美國基因測試公司 23andMe 日前發生的駭侵事件,現在已知共有 690 萬名「其他使用者」的血統世系資料遭到駭侵者竊取,較該公司先前公布的可能受影響人數多上許多。
在 23andMe 於上周五發表的通報中指出,該公司有約 0.1%,相當於 14,000 位顧客資料在 2023 年 10 月時發生的駭侵事件中遭竊,但該公司同時也表示,駭侵者可透過存取這些使用者的帳戶,取得「大量含有其他使用者血統世系資料的檔案」,惟該公司當時並未透過所謂「其他使用者」的數量有多少人。
根據資訊媒體 TechCrunch 的報導指出,在 23andMe 公司發送給 TechCrunch 的信件中,該公司發言人承認,駭侵者可以存取的所謂「其他使用者」個人檔案,包括 550 萬名參與使用該公司「DNA Relatives」功能的使用者;這項功能讓使用者能自動將相關資料分享給其他人。而 23andMe 同時也承認另外還有 140 萬名使用者的家族資料也可能遭駭侵者不當存取。
據指出,遭到竊取的顧客資料欄位,包括使用者姓名、出生年、關係標籤、與親友的相同 DNA 百分比例、血統世系報告書、自我揭露的所在地資料,以及其他使用者主動提供給 23andMe 的資訊。
在今年 10 月初,有一名駭侵者聲稱犯下 23andMe 駭侵攻擊事件,並且在某個知名駭侵討論區中公布了 100 萬名猶太人和 10 萬名中國人的世系資料,並以一個使用者帳號 1 美元到 10 美元的價格求售。兩星期後,該駭侵者又在同一駭侵討論區中販賣另外 400 萬名使用者的世系資料。
建議握有大量使用者資料的公私單位,均應加強資安防護,避免資料遭竊,嚴重影響使用者隱私與權益。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安廠商 WordFence 與 PatchStack 旗下的資安專家,近期發現有駭侵者利用 Email 來散布假冒的 WordPress 資安更新,來散布內含後門外掛程式的惡意軟體;WordPress 系統管理者應提高警覺。
資安專家指出,這封假冒的更新通知信會偽裝成由 WordPress.org 發送,信件恐嚇使用者的 WordPress 中經掃瞄發現嚴重遠端執行任意程式碼漏洞 CVE-2023-45124;信件中要求使用者點按信中提供的連結,以下載修復該漏洞的外掛程式。
一旦使用者按下該連結,就會進入駭侵者架設的假冒 WordPress.org 網站(網址為 en-gb-wordpress[.]org),外觀和真實的 WordPress 官方網站幾乎一模一樣;在畫面上會顯示該惡意外掛有 50 萬次下載,還有不少假冒的使用者五顆星正面評價,誘使使用者受騙下載安裝。
一旦使用者在自己的 WordPress 系統上安裝該外掛程式,該惡意軟體會先新增一個隱藏的管理者帳號,並且會擅自將使用者的各項資訊傳送到駭侵者架設的控制伺服器上;之後該惡意外掛會下載一個以 base64 編碼的後門惡意酬載,將該 php 程式碼存在網站根目錄中,駭侵者即可使用其檔案管理功能、SQL 客戶端、PHP 控制台和指令碼終端機的工具,也能完整存取 WordPress 伺服器的詳細資訊。
由於該惡意軟體在架構上屬於 WordPress 外掛程式,因此使用者如想移除該惡意軟體,就必須手動操作,刪除惡意軟體程式碼與相關資料。
目前尚不清楚該惡意外掛的目的,但資安專家認為可能用來在受害網站中注入惡意廣告版位、將訪客導向至其他網站,或是進行勒贖攻擊等。
建議 WordPress 使用者在接獲類似資安警告信時,勿輕信其內容,更不要點按可疑連結並下載安裝任何外掛。twcert 發表在 痞客邦 留言(0) 人氣(1)
Google 日前發表 Android 2023 年 12 月資安更新修補包,一共修復多達 85 個漏洞,其中有一個嚴重漏洞 CVE-2023-40088,可在無需使用者互動的情形下遠端執行任意程式碼。
CVE-2023-40088 這個漏洞係存於 Android 系統元件之內,為一個免點按 RCE 漏洞,無需任何額外權限即可執行,是這批 85 個已修復漏洞中最嚴重的一個。Google 雖然沒有在資安通報中透露是否已有駭侵者利用該漏洞發動攻擊,但因為本漏洞可在無需使用者互動的情形下進行濫用,因此相當危險。
在這次修復的 85 個漏洞中,另有三個嚴重漏洞 CVE-2023-40077、CVE-2023-40076、CVE-2023-45866,是存於 Android Framework 與系統元件中的權限提升與資訊洩露漏洞。還有一個嚴重漏洞 CVE-2022-40507 則是存於 Qualcomm 閉源元件中。
和過去的 Android 資安修補推出方式類似,Google 也是分為兩波來推出其 12 月份 Android 資安更新;第二波更新除了包括前一波更新的所有修復之外,還外加第三方閉源元件與 Android 核心元件的修復更新;並非所有 Android 裝置都會需要第二波更新中的新增修補內容。
資安專家指出,由於 Android 生態系的複雜性,加上各品牌裝置原廠未必會在第一時間推出包含最新資安更新的韌體更新服務,甚至一些較小的品牌很少推出更新,因此使用者除了應在有更新可升級時立即更新外,也應加強對裝置的資安防護。
除 Google 自行推出與少數品牌 Android 裝置可立即更新外,建議其他品牌裝置應在原廠推出新版韌體後立即更新。twcert 發表在 痞客邦 留言(0) 人氣(2)
資安廠商 The ShadowServer Foundation 日前發表研究報告指出,有數萬台負責 Email 收發的 Microsoft Exchange Server 被發現曝露於外網上,可能因未修補的資安漏洞而輕易遭到攻擊。
The ShadowServer Foundation 在報告中指出,該單位掃瞄網際網路,發現近 20,000 台仍在執行舊版 Microsoft Exchange Server 曝露在公開網路之下;這些版本的 Exchange Server 都已來到其生命周期(end-of-life, EOL),不受資安更新支援,內含多種無法修補的資安漏洞。
報告指出,掃瞄結果顯示有一半以上的這類舊版主機位於歐洲,數量高達 10,000 台以上,在北美有 6,038 台,亞洲則有 2,241 台。
另一家資安廠商 Macnica 提出的數字更為驚人;該公司使用 Shodan 服務掃瞄的結果顯示,曝露於外部網路上的舊版 MS Exchange Server 數量高達 30,635 台;其中有 275 台執行的是 Exchange Server 2007,4,062 台執行 Exchanger Server 2010,26,298 台執行 Exchanger Server 2013。
Macnica 的報告也指出,使用者將舊版 Exchange Server 汰舊換新的速度和數量都明顯不足;數據顯示自今年 4 月以來,全球舊版 Exchange Server 遭到淘汰下線的比例僅有 18%。
The ShadowServer Foundation 的報告也指出,這些舊版 Exchange Server 內含多個嚴重資安漏洞如 CVE-2021-26855(ProxyLogon)、CVE-2021-27065 等,駭侵者可藉以遠端執行任意程式碼。
建議系統管理者應即檢查系統內所有已無法獲取資安更新的老舊系統,並予以汰換為較新版本,以避免遭駭侵者以已知漏洞發動攻擊得逞。twcert 發表在 痞客邦 留言(0) 人氣(10)
Apple 近日推出緊急資安更新,修復 2 個存於 iPhone、Pad 與 Mac 設備中新發現的 2 個 0-day 漏洞 CVE-2023-42916 與 CVE-2023-42917,使用者應立即套用更新。
CVE-2023-42916 與 CVE-2023-42917 都是存於 WebKit 瀏覽器引擎,屬於越界讀取漏洞;駭侵者可利用特製的網頁來誘發記憶體崩潰,藉以竊取使用者的機敏資訊,甚至執行任意程式碼。
Apple 也在對外發表的資安更新通報中指出,該公司已獲悉這兩個漏洞已遭駭侵者用於駭侵攻擊之中的情報;遭到攻擊的是執行 iOS 16.7.1 先前版本的 iOS 設備。
Apple 也列出受到影響的各種設備型號,受影響裝置範圍相當廣泛:twcert 發表在 痞客邦 留言(0) 人氣(0)
Eurocom 旗下的資安專家,近日發現針對藍牙連線通訊的全新攻擊方法 BLUFFS;這些攻擊手法可以介入裝置間的藍牙加密通訊,除可假扮成連線對象裝置外,還可發動各種中間人攻擊(Man-in-the-middle attacks)。
BLUFFS 一共包括六種攻擊手段,其運作原理係應用四個不同的藍牙標準漏洞(其中兩個是未被發現的新漏洞);這些漏洞發生於裝置間進行藍牙連線時的連線階段解密金鑰的交換流程。
利用這些漏洞的組合,BLUFFS 可以產生出長度較短、較易預測出來的 SKC 金鑰,接著再利用暴力試誤法來試圖解碼藍牙通訊的內容,以便假扮藍牙通訊中的通訊方,進而發動後續的中間人攻擊。
Eurocom 的研究人員不只發展出理論上的攻擊手法,同時也開發出概念驗證工具,可實際進行模擬攻擊;由於該漏洞存於藍牙通訊的基礎架構上,因此不分硬體製造商,所有從 Bluetooth 4.2 到 2023 年 2 月方才發布的最新版本 Bluetooth 5.4,都含有此漏洞。
Eurocom 在研究報告中也提供了對多種市售藍牙晶片與裝置的攻擊結果,各大廠牌推出的各種產品中的藍牙晶片幾乎無一倖免,全部可以使用 BLUFFS 中的六種攻擊手法加以攻擊得逞。
藍牙標準制定者 Bluetooth SIG 已接獲 Eurocom 的通報,並建議廠商在實作藍牙連線時提高加密金鑰長度限制,並使用 Mode 4 Level 4,並在裝置配對時使用 Secure Connection Only 模式,即可避免遭到 BLUFFS 攻擊。twcert 發表在 痞客邦 留言(0) 人氣(9)
歐洲刑警組織(Europol)、歐洲檢察官組織(Eurojust)日前會同七國執法單位,在烏克蘭境內多處同步執行搜索,成功破獲一個大型勒贖集團,遭該集團攻擊的受害者多達 1,700 個,分布遍及全球 71 國。
超過 20 名來自挪威、法國、德國、美國的調查人員,在行動開始前夕於烏克蘭首都基輔會合,並在荷蘭設立協調行動用的虛擬指揮中心,會同烏克蘭警方於該國境內 30 處以上地點,於 2023 年 11 月 21 日同步展開執法行動。展開搜索行動的城市包括 Kiev、Cherkasy、Rivne、Vinnytsia 等地。
警方行動大有斬獲,不只成功逮捕該勒贖集團的 32 歲首腦,同時也逮捕其他四名集團成員,並扣押多種犯罪相關工具與證物,包括電腦系統、多片 SIM 卡與大量電子犯罪記錄等。
據 Europol 發表的新聞稿指出,該勒贖團體同時利用多種不同的勒贖工具進行攻擊,使用的惡意軟體包括 LockerGoga、MegaCortex、HIVE、Dharma 等;在進行攻擊後,該團體會要求受害企業以比特幣將贖款匯款到指定的加密貨幣交易所帳號,以換取解密用的金鑰。
Europol 也指出,該團體通常先透過暴力試誤法與 SQL 注入攻擊,以及夾帶惡意軟體附檔的釣魚信件,來取得受害企業系統的登入資訊,之後再利用 TrickBot、Cobalt Strike、PowerShell Empire 等惡意軟體來操控受害企業的內網,再啟動勒贖軟體。所有受害企業合計有超過 250 台伺服器遭到加密攻擊,損失高達數億歐元。
建議各公私單位必須強化資安防護與人員教育訓練,避免勒贖團體利用資安漏洞或釣魚成功,因而遭到攻擊,蒙受重大損失。twcert 發表在 痞客邦 留言(0) 人氣(2)
Google 於近日針對 Chrome 瀏覽器中的一個 0-day 漏洞 CVE-2023-6345 發表緊急更新,廣大 Google Chrome 使用者均應立即更新瀏覽器。這是 Google Chrome 今年第六個被發現的 0-day 漏洞。
這個 0-day 漏洞 CVE-2023-6345 存於 Skia 開源 2D 繪圖程式庫中,屬於整數溢位錯誤;駭侵者可利用此漏洞來誘發系統崩潰,進而執行任意程式碼。該漏洞所在的 Skia 繪圖引擎程式庫,同樣也使用於多種軟體如 ChromeOS、Android 與 Flutter 中。
該漏洞是由 Google Threat Analysis Group (Google TAG) 旗下的資安專家所發現;Google TAG 長期以來就擅於發現各種 0-day 漏洞;而該單位發現的 0-day 漏洞,經常會遭到駭侵團體用於攻擊各種重要人士。
Google 也在相關資安通報中指出,該公司已接獲 CVE-2023-6345 已遭駭侵者廣泛用於攻擊活動的情資。這個漏洞的 CVSS 危險程度評分為 8.8 分(滿分為 10 分),危險程度評級為「高」(High)。
這個漏洞對所有平台的 Google Chrome 都造成影響,包括 Windows、macOS 和 Linux 平台;Google 也已在 Stable Desktop channel 中推出更新,使用應立即在 Chrome 中選取更新功能,將其 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。
建議 Chrome 使用者應立即將 Chrome 瀏覽器更新到 Windows 版 119.0.6045.199/.200、macOS 與 Linux 版更新至 119.0.6045.199。twcert 發表在 痞客邦 留言(0) 人氣(10)
東歐國家斯洛維尼亞最大電力公司 Holding Slovenske Elektrarne (HSE),日前遭到勒贖攻擊,導致該公司部分系統與檔案遭到破壞;但該公司表示供電並未受到影響。
HSE 的電力供應,占斯洛維尼亞國內電力消費的 60% 以上,因此算是該國關鍵基礎設施之一。該公司係於 2001 年由斯洛維尼亞政府設立,目前屬於政府持有的國營企業;其發電方式相當多樣,包括水力發電、火力發電、太陽能發電,甚至還擁有煤礦。HSE 同時也在義大利、賽爾維亞與匈牙利設有分支機構。
據當地媒體報導,攻擊事件係發生於 2023 年 11 月 22 日,該公司於 11 月 24 日發現攻擊事件後,隨即通報斯國資安主管機關,並與警察單位、第三方資安業者與專家合作處理,避免災情擴大到斯洛維尼亞其他機構與系統。
據 HSE 在官方聲明中表示,該公司尚未接獲任何支付贖款的要求,且受到影響的系統,目前侷限於 Sostanj 火力發電廠與 Velenje 煤礦;該公司的供電能力與供電系統運作保持正常。
當地的資安專家指出,這次攻擊事件很可能與 Rhysida 勒贖團體有關;美國資安主管機關 FBI 與 CISA 日前曾針對 Rhysida 勒贈團體的攻擊技術、策略與手段發布資安警訊。
資安專家表示,由於 Rhysida 在攻擊後,通常只會以 Email 來通知受害者,要求受害者以信內提供的密碼,到該團體在暗網設立的網站登入以「協商」贖款,在 Email 中不會有贖金相關金額的資訊。
建議各關鍵基礎設施應加強各類資安防護能力,避免因勒贖或其他型態的資安攻擊,而導致資料外洩,甚至無法正常運作。twcert 發表在 痞客邦 留言(0) 人氣(1)
資安媒體報導,近日一次勒贖攻擊造成獨立遊戲 Ethyrial: Echos of Yore 中所有 17,000 玩家的帳號資料,以及帳號中儲存的遊戲中寶物與進度全部遭到刪除。
Ethyrial: Echos of Yore 是由獨立遊戲開發廠商 Gellyberry Studios 開發的多人線上角色扮演遊戲,提供使用者免費遊玩;但玩家也可以選擇每月付費以支持遊戲開發。該遊戲仍在早期開發階段,最近開始在 Steam 遊戲平台上開始提供「搶先體驗」版,提供玩家嘗鮮體驗,然而卻在近日遭到勒贖攻擊。
在遭到攻擊後,Gellyberry 於官方 Discord 聊天室發表公告,指出該遊戲在上周五清晨突然遭到不明來源攻擊,伺服器中所有的資料和備份檔都遭到加密鎖定,駭客並要求支付數額不明的比特幣贖金;該公司鑑於多個案例在支付贖金後仍無法取得解鎖密鑰,因此決定不予支付,並且將手動重建伺服器,並且建立新的帳號與遊戲角色資料庫。
Gellyberry 表示,受到影響的 17,000 名玩家,其帳號與儲存的遊戲進度、遊戲內寶物都將復原,並且還會獲得一個進階版的遊戲寵物,以感謝玩家對這段期間不便之處的支持與體諒。
Gellyberry 也表示,為防範這類攻擊再度影響玩家權益與遊戲開發運作,今後會提高遊戲資料庫的離線備份頻率,同時要求所有連線到開發伺服器時必須使用 P2P VPN,並且限制可存取的 IP 網段。
受到影響的玩家須註冊一個新帳號,然後要求平台進行手動資料復原。
服務大批用戶的平台營運者,必須強化資安防護措施,以免因各類攻擊造成服務中斷,或是使用者機敏資訊外洩。twcert 發表在 痞客邦 留言(0) 人氣(0)
資安宣導 (2)