資安廠商 Kaspersky 旗下的研究人員,近來發現一個過去未曾記錄的全新資料刪除惡意軟體 CryWiper,正在針對俄羅斯境內各地區的市長辦公室和法院發動攻擊。
Kaspersky 指出,該公司是在今(2022)年秋天發現 CryWiper 布署的未知木馬惡意軟體,針對俄羅斯境內的公家單位發動攻擊;而據俄羅斯當地媒體指出,受到惡意軟體攻擊的公務單位,以司法單位與各地市長辦公室為主。
Kaspersky 分析指出,CryWiper 會假扮為勒贖軟體,實際上其惡意程式碼會刪除受害主機中的資料。其程式碼是 64 位元 Windows 可執行檔,名為「browserupdate.exe,執行後會在受害主機中設立排程,每 5 分鐘就自我執行一次,並在每次執行時與控制伺服器連線,收取執行或不執行的命令。
一旦收到執行的命令,CryWiper 會停止 MySQL、MS SQL 資料庫伺服器、MS Exchange email 伺服器、MS Active Directory 網頁伺服器等重要系統的執行,解除資料鎖定狀態,然後開始刪除受害主機上的資料。
CryWiper 不僅會刪除受害主機上的主要資料,也會刪除 shadow copy,以防止資料被輕鬆復原;另外 CryWiper 也會竄改 Windows 登錄檔,以防止 RDP 連線,阻止 IT 人員透過遠端遙控方式恢復資料。
最後,CryWiper 會將所有副檔名為 .exe、.dll、.lnk、.sys、.msi 與自身的 .cry 都加以破壞,但是不破壞系統、Windows 與啟動資料夾,讓電腦仍能啟動,看起來未被完全破壞。
建議各公私單位應強化人員資安培訓,勿點按不明連接並開啟不明檔案;重要系統也應做好異地備援措施,以在遭到攻擊時能迅速復原系統與資料。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Google 資安研究團隊發現,有多個由 Android OEM 設備廠商使用,用來進行 Android 軟體數位簽章的憑證平台,遭到駭侵者利用於簽署內含惡意程式碼的 Android App。
OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App,並給予這些體較高的執行權限,例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。
Google Android 資安團隊的一位資安專家指出,一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署,即可取得相同的高執行權限;目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署,因此內含來自這些平台的 SHA 256 雜湊和數位簽章。
濫用這些憑證簽署平台的惡意軟體,包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。
目前無法得知這些平台的憑證簽署平台,為何會外洩而讓駭侵者得以濫用,目前仍不得而知;雖然 Google 已經通知這些簽署平台遭到濫用的廠商,要求廠商進行應對,並且調查遭濫用的原因,但據資安專業媒體 BleepingComputer 報導指出,Samsung 的軟體憑證簽署平台,仍可繼續用於核發憑證。
Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體,用戶也應使用最新版本的 Android 系統,以獲得相關防護能力。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Tenable 近期發表研究報告指出,該公司掃瞄全球網路主機後發現,全球仍有高達 72% 的各型組織,其電腦系統仍含有約一年前發現的嚴重資安漏洞 Log4Shell(CVE-2021-44228)。
Tanable 指出,這次研究共在網路上進行 5 億次掃瞄測試,發現即使在去年發現 Log4j、Log4Shell 漏洞,全球各單位花費無數人力物力,針對該漏洞進行修補;甚至根據美國某聯邦資安單指出,該單位的資安團隊,花費高達 33,000 小時處理該漏洞,但截至 2022 年 10 月的掃瞄結果,仍有高達 72% 單位的主機並未修復該漏洞。
Tenable 表示,在這 72% 中,甚至還包括有 29% 過去曾經修復此漏洞的公司,但在這次掃瞄中再次遭到檢出,對於 Log4j、Log4Shell 漏洞不具防護力。
某些產業對此漏洞的應對處理整體狀況較佳,例如工程界(45%)、法律服務(38%)、金融服務(35%)、非營利組織(33%)、政府單位(30%);但即使表現最好的工程界,也有一半以上的公司仍含有 Log4j、Log4Shell 漏洞。
在地域方面,各大洲的表現也有待加強。對 Log4j、Log4Shell 防護狀況最好的是北美洲,但完全防護率也僅有 28%,其次為歐洲、中東與非洲(27%)、亞洲 25%、拉丁美洲 21%。
在能夠部分防護 Log4j、Log4Shell 的企業比例方面,北美仍為最高(90%)、歐洲、中東與非洲為 85%、亞太地區亦為 85%、拉丁美洲為 81%。
有鑑於 Log4j、Log4Shell 的高危險性,以及廣為許多駭侵團體用於攻擊的現狀,建議各公私單位一定要加強對此漏洞的修補防護。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Zimperium 近日發表研究報告,指出該公司發現一個已感染 30 萬台 Android 裝置的惡意軟體,自 2018 年就開始竊取受害用戶的 Facebook 帳號登入資訊。
根據 Zimperium 的觀察,這個名為「Schoolyard Bully」的木馬惡意軟體,藏身在多個上架到 Google Play Store 的閱讀與教育類應用程式中,受害者分布達全球 71 國,但主要的攻擊對象是越南境內的 Android 用戶。
用戶一旦安裝了含有 Schoolyard Bully 的惡意 Addroid 軟體,其 Facebook 登入資訊(Email 地址與密碼)、帳號 ID、用戶名稱、裝置 RAM、裝置 API 等資訊就會遭竊。該木馬會以 WebView 開啟一個真正的 Facebook 登入頁面,但在其中植入惡意 JavaScript 程式碼以攔截用戶輸入的資訊。
Zimperium 也說,由於 Schoolyard Bully 使用的是系統內建程式庫來進行資料竊取,因此較不易遭到手機上安裝的防毒防駭軟體發現。
Zimperium 指出,該公司一共發現有 37 個 Android App 內含 Schoolyard Bully 木馬;雖然在通報後,相關 App 都已經自 Google Play Store 中下架,但 Zimperium 警告這些 App 仍大量出現在許多第三方 Android App Store 中,因此仍可能繼續傳布,造成更多人受害。
建議 Android 用戶除了避免在第三方或不明來源處安裝任何 App 外,即使在官方的 Google Play Store 下載軟體,也應提高警覺,仔細閱讀評價與用戶意見反應。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Yuga Labs 旗下的研究人員,近期發現現代汽車(Hyundai)官方 App 中的漏洞,可導致駭侵者遠端開啟車門並發動車輛;此外,多家車廠使用的車輛管理系統 SiriusXM 也含有類似漏洞。
在 Hyundai 官方 App 漏洞方面,研究人員攔截 Hyundai 與 Hyundai 擁有的高級車品牌 Genesis 其官方 App MyHundai 與 MyGenesis 的網路封包內容後,可以找出其 API 呼叫方式;研究人員發現該 API 呼叫係以包括在 JSON 與 POST request 中的用呼 Email 地址來進行,而註冊使用 MyHyundai 與 MyGenesis,並不需要經過 Email 帳號驗證,因此研究人員可使用受害者的 email 位址,在後方加一個控制字元,即可註冊使用 myHyundai 來傳送指令,開啟並發動受害者的車輛。
在 SiriusXM 漏洞方面,SiriusXM 是個廣受各國大型車廠採用的車輛遙控管理平台,包括Acura、BMW、Honda、Hyundai、Infinity、Jaguar、Land Rover、Lexus、Nissan、Subaru、Toyota 等車廠在內。
Yuga Labs 在分析 Nissan App 的流量後,發現可以透過特製的 HTTP 連線要求,加上車輛的唯一代碼 VIN (Vehicle Identification Number)來遠端控制車輛,甚至從 SiriusXM 網站取得車主各項個資,包括姓名、電話、地址、帳單資訊等。
由於車輛的 VIN 往往就印在前擋風玻璃內側,自車外可輕易見到,在各大二手車銷售網站也可取得,因此造成車主與車輛極大的風險。
若用戶的車輛可經由 App 控制,且 VIN 碼可自擋風玻璃外部識別,建議先設法遮蔽 VIN 碼,或要求車廠提供車輛 App 更新,以解決此問題。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
PC 顯示晶片大廠 NVIDIA 日前釋出新版 Windows 與 Linux 驅動程式,一共修復多達 29 個資安漏洞;這些漏洞形態包括任意程式碼執行與權限提升等,用戶應立即更新。
NVIDIA 在這波驅動程式更新中,一共修復 25 個 Windows 版驅動程式的各式漏洞,Linux 版則修復 4 個漏洞;其中兩個最為危險的漏洞如下:CVE-2022-34669:存於 Windows GPU driver 中的本機用戶模式濫用漏洞;未經授權的用戶可以存取或修改應用程式的重要檔案,導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。 CVE-2022-34671:存於 Windows GPU driver 中的遠端用戶模式濫用漏洞;未經授權的一般用戶可用以越界寫入資料,導致任意程式碼執行、權限提升、資訊洩漏、資料竄改、發動 DoS 攻擊等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Evina 旗下的研究人員,近期發現一個位於 Google Play Store 的 Android 惡意軟體 Symoo,在受害者下載安裝後,會成為幫助駭侵者大量註冊各種網路服務假帳號的工具。
研究人員指出,Android 裝置用戶一旦安裝了 Symoo,該裝置就會被當作一個簡訊「中繼點」;Symoo 會利用用戶的手機門號大量註冊 Microsoft、Google、Instagram、Telegram、Facebook 等網路服務的假帳號,用戶會不停收到註冊這些帳號時系統發送的單次有效密碼(One-Time Password, OTP)。
Evina 的報告說,用戶在安裝 Symoo 時,該 App 會要求用戶授予存取簡訊的權限;由於 Symoo 在軟體說明中自稱是一種「簡單易用的簡訊工具」,因此用戶多半會不疑有他;接下來 Symoo 會要求用戶輸入手機號碼,並顯示一個假的資源載入中畫面;這個畫面上的進度非常緩慢,而 Symoo 就會利用這個時間來註冊假帳號,並將手機收到的雙重驗證碼傳送給駭侵者。
此外,研究人員還發現 Symoo 用來傳送驗證簡訊內容的網域,也由另一個稱為「Virtual Number」的 App 使用;而 Virtual Number 的開發者還推出了另一個提供「暫時手機門號」的 App ActivationPW,該 App 宣稱可讓用戶以不到 50 美分的價錢,獲得一個可用來驗證帳號註冊的門號;研究人員懷疑 ActivationPW 就是使用 Symoo 來進行簡訊驗證。
建議 Android 用戶即使是在官方的 Google App Store 中下載任何軟體,均應提高警覺,細閱用戶評價與反應;如發現有人反應該軟體有問題,切勿下載安裝。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyble 日前發表研究報告,指出該公司的網路掃瞄機制,發現分布全球超過 10 萬台 Fortinet 出品之 FortiGate 防火牆,曝露在一個嚴重身分認證略過漏洞 CVE-2022-40684 的風險之下;目前已傳出有駭侵者利用此一漏洞發動攻擊。
CVE-2022-40684 是一個存於多款 Fortinet 網通產品(如 FortiOS、FortiProxy、FortiSwitchManager)之內的嚴重漏洞,駭侵者可以特製的 HTTP 或 HTTPS 連線要求,來觸發此一錯誤,跳過系統身分認證程序,在管理介面進行各種操作。
Cyble 在報告中進一步指出,駭侵者可以利用這個漏洞,在管理員用戶帳號上新增一個 SSH 金鑰,駭侵者即可以管理者的身分和權限,以 SSH 連入受害系統內,並且攻擊內部網路其他裝置和 IT 環境。
報告中指出,駭侵者可以進行的操作,包括修改管理員的 SSH 金鑰以登入受攻擊系統、新增本機用戶、變更網路設定、更改封包路由、下載系統設定檔、竊取封包以攔截機敏資訊、並將各種設定資訊情報輪出到暗網上販售。
受此漏洞影響的 FortiOS 與 FortiProxy 版本號碼均為 7.0.0 到 7.2.1 的中間各版,FortiSwitchManager 則為 7.2.0 與 7.0.0。
這個漏洞的 CVSS 危險程度評分高達 9.6 分(滿分為 10 分), 危險程度分級為最高等級的「嚴重」;Fortinet 原廠已在十月上旬針對 CVE-2022-40684 推出官方版本的更新與暫時處理方案。
建議措施:使用 Fortinet 上述產品的單位,除應立即升級至最新版本,以套用漏洞修補方案外,也應針對內部網路進行網段分割,以防止已入侵的駭侵者進一步攻擊內網其他裝置。CVE編號:CVE-2022-40684影響產品:FortiOS/FortiPproxy:7.2.1、7.2.0、7.0.6、7.0.5、7.0.4、7.0.3、7.0.2、7.0.1、7.0.0;FortiSwitchManager:7.2.0、7.0.0。解決方案:依照 Fortinet 提供的指引,變更部分設定並升級置最新版本。 參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ESET 日前發表研究報告,指出該公司的資安研究專家,近期發現有駭侵者長期利用植入惡意軟體的 SoftVPN 和 OpenVPN 等兩種 Android VPN app,來散布含有惡意程式碼的假軟體,自受害者的行動裝置中竊取各種機敏資訊。
據 ESET 報告指出,涉嫌散布間諜 VPN 軟體的是一個被稱為「Bahamut」的進階駭侵團體,據稱該團體提供「租用」服務,讓想發動攻擊的人出錢來進行攻擊。
報告說,Bahamut 針對市面上正常版本的 Android 版 SoftVPN 和 OpenVPN app 進行重新包裝,植入惡意軟體後,利用幾可亂真的網站來散布 APK 檔;用戶如果不查,自這些假網站下載安裝 APK 檔,即會遭到惡意軟體感染。
報告指出,目前發現的這類惡意 App 均未在 Google Play Store 上架。
該報告說,用戶一旦不慎安裝這兩個假冒的 VPN App,其中的間諜程式碼會竊取受害者手機中的多種機敏資訊,包括通訊錄、通話記錄、詳細所在地點座標、簡訊對話內容,並監控用戶透過如 Signal、Viber、WhatsApp、Telegram、Facebook Messenger 等即時通訊軟體的訊息內容,以及手機內的各種檔案。
ESET 也觀察到共有 8 種不同 Bahamut 假冒 VPN 的版本,顯示該惡意軟體的開發工作十分積極,不斷推出新版本。
據 ESET 指出,Bahamut 這波攻擊活動可能屬於目標鎖定式攻擊行動,雖然初始的攻擊方式仍有待調查,但通常會利用釣魚 Email、釣魚簡訊、社群平台或即時通訊來進行,誘使目標下載惡意軟體。
建議 Android 手機用戶應絕對避免自非官方管道(如不明網頁、社群平台連結、Email 連結)等安裝任何 APK 檔案,以避免安裝類似惡意軟體,並遭到駭侵攻擊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前緊急推送電腦版 Chrome 瀏覽器更新,以修補近期發現的嚴重 0-day 漏洞。已知該漏洞已遭到外界駭侵者大規模濫用於攻擊活動中。
這個 CVE-2022-4135 是存於繪圖處理器(Graphic Processing Unit)的 heap 緩衝記憶體溢位錯誤,由 Google 旗下資安團隊 Threat Analysis Group 發現。一般來說,這類錯誤屬於記憶體漏洞,可讓攻擊者繞過系統限制寫入資料;而這個 CVE-2022-4135 漏洞可以讓攻擊者存取限制區域內的資訊,並遠端執行任意程式碼。
Google 目前沒有明確說明這個漏洞的成因與運作方式;Google 表示等到多數用戶都更新到新版 Chrome 後,才會公開這個漏洞的相關詳細資訊。
Google 也在最近發表的資安通報中指出,該公司已經知道有駭侵攻擊活動利用此 0-day 漏洞發動攻擊。
這個漏洞是 Google Chrome 在 2022 年發現的第 8 個 0-day 漏洞,其餘 7 個 0-day 漏洞分別是 CVE-2022-3723、CVE-2022-3075、CVE-2022-2856、CVE-2022-2294、CVE-2022-1364、CVE-2022-1096、CVE-2022-0609。
Google 推出的新版 Chorme 瀏覽器,Windows 版本號碼為 107.0.5304.121/122,Mac/Linux 版本則為 107.0.5304.122;這些新版本已修復上述的 CVE-2022-4135 0-day 漏洞,用戶在開啟 Chrome 瀏覽器時應會自動進行更新。
由於 Google Chrome 的市佔率高,用戶使用時應特別留意,如有可用更新,應立即套用,以免遭駭侵者利用未及更新的漏洞發動攻擊。CVE編號:CVE-2022-4135影響產品(版本):107.0.5304.121/122 之前版本。解決方案:更新至 107.0.5304.121/122 或後續版本。 參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
國際刑警組織(INTERPOL)日前發表公告,公布近日執行的一波全球不法網路犯罪打擊行動成果,一共緝獲不法加密貨幣所得高達 1.3 億美元。
這波執法行動的行動代號是「HAECHI III」,共有 30 個國家與地區的警察單位加入合作。於 2022 年 6 月 28 日起開始執行,到 11 月 23 日止,國際刑警組織在行動中逮捕的網路犯罪分子近一千人。
國際刑警組織在公告中指出,這波跨國網路犯罪打擊行動,共逮捕 975 名嫌犯,涉及的各式網路犯罪案件高達 1,600 件;國際刑警組織也封鎖了近 2,800 個由這些網路犯罪分子操控,用於各種金融犯罪的銀行與虛擬資產帳戶。
在這次破獲的網路犯罪類型方面,包括愛情詐騙、語音釣魚、性虐待、投資詐騙、網路賭博與跨國洗錢等。
國際刑警組織也指出,這波執法行動也發現投資詐騙案件數量較過往大幅增加,主要利用內容經過加密的即時通訊,來誘使受害者使用加密貨幣錢包進行轉帳付款。其中一個主要案件,國際刑警組織分別在希臘與義大利各逮捕一名韓國人;這兩人涉嫌從 2,000 名韓國受害者詐騙高達 2,800 萬歐元。
國際刑警組織也指出,另一個由澳洲與印度警方偵辦的網路犯罪集團,對受害者自稱是國際刑警組織幹員,要求受害者透過金融機構、加密貨幣交易所或點數卡來繳納罰金,不法所得約 160,000 美元。印度警方破獲該集團設於印度境內的電話中心,除緝獲多個加密貨幣錢包外,也掌握諸多犯罪證據。
此外,國際刑警組織也指出,先前設立的國際洗錢快速反應防制協議(Anti-Money Laundering Rapid Response Protocol,ARRP),在這次行動中成效卓著,自本年 1 月起,已經追回 1.2 億美元的網路犯罪不法所得。
建議一般用戶如果發現自己可能遭到這類網路詐騙案,應立即報警處理,透過國際合作,共同扼止日益猖獗的跨國網路犯罪活動。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Bitdefender 近期發表研究報告指出,該公司旗下的資安團隊發現 Google Play Store 內有多個檔案管理類 App,實際上內含一個名為 Sharkbot 金融木馬惡意軟體,針對英國、義大利等國手機用戶,竊取用戶登入網路銀行的帳號密碼。
報告指出,Sharkbot 是一個危險的惡意軟體,用戶不慎下載含有 Sharkbot 的應用程式後,Sharkbot 會在用戶登入自己的網路銀行帳戶時,顯示假的登入頁面,蓋過真正的登入頁面,伺機竊取用戶的登入資訊,並傳送到駭侵者處。
這批由 Bitdefender 發現的 Adnroid 惡意軟體,都屬於和金融服務無關的檔案管理類應用程式;駭侵者用來申請上架的應用程式本身不含任何惡意程式碼,在通過 Google Play Store 的審核後並安裝到用戶的 Android 手機上後,才會取得惡意程式碼。
資安專家指出,由於這些軟體都是工具類軟體,因此在向用戶要求較多存取權限時,比較不易引發用戶警覺。
Bitdefenfer 指出,這批惡意 Android App 包括 X-File Manager、FileVoyager、LiteCleaner M 等等。以 X-File Manager 來說,僅在偵測到用戶的 SIM 卡屬於英國和義大利電信業者時,才會啟動惡意程式碼,因此可算是一種目標式攻擊行動;但其他 Sharkbot 惡意軟體的攻擊對象,還包括其他國家如伊朗、德國等地的用戶。
在該報告發表後,這批惡意 Android 應用程式已遭下架。
由於這類內含惡意軟體的行動應用程式,往往能夠逃過官方機制,順利上架到 Google Play Store,因此用戶必須啟動手機中的 Play Protect 服務;當發現應用程式為惡意軟體時可自動移除,且應安裝大廠出品的防毒防駭軟體,以偵測 App 的異常活動。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
