定應更加嚴格審視智慧合約的安全性,並交由專業區塊鏈資安公司進行稽核,以儘量減少這類漏洞的存在。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Mandiant 近日發表研究報告指出, UNC2970 駭侵團體近來針對美國和歐洲境內的資安研究人員與媒體發動攻擊,手法是透過 LinkedIn 發送詐騙工作機會給攻擊對象,藉以植入全新惡意軟體。
據 Mandiant 的報告指出,駭侵者先在 LinkedIn 假裝為獵才中的人力資源人員,以相當優渥的工作機會和薪酬,引誘被列為攻擊目標的對象與其聯絡,在雙方「相談甚歡」後,再引誘對方改用 WhatsApp 進行溝通,然後對受害者投放三種全新的惡意軟體,以進一步入侵受害者服務中的單位。
Mandiant 表示,觀察到駭侵者會冒用許多知名公司(如紐約時報)來發送工作說明書 Word 檔案給受害者;而該 Word 檔的巨集會執行遠端範本注入,自某個遭到挾持用以當作駭侵控制伺服器的 WordPress 網站中,取得一份已經遭到修改為木馬的 TightVNC,將其改名為「LidShift」安裝在受害者的電腦上。
接著 LidShift 會載入一個修改自 NotePad++ 外掛程式的加密 DLL (稱為「LidShot」)作為惡意軟體下載安裝工具,將其安裝到系統記憶體中,接著載入另一個全新的客製化惡意軟體安裝工具「TouchShift」,偽裝成合法的 Windows 二進位檔,接著就利用各種惡意軟體模組來進行鍵盤記錄、螢幕擷取、隧道通訊、後門監控,還能進一步下載更多惡意軟體模組。
建議各企業員工在 LinkedIn 上應對不正常高薪酬的工作機會提高警覺,當對方要求到其他防護能力較差的社群平台上溝通時,應立即拒絕並斷絕溝通往來,同時切勿開啟任何對方傳送的不明檔案與連結。
twcert 發表在
痞客邦
留言(0)
人氣()
網路基礎建設供應商 Akamai 日前表示,該公司某一位在亞太地區的客戶,日前遭到強大的分散式服務阻斷 (Distributed Denial of Service, DDoS) 攻擊,攻擊強度峰值最高達 900.1 Gbps 以上,所幸 Akamai 成功阻擋該次攻擊,未造成該客戶網路服務中斷。
DDoS 攻擊方式為針對目標網站,在短時間內發動大量垃圾連線請求,受害者的網路伺服器難以負荷之下,造成服務中斷、App 停止運作等攻擊效果;駭侵者通常會因為各種原因如政治訴求、報復、地緣政治因素或對受害者進行勒贖等原因而發動攻擊。
Akamai 指出,這次攻擊活動發生在本 (2023) 年 2 月 23 日,持續時間約 1 分鐘左右,攻擊量高達 900.1 Gbps,每秒的資料封包數量高達 1.582 億個,成為該客戶有史以來遭到最強烈的 DDoS 攻擊行動。
據 Akamai 的分析結果指出,這波攻擊行動由該公司的流量清洗網路成功化解,主要的流量被清洗到該公司設於香港、東京、聖保羅、新加坡、大阪等地的中心。
Akamai 也表示,這波攻擊中有 48% 的惡意 DDoS 流量由其亞太區的流量清洗機制承受,但該公司全球 26 個流量清洗中心都參與攻擊對抗,沒有任何一個流量清洗中心承受的流量超過總流量的 15%。
Akamai 指出,該目標客戶的網路服務在攻擊之下仍正常運作,並未受到直接或間接的影響。
到目前為止發生過的 DDoS 攻擊中,流量最大的是發生在 2021 年 11 月時,針對 Mircrosoft Azure 亞洲區發動的攻擊,當時的瞬間最大流量高達 3.47 Tbps。
有鑑於 DDoS 的強度日益提高,除了各易受攻擊的組織應有因應方案之外,建議一般用戶也應注意自身裝置的資安防護,以免遭惡意軟體植入,成為發動 DDoS 的僵屍網路一環。
twcert 發表在
痞客邦
留言(0)
人氣()
