資安廠商 ESET 發現一個名為「MirrorFace」的駭侵團體,自 2022 年 7 月起,利用一個過去未曾發現的惡意軟體「MirrorStealer」,針對特定日本政治人物進行駭侵攻擊。
ESET 的研究人員指出,這場駭侵攻擊活動始於 2022 年 7 月,正好是日本舉行國會大選的數周之前;涉嫌發動攻擊的駭侵團體疑似是 MirrorFace。
ESET 在報告中指出,MirrorFace 針對特定日本政治實體與人物,首先以夾帶有惡意軟體的釣魚信件,發送給特定目標,要求他們開啟信件中的 RAR 檔案,將解壓縮後得到的影片檔,分享到自己所有的社群媒體頻道中;而在 RAR 檔案解壓縮後,就會出現含有 MirrorStealer 惡意軟體的 .exe 檔。
遭到攻擊的對象一旦開啟該 .exe 檔,就會被安裝一個名為 LODEINFO 的後門惡意軟體;LODEINFO 可用於偷偷擷取螢幕畫面、記錄鍵盤輸入、停止某些程序運作、匯出檔案、執行各種指令與檔案等。
而在這波攻擊行動中,LODEINFO 實際竊取的是受害日本政治實體與人物所有電腦中,瀏覽器與 Email 應用程式內儲存的各種登入資訊以及 cookie;取得這些資訊後,即會將這些資訊傳送到駭侵者設立的控制伺服器。
駭侵者目前大多仍透過內含惡意夾檔的釣魚郵件來進行駭侵攻擊,因此各關鍵公私單位人員,應避免任意開啟郵件夾檔;儘可能利用 Web Mail 在遠端預覽夾檔內容,如有可疑檔案,應即通報資安單位調查。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 近日指出,近 75% 製造業使用的物聯網系統(Internet of Things, IoT)、資訊科技(Information Technology,IT)系統與營運科技 (Operational Technology,OT)系統,沒有進行必須的資安漏洞修補,因此暴露在高度資安風險中。
Microsoft 在最新一期的「The Cyber Signal」資安專刊中指出,自其收集的每日 43 兆個資安相關信號資料,由全球 8500 位資安專家分析,得到以下必須注意的警訊數字:製造業採用的知名大廠各種工控產品,含有已知高危險漏洞的數量,自 2020 年到 2022 年間增加了 78%;在 Microsoft 客戶的 OT 網路中,有高達 75% 的常見工控設備未經修補,含有高危險漏洞。超過 100 萬台連線 IoT 裝置仍在執行停止支援已久的 Boa 軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近日在最新發表的 iOS、iPadOS、tvOS、macOS 等多種作業系統中,修復了一個存於 WebKit 組件中的 0-day 漏洞;該漏洞可讓駭侵者利用特製的網頁,在受駭系統上執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2022-42856,是一種存於 Apple WebKit 網頁瀏覽器引擎中的形別混淆錯誤(Type Confusion),由 Google 旗下的 Threat Analysis Group 的資安研究人員發現。
研究人員指出,駭侵者可利用特製的網頁程式碼來誘發此錯誤,並在裝置上執行任意程式碼,以在作業系統中執行惡意軟體,或是進一步下載後續的惡意程式或監控軟體酬載,以發動進一步的攻擊。
這次 Apple 推出的 0-day 漏洞更新,置於新推出的 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1。Apple 也在更新說明中表示,該漏洞可能已遭駭侵者大規模用於攻擊活動。
受此漏洞影響的 Apple 裝置,包括 iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE (第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
建議使用上述機種機型的用戶,應立即透過作業系統更新,修補所有已知的資安漏洞,以防駭侵者利用尚未修補的漏洞趁虛而入。CVE編號:CVE-2022-42856影響產品(版本): iPhone 6s 所有機型、iPhone 7 所有機型、iPhone SE(第 1 代)、iPad Pro 所有機型、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。解決方案:升級至 iOS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2 與 macOS Ventura 13.1 與後續版本作業系統。 參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2022 年 12 月例行資安更新修補包「Patch Tuesday」,共修復 49 個資安漏洞,其中有 6 個是屬於「嚴重」(Critical) 危險程度的漏洞,另有 2 個 0-day 漏洞也獲得修復,其中有 1 個已知遭用於攻擊活動。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:權限提升漏洞:19 個;資安防護功能略過漏洞:2 個;遠端執行任意程式碼漏洞:23 個;資訊洩露漏洞:3 個;服務阻斷(Denial of Service)漏洞:3 個;假冒詐騙漏洞:1 個。
twcert 發表在
痞客邦
留言(0)
人氣()
網通大廠 Juniper Networks 旗下的資安研究人員,日前發現一個過去未曾發現的 Python 後門,專門攻擊VMware ESXi 伺服器,駭侵者能藉以在遭駭侵系統上遠端執行。
VMware ESXi 是一種廣受企業使用的虛擬化平台,可以高效率地運用主機的 CPU 與記憶體資源,同時執行多個伺服器。
Juniper Networks 發現的新後門,很可能是利用兩個十分老舊,存於 VMware ESXi OpenSLP 的漏洞 CVE-2019-5544 與 CVE-2020-3992 來發動攻擊;駭侵者在 /etc/ec.local.d/local.sh 這個指令檔中加上 7 行 Python 指令,啟動一個 web server,以接受來自駭侵者的密碼保護 POST 要求;這些要求可以攜帶以 base-64 編碼的惡意軟體酬載,或是在主機上啟用一個 reverse shell 連上駭侵者的控制伺服器。這種手法可以避免防火牆的阻擋。
Juniper 的資安研究人員,在實際攻擊案例中觀察到駭侵者利用此方式,更改 ESXi 的反向 http proxy 設定,使其可以遠端控制該主機,並發動進一步的駭侵攻擊。
建議措施:Juniper 提供的暫時處理方案指出,VWware ESXi 伺服器的管理者,應立即檢查伺服器的 /etc/ec.local.d/local.sh 檔案中,是否多出報告中列出的 7 行惡意 Python 程式碼,如發現異常,應徹底檢查主機是否有可疑的設定變更。此外,也應設定 ESXi 主機僅能透過可信賴的主機進行連線。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ThreatFabric 日前發表資安研究報告,指出該公司發現一個暗網上的平台 Zombinder,可讓駭侵者將惡意程式碼植入正版的 Android 應用程式中,再誘騙用戶安裝,以散布惡意軟體。
該公司是在追蹤近期一些散布惡意 Windows 與 Android 惡意軟體的攻擊活動中,發現了這個位在暗網內的惡意軟體平台。
ThreatFabric 發現的 Zombinder,是個可以將惡意程式碼包裝成 APK 檔,附加在原始正版的各種 Android 應用軟體內。該平台在 2022 年 3 月開始活動,近來愈來愈受駭侵社群界的歡迎,使用率愈來愈高。
ThreatFabric 指出,目前觀察到遭到植入的 Android 正版軟體,包括一個足球比賽實況串流 App、以及遭到竄改的 Instagram App。
ThreatFabric 說,這些遭到植入惡意程式碼的 App,由於真正的程式碼並未遭到刪改,因此運作起來就和正版 App 一樣正常,但由 Zombinder 植入了惡意程式碼的載入器;這段載入器程式碼會設法逃過防毒防駭軟體偵測,並在開啟後顯示個要求使用者同意載入外掛程式的畫面;用戶一旦不察而同意,即會載入惡意程式碼並於背景執行。
ThreatFabric 指出,目前發現的案例,都是植入 Ermac 惡意軟體,用於竊取用戶鍵盤輸入、發動覆疊畫面攻擊、竊取 Gmail 中的郵件、攔截二階段驗證代碼、竊取用戶加密貨幣錢包的復原短語等。
建議 Android 裝置用戶應避免下載安裝任何非來自官方 Google Play Store 的應用程式,特別是以檔案型式下載安裝的 APK 最為危險。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
以色列 Ben-Gurion University 大學的資安研究人員發現一種稱為「COVID-BIT」的全新資料竊取方式;即使電腦完全未連接任何網路,其電源供應器對外放射的電磁波,也可能在近距離內遭到讀取而取得其內部資料。
研究人員指出,這類完全沒有連結網路連線的電腦,多半因為擔負重要任務,例如武器控制系統或重要關鍵基礎設施,或儲存高度機敏資訊,因而必須與內外網路隔絕。
由於無法直接透過網路入侵,傳統上要攻擊這類電腦,都必須經由可出入管制場所的人來實體接觸電腦;然而透過 COVID-BIT 即可遠端接收該電腦的內部資訊。
研究人員開發出一種惡意軟體,可控制受害電腦的 CPU 負載,並利用交換式電源供應應的運作原理,讓該電腦的電源供應器發出 0 - 48KHz 的低頻電磁波。
研究人員在報告中指出,運用 COVID-BIT,攻擊者可以在距離該電腦 2 公尺左右處,以行動裝置或其他設備加裝可隱藏在有線耳機中的微型天線,收集受害電腦經由其電源供應器釋放的電磁波脈衝訊號,加以分析後解出資料。
報告也指出,運用這種方式,受害電腦將可以約 1000 bps 的傳輸速度對外傳送資料,傳送一個 10KB 大小的檔案,約需 80 秒;而一個 4096 位元組的 RSA 加密金鑰檔案,傳送時間最快僅需 4 秒;甚至可以透過這種方式遠端接收即時鍵盤輸入字元。
建議這類隔空透過電磁波接收資訊的攻擊方式,可以透過監控 CPU 不正常的頻率變化來防杜,此外也應加強電腦所在場所的電磁波屏蔽能力;由於這種攻擊方式仍需有人將惡意軟體植入隔離電腦中,因此加強人員進出管制監控亦屬必要。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安媒體 BleepingComuter 日前發現 Twitter 上有惡意帳號,假冒科技界名人 Elon Musk 之名,針對 Elon Musk 的新 Twitter 追蹤者發動加密貨幣詐騙攻擊。
該詐騙活動的手法,是利用一個使用 Twitter 圖示當做頭像的帳號,先將新近開始追蹤 Elon Musk Twitter 帳號的用戶,加入一個名為「Deal of the Year」的 List 中,該 List 在該文撰稿時,內有 155 個 Twitter 用戶。
在該 List 的頁面上,放了一張偽造的圖片,圖片中盜用 Elon Musk 的頭像與 Twitter 帳號發表假推文,內容詐稱 Elon Musk 將選擇 1000 名追蹤者參加「史上規模最大的加密貨幣贈送活動」,並放置一個名為「freedomgiveaway.net」,看起來似乎是正常網站的網址。
點入該網址便會進入駭侵者設立的詐騙網站,網站內有 Elon Musk 的照片,然後會要求用戶回答一些關於 Elon Musk 旗下企業如 Tesla、SpaceX、StarLink 與 Elon Musk 本人相關的一些問題。不論答對答錯,用戶都會被導向到一處顯示一個比特幣錢包位址的畫面;用戶如果想獲得 5000 枚比特幣的大獎,就必須先存入 0.02 到 1 枚比特幣到畫面上的網址;存入比特幣後,用戶將可獲得 5 倍到 10 倍的比特幣獎金。
當然,類似的詐騙活動,結果都是存入資金的受害者,永遠拿不到所謂的高額獎金。
根據加密貨幣資安廠商 Group-IB 指出,這類加密貨幣詐騙使用的網域名稱數量,今年比去年暴增三倍之多。
BleepingComputer 指出,在該刊發現此一詐騙活動並撰文報導當時,詐騙者提供的比特幣錢包位址,尚無任何比特幣轉入記錄;但該刊認為仍有必要揭露這類詐騙活動。
建議加密貨幣投資者應對明顯不合理的高報酬活動提高警覺,勿任意匯款,也絕對不可透露自己的錢包密碼或復原短語,以免造成損失。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
網通設備大廠 Fortinet 旗下的資安研究團隊,最近發現一個名為 Zerobot 的全新惡意軟體,利用多家廠商的防火牆設備、路由器,以及網路攝影機等各型連網裝置合計 21 個漏洞進行攻擊,植入僵屍網路以發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)。
Fortinet 在報告中指出,Zerobot 可「支援」的系統架構十分多樣化,從 i386、AMD64、ARM、ARM64 到 MIPS64、MIPSle、PPC64、PPC64le、RISC64、S390x 等不同架構與裝置,都可能受其攻擊。
Fortinet 的報告也說,Zerobot 利用上述聯網設備合計 21 個漏洞來攻擊上述裝置,並植入惡意軟體以組成龐大的僵屍網路。這 21 個漏洞中,有 8 個是在 2022 年發現的,其餘 13 個漏洞的發現期間在 2014 年到 2021 年之間。
在成功植入設備執行後,會與駭侵者設立的控制伺服器連線,上傳遭駭裝置的一些基本資料,同時等候命令發動 DDoS 攻擊。
據 Fortinet 指出,該公司的資安專家發現 Zerobot 後,也觀察到在 11 月的新版中,加入了許多額外組件與利用新發現漏洞的程式碼,顯示該惡意軟體的開發活動十分積極。
建議各型連網裝置的使用者或管理者,應隨時注意裝置是否提供資安更新或韌體升級,如有新版或更新應立即升級。過於老舊的產品可能已未列在原廠支援之列,若長期缺乏升級服務,應考慮設備汰舊換新。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 近日發表資安通報,指出該公司的資安研究團隊,近來發現多家加密貨幣投資業者,遭到某駭侵團體鎖定,透過這些業者用以和 VIP 投資人互動用的 Telegram 聊天群組發動攻擊。
Microsoft 指出,一個代號為 DEV-0139 的駭侵團體,加入多家加密貨幣投資業者設立的 Telegram 聊天群組,在其中鎖定駭侵攻擊的對象,假扮為其他加密貨幣投資機構的代表,宣稱提供更好的投資機會,以及更優惠的交易手續費;並在獲得目標對象的信任後,邀請其加入另一個 Telegram 聊天室,並且傳送一份內含惡意程式碼的兩大交易所 OKX 與 Huobi Global 手續費比較試算表給受害者。
在這份試算表中暗藏的惡意程式碼,會載入一個後門,讓駭侵者得以遠端存取用戶的電腦系統,並試圖竊取受害者的加密資產。
值得注意的是,Microsoft 指出在 Telegram 聊天室中的駭侵者,具備非常豐富的加密貨幣相關專業知識,因此能輕易取信於受害者。
雖然 Microsoft 沒有指名 DEV-0139 駭侵團體的身分,但另一家資安廠商 Volexity 對同一案例進行的分析,指出這個駭侵團體可能是 APT 團體 Lazarus。
Veloxity 指出,Lazarus 長期以來利用各種手法,針對加密貨幣產業與投資者進行駭侵攻擊,以竊取其數位資產;這次的攻擊也不例外。
鑑於透過社群工具進行的加密貨幣社交工程或釣魚攻擊愈來愈頻繁,加密貨幣投資者在這類管道與其他人互動時,應特別提高警覺,勿任意點按不明連結,也絕不能提供錢包相關密碼或復原短語,以免資金被竊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近日釋出 2022 年 12 月的 Android 行動作業系統資安更新,修復多達 81 個資安漏洞;其中有一個嚴重漏洞 CVE-2022-20472,駭侵者可透過此漏洞,經由藍牙連線,無需任何權限即可遠端執行任意程式碼。
這次 Android 資安更新包更新的所有漏洞中,含有以下 4 個嚴重 (Critical) 等級漏洞:CVE-2022-20472:存於 Android Framework 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;CVE-2022-20473:存於 Android Framework 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;CVE-2022-20411:存於 Android System 的遠端執行任意程式碼漏洞,影響的 Android 版本為 Android 10 到 13;CVE-2022-20498:存於 Android System 的資訊外洩漏洞,影響的 Android 版本為 Android 10 到 13。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Sectrio 日前發表研究報告,指出用於工業與製造業的營運科技系統(Operational Technology,OT)現今面臨的十大資安問題與解決方案。
Sectrio 日前公布的 2022 IoT 與 OT 資安長問卷調查(The IoT and OT CISO Peer Survey 2022)中發現,有 90% 的企業資安長表示,在過去 12 個月中其公司至少發生過一起重要駭侵攻擊事件;多數企業的製造與營運因而停止運作達到 4 天,造成平均 250 萬美元損失。
Sectrio 根據此問卷,分析出現今全球企業面臨的主要 OT 系統資安風險如下:多數製造業的 OT 系統設備與作業系統版本過於老舊,且未曾或很少進行更新;OT 系統的管理與權責不明:多數公司的 IT 單位與系統擁有較明確的管理權責畫分,但製造業的 OT 系統普遍都有管理權責不明的問題,甚至只有五分之一的製造業者設有資安長,負責 OT 系統的資安維運;OT 資產重要性未獲重視:超過 95% 公司承認未將 OT 系統資安維護視為公司重要例行工作;日益提高的 IoT 僵屍網路與 DDoS 攻擊風險:許多駭侵者選擇製造業的 OT 系統當做布署僵屍網路的節點,或對企業發動 DDoS 攻擊。許多 OT 系統直接曝露於公眾 Internet 上,與外網之間沒有強固的防火牆與其他資安設備隔開,等於對駭侵者大開方便之門。使用可卸除式記憶媒體:許多製造業 OT 系統未對如 USB 隨身碟、記憶卡之類的可卸除式記憶裝置加強管制,大大提高遭到惡意軟體植入的機會。
twcert 發表在
痞客邦
留言(0)
人氣()
