網通廠商 Palo Alto Networks 旗下的資安研究人員發表報告《2023 雲端原生資安狀況報告》(2023 State of Cloud-Native Security Report) 指出,有 90% 單位表示無法自行在 1 小時內發現、處理並解決資安威脅。
報告指出,在 Covid-19 疫情期間,各公私單位擴大雲端服務使用達 25% 以上,但也因此面臨更大的雲端資安挑戰,且雲端應用在開發期間若未注意資安防護,因而產生的資安漏洞,將在應用上線後帶來極大資安威脅。
報告顯示,有 75% 的組織每周會在雲端布署新增或更新的程式碼,甚至有 40% 會每日進行程式碼更新,但沒有任何組織能夠負荷同等的資安防護心力。
報告也指出,許多單位在將應用移往雲端時,仍舊難以完整對應可能帶來的資安威脅與技術困難;有 78% 受訪單位表示將雲端服務的安全責任分散到各單位,而非以單一資安團隊因應,而有 47% 表示旗下員工並不了解對應的資安責任。
另外,這些單位也難以選用適合的資安防護工具,許多單位都同時採用多種不同的資安防護工具,平均的使用種類達 30 種以上,其中只有 6 到 10 種是專門針對雲端的資安防護。這造成管理人員無法輕鬆了解整體資安防護狀況,有高達 76% 組織指出這麼多種的資安防護工具,反而造成資安防護的盲點。
Palo Alto Networks 在報告中指出,駭侵者利用組織資安漏洞發動攻擊的動作通常十分快速,在雲端服務中曝露在 Internet 下的資料,遭到攻擊得逞的所需時間往往只要數分鐘;即時偵測攻擊發生並立即排除,成為雲端應用資安的一大挑戰。
建議各單位在開始轉用雲端服務時,對於整體資安策略應有通盤性的考量,其解決方案也應考量易用性、可擴充性與可見度,並設置專責資安單位,以強化資安防護層級,並加速遭攻擊時的反應速度。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局 (Federal Bureau of Investigation, FBI) 目前正在調查一起與美國國會議員與工作人員相關的個資外洩事件;該起資安事件肇因於一家專門服務美國國會議員、工作人員與家屬的醫療機構 DC Health Link 遭到駭侵攻擊,導致上述人員的個資被竊。
據首先報導本事件的媒體 DailyCaller 指出,美國國會行政單位立即發送電子郵件通報給所有可能遭到影響的人員,在信中表示 DC Health Link 於近日遭到嚴重駭侵攻擊,導致該機構數千名客戶的個人身分可辨識資訊 (Personal Identifiable Information) 遭到外洩。
該信也指出,目前並不清楚這次攻擊的影響範圍有多大,但 FBI 已指出包括國會議員與相關工作人員的個資已遭竊取。
該信也表示,目前的資訊顯示這次攻擊行動並非專門鎖定國會議員進行攻擊。
據資安專業媒體 Bleeping Computer 指出,這批 DC Health Link 的遭竊資料,至少有一部分已經遭到一個稱為 IntelBroker 的駭侵者貼上某駭侵論壇加以出售;在駭侵者公布的這批資料表頭顯示,這批資料一共包括 17 萬個用戶帳號,資料欄位包括姓名、出生年月日、住址、Email 地址、電話號碼、社會安全碼 (Social Security Number, SSN) 等多達數十種資料。
駭侵者 IntelBroker 要求購買者以難以追蹤金流的 Monero (XMR) 加密貨幣來購買,購買所需金額則沒有透露;駭侵者也說至少已有一個買家購買了該批資料。
建議存有大量用戶機敏資訊的單位,應全面加強各項資訊系統的資安防護層級,並將資料庫內的資訊加密儲存,以免遭竊後造成機敏資訊外洩。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前推出 2023 年 3 月 Android 資安更新,共修復多達 60 個資安漏洞,其中包括 2 個嚴重等級的遠端任意程式碼執行漏洞,影響 Android 11、12、13 等版本。
這次的更新以兩波推出,分別是 2023-03-01 與 2023-03-05;第一波包括 31 個 Android 元件如 Framework、系統與 Google Play 的更新;第二波則包括 29 個位於 Android 核心與 MediaTek、Unisoc、Qualcomm 等第三方廠商元件的更新。
Google 指出,在第一波更新中,有一個存於 Android 系統的漏洞最為嚴重,可在無需用戶互動,也不需提升執行權限的情形下,遠端執行任意程式碼;另有兩個危險程度評級為「嚴重」等級的遠端執行任意程式碼漏洞 CVE-2023-20951、CVE-2023-20954,Google 為了避免其遭駭侵者利用,未提供相關資訊。
而在第二波更新中兩個嚴重等級的漏洞 CVE-2022-33213 與 CVE-2022-33256,則是存於 Qualcomm 未公開源碼的元件,分別發生在 Qualcomm 的 Data Modem 與 Multi-code Call Processor 中。這兩個漏洞將由 Qualcomm 另行提供說明與更新方式。
第二波中其他來自 Qualcomm、MediaTek 和 Unisoc 的漏洞,Google 在其資安通報中也表示,解決方案也將由各由各原廠自行提供。
Android 裝置用戶可按下「設定」-> 「系統」->「系統更新」->「檢查更新」或「設定」->「安全性與隱私」->「更新」->「安全性更新」等來進行更新,以修補已知漏洞。至於 Android 10 用戶,由於該系統已結束其生命周期,因此將無法取得安全性更新;建議升級至搭載最新版本 Android 系統的裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Quarkslab 旗下的資安研究人員,近日發現 PC 主機板上的硬體安全機制 TPM 2.0 含有兩個安全漏洞,可讓駭侵者取得電腦中如加密金鑰之類的機敏資料,甚至加以覆寫。
TPM 2.0 是 Windows 11 在系統啟動時必須存有的硬體加密機制,可以加密儲存一些重要的加密金鑰、密碼與其他重要機敏資料,以供 Measured Boot、Device Ecnryption、Windows Defender System Guard (DRTM)、Device Health Attestation 等 Windows 內建的資安防護機制使用,以加強 Windows 系統的安全性。
Quarkslabs 發現的這兩個漏洞,分別為 CVE-2023-1017 與 CVE-2023-1018;CVE-2023-1017 屬於越界讀取漏洞,而 CVE-2023-1018 則是越界寫入漏洞。這兩個漏洞都源自某些 TPM 指令在進行參數特殊處理的錯誤,可讓未經授權的本地攻擊者以發送特製指令的方式,誘發這兩個漏洞發生錯誤,進而透過 TPM 來執行程式碼,藉以竊得機敏資訊,甚至提高執行權限。
開發 TPM 機制的 Trusted Computing Group 組織,針對這兩個漏洞推出新版 TPM 標準,分別如下:
twcert 發表在
痞客邦
留言(0)
人氣()
專門製造硬體加密貨幣冷錢包的 Trezor 公司,近日發布資安警訊,指出該公司遭到駭侵者冒名藉以發動釣魚攻擊活動,意圖騙取使用者設定的錢包復原短語,將用戶加密資金盜領一空。
Trezor 等公司製造生產的這類加密貨幣硬體錢包,可以讓用戶離線儲存自己的加密貨幣資產,是比連網的「熱錢包|更為安全的加密貨幣儲存方式,因此有相當多加密貨幣投資人使用這種裝置儲存數位資產。
用戶在使用這類加密貨幣錢包存入數位資產前,必須先設定一組 12 到 24 個字元組成的「復原短語」;日後要存取數位資產時,必須先將硬體錢包插上電腦的 USB 埠,然後輸入正確的復原短語才能進行。這波針對 Trezor 硬體錢包的攻擊活動,就是以竊取用戶的復原短語為目標。
據 Trezor 指出,從 2023 年 2 月 27 日開始,有許多 Trezor 用戶收到駭侵者發送的簡訊與 Email 訊息,內容指稱該公司因發生駭侵事件導致用戶資料遭竊,影響用戶的資金安全性;駭侵者並在訊息中附上一個釣魚網址,要求用戶連上該網址以確保資金安全。
用戶點按該網址後,會被導至假冒的 Trezor 官方網頁;如果用戶按下網頁中的按鈕,網頁就會要求用戶輸入自己的復原短語;一旦用戶輸入了正確的復原短語,錢包中的加密貨幣資產立即就會被盜領一空。
Trezor 指出,該公司近期並未發生任何被駭事件,也絕不會透過簡訊或電話聯絡用戶;不過 Trezor 並未說明駭侵者如何取得該產品用戶的聯絡方式。
建議加密貨幣投資者應時時提高警覺,除了勿隨意點按不明連結外,也絕對不要將相關冷熱錢包的復原短語告知任何人,以免資產遭到盜領。
twcert 發表在
痞客邦
留言(0)
人氣()
南韓資安廠商 AhnLab Security Emergency Response Center (ASEC) 日前發表研究報告,指出該公司最近偵測到一個針對遊戲玩家的全新一波攻擊活動,以假冒任天堂與 Steam 破解版遊戲虛擬主機硬碟檔 (Virtual hard disk, VHD) 的形式來散布;玩家如不慎安裝,會遭到植入 ChromeLoader 惡意軟體,遭到駭侵者以多種方式發動後續攻擊。
ASEC 的報告中指出,ChromeLoader 是在 2022 年發現的瀏覽器挾持惡意軟體,原本的功能是竊取各種登入資訊,但在多次改版之後,加入更多攻擊可能性;除了竊取機敏資訊以外,也能布署惡意軟體,或是在系統中投擲「解壓縮炸彈」,導致用戶嚴重損失。
ASEC 指出,這波攻擊以各種熱門 Nintendo 與 Steam 平台上遊戲的破解版為誘餌,吸引想免費玩遊戲大作的玩家上鉤;遭到冒名的遊戲包括「艾爾登法環」(Elden Ring)、黑暗靈魂三 (Dark Souls III)、碧血狂殺二 (Red Dead Redemption 2)、極速快感 (Need for Speed)、決勝時刻 (Call of Duty)、薩爾達傳說:曠野之息 (The Legend of Zelda: Breath of the Wild)、瑪利歐賽車 8 豪華版 (Mario Kart 8 Deluxe)、超級瑪利歐 奧德賽 (Super Mario Odyssey) 等,甚至也包括工作用軟體 Microsoft Office 與 Adobe Photoshop 在內。
為避免電腦遭到惡意軟體植入發動攻擊,建議各單位與個人應避免自不明來源處下載號稱破解版的軟體或遊戲,也不要下載使用所謂「註冊機」。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近期開始研究在韌體層面強化 Android 作業系統安全性的各種做法,包括處理器以及其單晶片系統上的其他元件,如無線通訊、媒體運算、安全防護等模組,試圖補強過去飽受詬病的各種 Android 系統資安防護弱點。
Google 表示,過去已有大量攻擊與駭侵案例,係經由 Android 裝置中的次要處理元件之韌體與漏洞來發動攻擊。近期該公司密集與 Android 生態系中的合作夥伴進行合作,以改善系統元件與韌體在和 Android 系統溝通過程中的安全機制,包括以下重點:
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家 Dominic Alvieri 日前發現,有駭侵者利用近來熱門的「生成式人工智慧軟體」(Generative AI software) ChatGPT 的熱潮,推出假冒 ChatGPT 的惡意 Windows 與 Android 軟體,以攻擊上當受騙的使用者,在其裝置中植入惡意程式,或是將使用者導向釣魚網頁。
由人工智慧新創公司 OpenAI 於日前公開發表的 ChatGPT,引發了全球性的 AI 熱潮,光在 2023 年 1 月就吸引超過 1 億名用戶試用。為了減少計算資源與頻寬的大量支出,OpenAI 推出每月收費 20 美元的進階版本 ChatGPT Plus,原先免費試用的版本則開始限制其可用次數。
資安專家指出,有多組駭侵者利用 ChatGPT 近來的熱潮,假冒其名義推出免費使用進階版本 ChatGPT Plus 的「服務」,藉以引誘用戶安裝內含惡意程式碼的假冒軟體。Dominic Alvieri 就發現名為 Chatteo AI Chat GPT 和 Smart AI Chatbot 的可疑 App 出現在 Google Play Store 和其他第三方 Android App Store 中,甚至刊登廣告,企圖混淆視聽,誘使用戶下載。
資安廠商 Cyble 也指出一個叫做 chatgpy-go.online 的網頁,也假冒成 ChatGPT,但實際上內含會竊取 Windows 剪貼簿內容的惡意程式碼,甚至含有一個名為 Aurora Stealer 的資訊竊取惡意軟體。
Cyble 進一步指出,根據該公司的統計,有超過 50 個以上的惡意 App 假冒 ChatGPT 的圖示,並使用類似名稱以魚目混珠,以在用戶裝置上安裝各種惡意軟體,用戶不可不防。
目前 ChatGPT 只有一個官方網址 chat.openai.com,而且未提供任何作業系統版本的桌面或行動 App;建議想使用 ChatGPT 的用戶必須特別提高警覺,勿使用任何不明來源網頁或應用程式,以免遭到駭侵攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
南韓行動裝置大廠 Samsung 近日為旗下 Galaxy 系列行動裝置推出全新防護機制「Samsung Message Guard」,能夠阻擋聊天軟體傳來含有惡意程式碼的檔案,以「零互動」方式觸發裝置漏洞進行攻擊。
Samsung 指出,「Samsung Message Guard」功能,可立即分析透過各種訊息傳送過來的檔案是否具有資安威脅性,並在其造成破壞之前先行封鎖。
所謂「零互動」攻擊方式是一種複雜成熟的攻擊技巧,透過攻擊某些軟硬體漏洞,以完全不需要以螢幕顯示或操作來和用戶互動的方式,自動執行後續的攻擊行動,例如植入惡意軟體進行監控、資料竊取、大量顯示廣告、訂閱高價服務或發動釣魚攻擊等。
零互動攻擊一個有名的案例,是透過 NSO 的 Pegasus 間諜軟體,利用 Apple iMessage 的 KISMET 和 FORCEDENTRY 漏洞,來針對多國政治人物與媒體記者進行監控。
針對這種攻擊方式,Apple 於 iOS 16 中引進「鎖定模式」(lockdown mode),讓高危險攻擊對象可採用這種模式,限制各種軟硬體資源的存取,藉以提高資安防護能力。
而 Samsung 推出的「Samsung Message Guard」則是一種在手機中與系統隔開的虛擬空間, 透過訊息程式傳來的 PNG、JPG、JPEG、GIF、ICO、WEBP、BMP、WBMP 檔會先存放於該空間內進行檢測,如果發現可能內含惡意軟體,這樣檔案就會遭到封鎖,無法與裝置作業系統進行互動。
Samsung 指出,Samsung Message Guard 會以背景方式在手機中自動執行,無需用戶手動啟用。此一新資安防護機制已於 Galaxy S23 機種上推出,日後會陸續於執行 Samsung One UI 5.1 與後續版本的其他 Samsung Galaxy 裝置上推出。
鑑於零互動攻擊對手機用戶往往造成嚴重資安威脅,Samsung 行動裝置用戶應隨時注意更新消息,在該機制可用時立即進行更新。
twcert 發表在
痞客邦
留言(0)
人氣()
大型社群平台 Twitter 日前宣布將逐步取消對未付費用戶以簡訊發送二階段登入驗證碼,僅有付費用戶可以透過 Twitter 直接收到簡訊驗證碼;為此資安專家提供多種更為安全的替代方案,以讓廣大的未付費 Twitter 用戶擁有更高的安全性。
Twitter 於日前在官方部落格發表的公告中指出,該平台將在 2023 年 3 月 20 日起,全面取消未持有 Twitter Blue 認證標誌用戶以簡訊收取二階段登入驗證碼的服務;未來只有付費取得 Twitter Blue 認證標誌的用戶,才可透過簡訊收取二階段登入驗證碼。
Twitter 執行長 Elon Musk 在自己的推文中指出,Twitter 每年因為假帳號產生的簡訊驗證碼費用高達 6,000 萬美元。
為維持用戶登入安全,Twitter 另外提供兩種替代方案,分別是採用軟體產生隨機二階段登入驗證碼,以及使用硬體安全金鑰。
資安專家指出,雖然很多人可能會批評 Twitter 取消簡訊驗證碼發送的措施,但從資安角度來看,這反而提高了用戶的帳號安全性。主因在駭侵者可透過多種方式,輕易攔截用戶接收的簡訊驗證碼,例如 SIM-Swap 攻擊,或透過用戶裝置中的惡意軟體來獲取驗證碼。
專家建議用戶可採用具備雲端備份功能的 Authy 或 Microsoft Authenticator 來產生 Twitter 專用的二階段登入碼,這樣即使手機遺失,也不會失去帳號的存取權限。
根據 Twitter 發表的帳號安全報告指出,在 2021 年 7 月到 12 月間,僅有 2.6% 的 Twitter 用戶啟用二階段登入驗證,比例極低;而在這批用戶中,有 74.4% 使用簡訊接收登入驗證碼,28.9% 使用驗證碼產生軟體,0.5% 採用硬體安全金鑰。
簡訊驗證碼的安全性較低,建議用戶可趁此機會改用 Authy 或 Microsoft Authenticator 等具雲端備份功能的二階段驗證碼產生工具,以提高帳號的資安防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
歐洲刑警組織 (Europol) 日前宣布破獲一個由法國人與以色列人共同組成的駭侵團體,該團體透過企業 Email 攻擊,偽裝多家公司執行長發信指示員工匯款,進而騙取巨額不法所得。
Europol 指出,在該團體犯下的多起案件中,其中一件針對單一公司的攻擊不法所得就高達 3,800 萬歐元,約合 4,030 萬美元。
駭客為避免金流遭到追蹤,使用多重洗錢手法;不法所得輾轉經由歐洲、中國轉匯,最後匯到以色列進行提領。Europol 一共執行 8 次搜索行動,一共逮捕 6 名法國人和 2 名以色列人,查緝 510 萬歐元的銀行存款與 35 萬歐元加密貨幣。
Europol 表示,這次能夠順利破案,有賴 Europol 與多國警方與相關執法人員通力合作,包括 Eurupol 本身、法國、克羅埃西亞、匈牙利、葡萄牙、西班牙等國的檢警人員與資安專家都參與偵辦。
Euporol 指出,駭侵者發動的攻擊活動,屬於企業電子郵件攻擊 (Business Email Compromise, BEC);駭客駭入目標企業的個人裝置或電子郵件系統,並監視公務通訊內容,當發現有大額轉帳付款時,便偽裝成企業執行長或該企業的客戶,並指示經辦人員將款項轉匯到駭侵者控制的銀行帳戶內。
2021 年 12 月時,這個駭侵團體也曾假冒法國一家大型治金工廠的執行長,成功將高達 30 萬歐元的款項以詐騙手法轉至匈牙境內的銀行帳戶;數日後該駭侵者試圖再次進行詐騙 50 萬歐元時,因該公司已報警而遭到攔截。
建議各公司行號的出納經辦人員,在收到可疑的轉帳目標改變命令時,務必提高警覺,於第一時間向主管與資安單位報告確認,以免發生巨額資金損失。
twcert 發表在
痞客邦
留言(0)
人氣()
挪威警方 (Økokrim) 日前宣布破獲 Lazarus 駭侵團體在去年針對熱門區塊鏈遊戲 Axie Infinity 漏洞發動攻擊所竊得的大量加密貨幣資產,總值為 6000 萬克朗,相當於 580 萬美元。
Økokrim 指出,這筆加密貨幣贜款是由 Lazarus 駭侵團體,針對發行熱門區塊鏈邊玩邊賺遊戲 Axie Infinity 的發行公司 Sky Mavis,在 2022 年所進行的攻擊不法所得。Lazarus 於去年 3 月攻擊該遊戲的 Robin bridge 協定,對其部分區塊驗證者取得控制權後,隨即偽造兩筆未經授權的巨額交易,總損失金額高到 6.2 億美元。
Økokrim 說,這是在挪威緝獲的史上最高額贜款;在該局偵辦人員鍥而不捨地全力偵辦,查出不法分子的洗錢路徑,最後終於破獲部分該案被竊款項。
美國聯邦調查局 (Federal Bureau of Investigation) 指出,Lazarus 駭侵團體是在該案發生前數個月,以魚叉式釣魚攻擊手法,在求職網站上針對 Sky Mavis 員工展開假冒的挖角攻擊,要求受挖角員工填寫含有惡意程式碼的假冒履歷文件,使該駭侵團體可以入侵 Sky Mavis 的內部系統。FBI 說,這是 Lazarus 進行加密貨幣竊取攻擊的慣用手法。
Økokrim 表示,這次成功破案,有賴於多國警政與資安單位合作,才能順利破案;其中包括美國 FBI 專家支援追踨駭客的加密貨幣轉帳路線。緝獲的贜款將交由 Sky Mavis 補償蒙受損失的用戶。
建議在金融業、加密貨幣產業或其他機敏事業單位工作的員工,需隨時對各種不明的郵件、檔案或連結提高警覺,以免成為魚叉式釣魚攻擊的對象,造成所屬組織與其用戶的巨額損失。
twcert 發表在
痞客邦
留言(0)
人氣()
