南韓資安廠商 ASEC 發現有駭侵者透過假冒的寶可夢 NFT 卡牌遊戲釣魚網站,以投資 NFT 獲利為誘餌,來吸引用戶安裝含有 NetSupport RAT 遠端遙控組件的惡意軟體,藉以控制用戶的 Windows 電腦。
遭 ASEC 旗下資安專家發現的該釣魚網站,其網域是「Pokemon-go[.]io」,在資安媒體報導此事件時仍未下線;該網站宣稱提供玩家免費下載寶可夢卡牌遊戲,並在遊玩時賺取獲得 NFT;但實際上用戶一旦按下網頁中的「Play on PC」按鈕,會下載回來的就是惡意軟體 NetSupport RAT。
雖然 NetSupport 本身並不是惡意軟體,而是正常的遠端遙控工具,但在 ASEC 發現的多個案例中,駭侵者利用 NetSupport 來與其控制伺服器連線,讓駭侵者可以遠端控制受害者的 Windows 裝置,接著可以開始竊取受害電腦中的各種機敏資訊,包括用戶個資、工作檔案,甚至進一步安裝更多惡意軟體,或利用該電腦來進行惡意軟體散布等等。
ASEC 指出,該團隊於 2022 年 12 月首次發現駭侵者利用假冒寶可夢來進行攻擊的案例,而在過去也有疑似同一批駭侵者假冒 Microsoft Visual Studio 開發軟體之名,來散布 NetSupport RAT 的案例發生過。
由於 NetSupport 本身具備眾多功能,包括遠端遙控電腦、螢幕錄影、逺端群組控制與各種連線選項等,因此電腦一旦遭到植入 NetSupport RAT,駭侵者就如入無人之境,因此可能帶來極大的損害。
建議 Windows 用戶應提高警覺,除定期更新系統,安裝大廠防毒防駭工具外,也應絕對避免點按不明來源的連結,或安裝號稱為破解版的任何軟體,以避免遭到惡意軟體植入攻擊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
近期由於政府宣布將普發現金還稅於民,詐騙集團也利用此訊息發送釣魚簡訊進行詐騙。詐騙簡訊係以假冒政府機關名義,以快速領取現金為由,誘騙民眾點擊簡訊內的釣魚連結。提醒民眾若收到類似的釣魚簡訊或郵件,請務必特別留意,以免上當受騙而造成個資外洩或財物損失。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦通訊委員會(Federal Communication Commission, FCC)日前提出新規定,將加強執行聯邦法律,通令各電信業需加快用戶相關資料遭竊外洩事件,提早通報以讓用戶知悉。
FCC 的新規定,包括刪除目前各電信業者在發布用戶資料遭竊通報前需間隔七天的規定,且要求電信業者一旦發生較大入侵事件時,需同時向多個聯邦機關提出通報,包括聯邦調查局(Federal Bureau of Investigation, FBI)、美國特別勤務局(Secret Service)與 FCC。
FCC 對外指出,該局為了加快用戶獲悉自身個資可能遭竊的速度,刪除顯已不合時宜的七天通報間隔日期,並要求電信業者同時通報多個相關聯邦機關,以確保相關機關可在第一時間掌握駭侵事件,
FCC 先前對電信業者與 VoIP 業者發生駭侵事件的通報規定,係發布於 2007 年;鑑於近年來駭侵事件的速度、強度和影響層面不斷提升,舊有法規顯已不符時代需求,因此刪除間隔七日才發布通報的規定,希望能強化處理速度。
近年來美國相關電信業者接連發生用戶資料遭竊的駭侵事件,如 2022 年 12 月 有 Comcast Xfinity 的二階段用戶登入驗證遭駭侵者跳過竊取資訊、10 月 Verizon 的預付卡客戶信用卡資訊遭竊、4 月時 T-Mobile 遭 Lapsus$ 侵入其內部系統發動勒贖攻擊等。
鑑於電信業者擁有大量用戶機敏資訊,因此常為駭侵攻擊的最佳目標;除電信業者本身應不斷提高資安防護措施外,用戶也應加強自身資安防護能力,例如使用複雜登入密碼、啟用二階段登入驗證,且不任意提供登入資訊給不明人士。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ThreatFabric 日前發表研究報告,指出該公司發現有一個名為 SpyNote 的 Android 惡意軟體,其手機感染案例數量在 2022 年第四季時,疑似因其原始程式碼的外流而大量增加,Android 手機用戶應立即提高警覺。
這個 Android 惡意軟體 SpyNote 又名 SpyMax,其最新版本的原始程式碼稱為「CypherRat」,具備的駭侵攻擊功能包括 GPS 所在位置追蹤、竊取裝置內資訊與活動情形等,若用於金融相關惡意軟體,可以假冒為銀行機構,竊取用戶的帳戶資訊。
原本 CypherRat 是在 2021 年 8 月到 2022 年 10 月間透過一個 Telegram 私人頻道來進行販售,後來其作者將原始碼於 GitHub 上公開,接下來在駭侵論壇上就出現許多假冒該專案進行的詐騙事件。
在 CypherRat 原始碼公開後,許多駭侵者將之編寫到自己開發的惡意軟體,並開始發動大量駭侵攻擊;目前遭到最嚴重攻擊的對象是匯豐銀行與德意志銀行(Deutsch Bank)。
此外,ThreatFabric 也發現其他採用 CypherRat 的變種惡意軟體,偽裝為 Google Play Store、WhatsApp、Facebook 等知名熱門 App,以擴大感染層面。
報告分析指出,所有 SpyNote 的變種,都會透過 Android 的輔助使用功能來要求各種權限,以便安裝 App、攔截簡訊內容(以竊取二階段登入驗證碼)、竊聽來電、盜錄裝置上的影像與音訊等。
建議 Android 裝置用戶除應安裝大廠出品的防毒防駭軟體外,不要在官方應用程式商店之外的地方安裝任何軟體;如有軟體要求過多存取權限,也應立即拒絕並且移除該軟體。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
南韓資安廠商 ASEC 旗下的資安專家,發現近來有許多駭侵攻擊活動,利用以 SHC(Shell Script Compiler)編譯的惡意軟體,在遭到入侵的 Linux 主機上安裝挖礦工具與 DDoS 僵屍網路。目前被害主機以南韓境內的伺服器為主。
SHC 是一種 Linux 上的通用 shell 指令檔編譯器,可以將 Bash 的 shell script 編譯成 Linux 與 UNIX 系統的 ELF 可執行檔。
報告指出,駭侵者通常先以暴力試誤法,入侵管理者帳號未受適當保護的 Linux 主機後,再利用經由 SHC 編譯過的惡意軟體來布署挖礦軟體或 DDoS 僵屍網路節點。
專家表示,通常以 Shell script 指令碼編寫的惡意軟體,由於內含許多以明文儲存的關鍵系統指令,因此很容易被系統上安裝的防毒防駭軟體截獲;但由於以 SHC 編譯過的 Shell script 會以 RC4 演算法編碼成 ELF 檔,因此不易偵測,駭侵者可用以逃過資安防護關卡。
ASEC 在報告中指出,在這波攻擊中觀察到 SHC 惡意軟體會在成功入侵後,於系統中安裝多種惡意軟體酬載,例如用以挖掘 Monero 加密貨幣的 XMRig 挖礦軟體,以及以 Perl 寫作的 DDoS IRC 僵屍機器人程式。
報告指出,一旦該 IRC 僵屍惡意軟體安裝成功,就會連上某台 IRC 伺服器,等待駭侵者透過聊天頻道發送多種 DDoS 相關攻擊指令並加以執行,包括各種通訊協定如 TCP、 UDP、HTTP 洪水攻擊、連接埠掃瞄等。
鑑於此類攻擊通常選擇管理者帳號防護薄弱的主機為目標,因此務必變更主機的預設管理員帳號與密碼,同時採用二階段登入驗證;較敏感的主機更需以防火牆隔離於外部 Internet。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API,遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資,甚至造成車輛遭挾持的漏洞;這個漏洞在近期已獲修復。
據 Sam Curry 團隊發表的研究報告指出,這些汽車製造與服務大廠的 API 資安漏洞,可能造成駭侵者進行各種攻擊活動,包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。
報告指出,有此問題的車廠品牌多達近 20 家,包括 BMW、Rolls-Royce、Mercedes-Benz、Ferrari、Porsche、Jaguar、Land Rover、Ford、KIA、Honda、Infiniti、Nissan、Acura、Hyundai、Toyota、Genesis。
此外,多家汽車零組件與服務廠如 Spireon、Reviver 與串流服務 SiriusXM 的 API 也含有該漏洞。
以狀況最嚴重的 Mercedes-Benz 來說,該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組,並且連上用戶的車輛。而在 BMW 方面,研究人員也能透過該 API 存取經銷商專用內網入口,查詢任何車輛的序號(VIN)、並且存取內部專用的各種應用程式。
目前各大廠均已修復報告中提到的漏洞,不過用戶仍需提高警覺。
建議車主應盡量減少登錄在車廠或 App 中的個資,使用強式密碼,並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證,以強化資安防護。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安媒體 BleepingComuter 近日發現一批多達 2 億名 Twitter 用戶 Email 地址的資料,在某一熱門駭侵論壇上遭到賤價出售;放上這批資料的駭侵者,開價僅要求 8 個論壇點數,要價約 2 美元。
據 BleepingComputer 的驗證,這批流出資料中的 Email 地址正確性很高。
BleepingComputer 在報導中指出,自 2022 年 6 月 22 起,在多個駭侵論壇與暗網就出現有人兜售大量竊自 Twitter 的使用者資料,包括用戶的電話號碼與 Email 地址。這批資料係為駭侵者於 2021 年時利用 Twitter API 的漏洞來竊得。
雖然 Twitter 在 2022 年 1 月時修復了該 API 的漏洞,但已有許多駭侵者在駭侵論壇或暗網中免費釋出先前竊得的用戶個資。
最近則有駭侵者開始販賣一批約有 4 億名 Twitter 用戶的個資,而今天這批 2 億名用戶的 Email 地址,極可能是整理自前述的 4 億名用戶個資,將重複資料去除後的結果,一共內含 221,608,729 名 Twitter 用戶的 Email 地址。
BleepingComputer 取得這批資料後,得到一個內含 6 個文字檔,解壓縮後大小共 59 GB 的 RAR 壓縮檔;文字檔的內容包括各 Twitter 用戶的姓名、顯示名稱、Email 地址、追蹤人數、帳號註冊日期等欄位。
雖然這批外流的資料中,較機敏的欄位僅含有用戶的 Email 地址,不含其他可識別身分的個資,但駭侵者仍可藉由這些 Email 地址來發動釣魚攻擊;Twitter 用戶最近應提高警覺,勿點選可疑郵件中的連結或開啟附檔。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
波蘭政府日前發表最新資安警訊,指出多種駭侵攻擊活動不但正在同時進行,其攻擊強度也不斷加強;包括對該國各政府機關的 DDoS 攻擊,以及對其一般人民的釣魚詐騙攻擊等。
波蘭政府在警訊中指出,來自俄羅斯的駭侵攻擊,對波蘭境內的多個公共部門目標發動多種攻擊,受害對象除了包括政府的行政與民意單位外,也包括多個重點能源與軍需供應單位,以及其他關鍵設施等。
波蘭政府說,顯然是因為波蘭對烏克蘭的各種支持,導致俄羅斯加強對該國的網路攻擊。
在警訊中公布的第一個攻擊案例,是俄羅斯針對波蘭國會官方網站發動的分散式服務阻斷攻擊(Distributed Denial of Service, DDoS),疑由駭侵團體 NoName057(16) 所發動;在攻擊隔天波蘭國會宣布此為俄羅斯國家級恐怖行動後,攻擊強度加劇,導致波蘭國會官網完全無法提供服務。
另一起在警訊中公布的相關駭侵攻擊活動,則由經歐盟認定為與俄羅斯軍事情報系統 GRU 有關的駭侵團體「GhostWriter」發動;駭侵者以類似波蘭政府官方網站的網域名稱,來設立釣魚詐騙網站,詐稱波蘭居民可透過該網站領取由歐盟出資的紓困補助金,如欲領取必須先匯出小額款項至指定帳戶以進行身分認證。
波蘭政府在警訊中指出,除了上述案例外,駭侵者也經常透過各種方式散布假消息,或是收集各種機敏情資供其情報或軍事單位使用。GhostWriter 過去就曾假冒為立陶宛、拉脫維亞與波蘭記者,對各國民眾散布反各國政府與北約的假訊息。
建議各政府單位與民防單位,以及與軍事、情報、媒體有關的公私單位,除加強設備面的資安防護能力,在人員訓練方面亦應強化敵我意識與資安觀念、操作方法的訓練,以防範並減輕遭敵對勢力強力攻擊時的損失。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Emsisoft 日前發表統計報告指出,2022 年全年,美國全境有多達 200 個以上各種公用事業單位遭到勒贖攻擊,被攻擊的公用事業對象包括各級地方政府、大專院校等各級學校、醫療機構等單位。據 Emsisoft 整理自公開資料所得到結果指出,去年一年美國境內共有 105 個郡縣級政府單位、44 所大專院校、45 所其他學校校區與 24 所醫療保健機構,曾經遭到規模不等的勒贖攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
哥倫比亞最大的能源公司 Empresas Públicas de Medellín (EPM),日前遭到一個名為 BlackCat/ALPHV 勒贖軟體的攻擊,導致該公司部分營運活動受阻,部分網路系統也因而離線,無法提供服務。
EPM 是哥倫比亞最大的綜合公共能源公司,供應水、電、燃油、瓦斯等重要民生工業物資,服務範圍廣達 123 個城鎮或地區。該公司隷屬於哥倫比亞 Medellin 自治區,2022 年至今的營業額高達 220 億美元。
該公司疑似於 2022 年 12 月 12 日遭到 BlackCat 的攻擊,其內部 IT 系統無法運作,且公司官網也無法正常連線;該公司於 12 月 13 日公告,要求近 4,000 名員工在家上班。
EMP 隨即對當地媒體證實遭到勒贖攻擊,並且發布資安通報,證實有部分裝置內的資料遭到加密鎖定,資料亦可能遭到竊取;該公司也提供客戶多種替代繳費方式,但該公司沒有透露駭侵攻擊行動本身的內容,也沒有公布駭侵者相關資訊。
資安專業媒體 BleepingComputer 於相關報導中指出,該媒體發現一個稱為 BlackCat/ALPHV 的勒贖團體,宣稱發起這起攻擊事件,並且在攻擊行動中竊得 EMP 的內部資料。
不過資安專家發現,BlackCat/APLHV 將竊得的資料上傳到一個未經妥善保護的網路主機,因此知道網址的任何人都可以存取該批資料;資安專家分析這批資料後,認為可能竊取自 40 台 EPM 的內部電腦。
建議列為關鍵基礎設施的公私營業者,特別是水電燃氣之類攸關國計民生的重要物資供應商,都必須加強各種資安防護能力,以防遭駭侵團體發動勒贖或其他攻擊,因而影響公司運作與重要物資的供應。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
加密貨幣交易所 Gemini 日前發布資安通報,指出該交易所用戶目前正遭到大規模釣魚攻擊,名單可能來自駭侵者自第三方取得的該交易所約有 570 萬名客戶的聯絡資訊。
Gemini 是在多個駭侵相關論壇中出現多篇試圖兜售號稱來自該交易所的客戶名單貼文後,對外發表該資安通報。在這些論壇貼文中試圖販售的用戶個資,包括 Gemini 用戶的電話號碼與 Email 地址等聯絡資訊。
據資安媒體 BleepingComputer 指出,早在 2022 年 9 月起,就有人在駭侵相關論壇上出售竊取自 Gemini 交易所的用戶資訊;當時的貼文者開價 30 枚比特幣,以目前的比特幣價格,約合 520,000 美元。
而在 10 月與 11 月時,陸續又有不同 ID 的貼文,試圖出售來自 Gemini 與其他加密貨幣交易所的用戶個資;不過也有貼文承認所販售的個資,在電話部分並不包括中間三碼在內。
資安專家表示,駭侵者針對加密貨幣交易所的用戶發動釣魚攻擊,其目的明顯就是要竊取用戶存在數位錢包中的資金;典型的攻擊方式就是以各種理由,如以巨額獎勵誘惑,或以停權威脅用戶,誘使用戶開啟信件中帶有惡意軟體的夾檔或連結,在用戶的電腦中植入惡意軟體,接著再竊取用戶數位錢包內的加密貨幣等資產。
鑑於加密貨幣交易所屢傳各類資安事件,建議用戶除了應啟用二階段登入驗證,保護自己在交易所的帳號安全外,也應將數位資產存在離線冷錢包內;勿輕率點按 Email 中的各種不明連結與夾檔,以防數位資產遭到竊取,蒙受財務損失。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Mandiant 日前發表研究報告,指出該公司發現有駭侵團體透過植入惡意軟體的 Windows 10 安裝 ISO 檔,攻擊烏克蘭政府所屬單位,入侵其內部網路系統。
據 Mandiant 的報告指出,這波攻擊係透過 P2P 檔案分享網路 BitTorrent 的網站進行;駭侵者將木馬惡意軟體植入 Windows 10 安裝光碟映像檔,藉以發動供應鏈攻擊。
Mandiant 將這波攻擊行動代號命名為「UNC4166」。該公司在分析烏克蘭政府受到攻擊的部分單位內網時,發現被植入的木馬主要以竊取機密資訊為主,傳送到駭侵者控制伺服器的貟訊,並未含有可用以竊取財物的資訊,也不含任何勒贖工具或加密貨幣挖礦程式。
Mandiant 說,駭侵者在初步入侵受害系統後,隨即進一步布署多種惡意後門 Stowaway、Beacon、Sparepart 等,以便讓駭侵者控制受駭系統、執行指令與程式碼、傳送檔案、竊取資訊如登入帳密和鍵盤輸入等。
Mandiant 也發現一些在 2022 年 7 月預先排程好的工作,以便透過 PowerShell 取得駭侵者下達的進一步攻擊指令。
Mandiant 在報告中指出,這次烏克蘭政府受到攻擊的單位,過去也曾遭到 APT 駭侵團體 APT28 的攻擊。
建議擁有機敏資訊的各公私單位或個人,在安裝軟體時務必循正規管道,使用經驗證安全性可靠的正版軟體,切勿透過 P2P 或社群平台連結安裝來路不明的盜版軟體或所謂破解工具、註冊機,以免遭到植入惡意軟體。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
