Microsoft 日前指出,近期發現一個早在 2005 年就停止更新,但仍廣泛運用於各種物聯網(Internet of Things, IoT)裝置中的 web server 軟體 Boa,其中含有多個漏洞,證實已經遭到駭侵者用於攻擊能源產業中的多個組織。
Microsoft 在近期發表的資安通報中指出,該公司持續觀察到駭侵者試圖透過 Boa 中的各種漏洞,針對全球多個能源產業公司發動各種攻擊。駭侵者可以利用這些漏洞遠端執行任意程式碼,並發動進一步的攻擊。
Microsoft 指出,早已停止維護的 Boa web server 內含多個漏洞,包括可任意存取檔案的 CVE-2017-9833,以及可能造成資訊外洩的 CVE-2021-33558 等。而 Boa web server 仍廣泛用於全球各種 IoT 裝置中,例如網路攝影機、路由器等。
資安廠商 Recorded Future 也在四月時發現,駭侵團體 RedEcho 利用 Boa web server 的漏洞,入侵多家印度電力公司的網路監視器,作為駭侵攻擊的控制伺服器後,進一步攻擊其電網控制裝置;該組織也成功透過網路監視錄影機的漏洞,入侵印度某個國家緊急應變系統,以及某家大型跨國物流業者的子公司。
據資安媒體 Bleeping Computer 利用 Shodan 工具掃瞄全球網路的結果,顯示全球仍有近 90 萬台裝置使用 Boa web server,其中設備數量最多的是越南,有近 172,000 台,印度有近 107,000 台,其次是南韓(約 100,000 台)、台灣與巴西(約 60,000 台)。
建議各關鍵基礎設施公私單位,應在例行的資安維護中定期檢視各連網裝置使用的軟體或韌體是否已停止維護,且應在無法取得更新後儘速停用並汰舊換新,以免舊漏洞無法更新,成為駭侵攻擊破口。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ANALYGENCE 旗下的資安專家,近來發現一波利用 Windows 最新 0-day 漏洞來跳過 Windows 內建資安防護功能 Mark of the Web (MoTW),進而在受害系統上植入 Qbot 惡意軟體的攻擊活動。
Mark of the Web 是 Windows 內建的資安防護機制之一,Windows 會針對從網路上下載的檔案,或是 Email 中的夾檔,建立額外的檔案屬性,包括檔案原始出處、推薦者與下載 URL 等資訊。用戶如欲開啟具有 MoTW 的檔案時,Windows 會額外顯示一個警告視窗,詢問用戶是否確實要開啟檔案。
資安專家在分析近期一波利用釣魚郵件散布 Magniber 勒贖軟體的攻擊行動時,發現了該駭侵者利用 Windows 一個新的 0-day 漏洞,防止用戶在開啟含有惡意程式碼的檔案時,看到 Windows 的 MoTW 提醒視窗。
該攻擊手法係利用一個在 Microsoft 支援文件中提到的 base64 編碼簽署區塊,來為惡意軟體的 JavaScript 程式碼檔案進行簽署;如此用戶在開啟惡意檔案時,Windows 就不會顯示 MoTW 警告訊息,而會直接開啟檔案。
資安專家也指出,近期的 QBot 惡意軟體釣魚攻擊,原本利用 ISO 檔格式來放置惡意軟體,這是因為 Windows 不會對 ISO 檔進行 MoTW 附加動作;但在 2022 年 11 月的 Patch Tuesday 中,Microsoft 修復了這個錯誤,因此駭侵者改使用上述最新的 0-day 漏洞來跳過 MoTW 機制。
據資安媒體 BleepingComputer 指出,Microsoft 在 10 月時已經得知該 0-day 漏洞的存在且遭到多場駭侵攻擊濫用的情形;預計 12 月的 Patch Tuesday 中將可針對此 0-day 漏洞進行修補。
由於各種軟體與作業系統的 0-day 漏洞難以避免,用戶除應在可更新時立即更新,以修補已知 0-day 漏洞外,不任意點按連結或開啟不明檔案,也能加強自身的資安防護。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技(Trend Micro)日前發表研究報告,指出 APT 團體 Earth Preta(又名 Mustang Panda),近期針對多個國家的政府、教育、研究機構等特定目標發動魚叉式釣魚攻擊。
根據趨勢科技的報告指出,受到攻擊的國家遍及世界各國,但以亞太地區為主,受害最嚴重的國家包括緬甸、澳洲、菲律賓、日本、台灣等。
趨勢科技的報告說,Earth Preta 使用假的 Google 帳號寄送魚叉式釣魚信件,來散布惡意軟體;這些惡意軟體會以郵件中的 Google 文件連結來放置,而郵件中宣稱夾有自不明處竊得的「機密」或「秘密」內容文件,以此吸引潛在受害者開啟含有 TONEINS、TONESHELL、PUBLOAD 等惡意軟體的連結。
受害者一旦開啟這些文件,惡意軟體就會透過一種稱為 DLL side-loading 的技術,暗中植入電腦背景運作,接著進一步下載更多惡意軟體酬載。
報告指出,Earth Preta 利用這些惡意軟體進行網路監控,並且自受害者電腦中竊取更多機密文件,並用於日後針對不同對象的魚叉式釣魚攻擊之上。
在趨勢科技觀測到的 597 個案例中,有高達 83.90% 的案例針對政府機關與司法單位進行攻擊,針對教育單位的攻擊案例佔 6.90%,針對商業經濟組織的有 6.20%、政治組織的有 2.20%,其他的為 0.80%。
為避免遭到駭侵團體以魚叉式釣魚攻擊鎖定特定人士,各公私單位中重要的高風險對象,建議應加強資安意識與訓練,切勿任意開啟不明電子郵件或點按不明連結,以免重要情報或資訊遭到竊取,甚至危及人身安全。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
包括挪威、法國、德國等多個歐洲國家的數位與資安部門,日前對即將前往本屆世足賽主辦國觀賽的球迷提出警告:主辦國卡達政府提供的兩種官方 App「Ehteraz」與「Hayya」,會收集許多個資;如果必須安裝這些 App,務必小心謹慎,建議使用「可拋棄式手機」來安裝。
「Ehteraz」是由卡達公共衛生部推出的 Covid-19 追蹤軟體,可顯示用戶與其他染疫確診者的接觸史;而「Haaya」則是由該國政府針對世界盃足球賽開發的 App,球迷可憑此 App 購買門票、入場觀戰,並且免費搭乘大眾交通工具如捷運或公車。
挪威資料保護署日前指出,這兩個應用程式可以存取的資料類型過多;該單位也提出警告,指出卡達政府可能會利用這兩個 App 取得用戶個資,甚至監控目標用戶的所在地。
法國數位部副部長也在 Twitter 上發文,提供由法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Liberté)提供的資安自我保護檢核表,了解如何在旅途中保護行動裝置的資安。
德國聯邦資料保護與資訊自由署(Bundesbeauftragten für den Datenschutz und die Informationsfreiheit,BfDi)也指出,「Ehteraz」和「Hayya」能夠存取的資料種類,遠多於該應用程式在 App Store 中資料使用狀況的說明,兩個 App 中有一個會收集用戶資料,另一個會阻止裝置進入睡眠模式,還會將資料上傳到集中化伺服器。
BfDi 也建議,只有在必要的情形下才安裝使用這兩個 App,且最好使用可拋棄式手機來安裝,避免個資外洩。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
美國政府資安主管機關聯邦調查局(Federal Bereau of Investigation,FBI)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前聯合發布資安通報,指出一個名稱未知,由伊朗政府於幕後支持的駭侵團體,日前利用 Log4Shell 漏洞,駭入某美國聯邦政府民事執行分支單位(Federal Civilian Executive Branch,FCEB)的主機,植入惡意軟體 XMRig,利用該主機資源進行加密貨幣挖礦。
報告指出,駭侵者係利用該單位未經修補的 VMware Horizon 伺服器,透過 Log4Shell (CVE-2021-44228)遠端執行任意程式碼漏洞,來植入惡意軟體。
報告也表示,伊朗駭侵者同時也在遭到攻擊的伺服器上設立了 reverse proxy,以維持該惡意軟體持續存於該 FCEB 的內網之中。
FBI 與 CISA 也表示,所有尚未修補單位所有 VMware 系統之 Log4Shell 漏洞的單位,都應該假設本身已遭長期駭侵攻擊,應立即聯絡 FBI 與 CISA 開始進行內網惡意軟體與漏洞調查。
FBI 與 CISA 指出,在 Log4Shell 漏洞於去(2021)年 12 月被發現已來,至今仍有許多應立即修補漏洞的公私單位系統未能修補;有國家勢力支持的多組駭侵者,至今也持續不斷進行掃瞄,以發現可資攻擊的系統進行攻擊。
建議各公私單位的系統管理者,隨時注意漏洞與更新訊息,並在軟體系統可以更新時立即更新,以免遭到駭侵者利用未修補的已公開漏洞發動攻擊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
網路基礎架構公司 Akamai 旗下的資安研究人員,近來發現一個全新的侵入型惡意軟體 KmsdBot,會利用防護力薄弱的登入資訊,以 SSH 連線登入受害主機,進行加密貨幣挖礦與分散式服務阻斷(Distributed Denial of Service, DDoS) 攻擊。
據 Akamai 發表的研究報告指出,該公司發現 KmsdBot 會鎖定包括遊戲公司、科技公司、豪華轎車生產廠商,甚至資安防護廠商等產業進行攻擊。
Akamai 觀察到 KmsdBot 發動的 DDoS 攻擊首例,是針對遊戲公司 FiveM;該公司讓玩家可以自行設立「俠盜獵車手」(Grand Theft Auto)Online 的私人伺服器,而 KmsdBot 鎖定該公司的服務,進行 Layer 4 與 Layer 7 的攻擊。
針對 KmsdBot 運作模式的分析則指出,該惡意軟體 kmsdx 會先進行掃瞄程序、軟體更新以及背景加密貨幣挖礦,同時也會與駭侵者設立的控制伺服器連線,然後下載一批登入資訊,試圖以掃瞄到的開放 SSH 連接埠來進行連線。
在加密貨幣挖礦方面,KmsdBot 使用的是更名過的 xmrig 挖礦程式,通常用來挖掘難以追蹤流向與收發者的 Monero 加密貨幣。
Akamai 的報告也指出,這個 KmsdBot 是跨平台的,可以感染 Winx86、Arm64、mips64、X86_64 等不同平台。
建議不論個人或企業,均應避免使用防護能力薄弱的登入帳密,除應開啟多階段登入驗證外,也應確保系統與軟體經常更新至最新版本,且應關閉所有不應對外開放的 Telnet、FTP、SSH 連接埠。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Twitter 為了增加營收,日前推出每月 8 美元帳號認證計畫,但該計畫在推出後就遭到多個駭侵團體濫用,利用公信力較高的認證帳號來發動加密貨幣詐騙攻擊。
過去 Twitter 的認證帳號必須經由 Twitter 團隊驗證後才能取得,以一個藍色勾勾圖示來識別真實的政府、政治人物、媒體、網紅、品牌、運動員、明星、意見領袖等。
在 Twitter 由 Tesla 執行長 Elon Musk 全資收購後,為改善 Twitter 的財務狀況,Twitter 在 2022 年 11 月初起,針對美國、加拿大、英國、澳洲與紐西蘭用戶推出每月付款 8 美元即可取得認證圖示的計畫;然而該計畫卻於一開始就遭到駭侵團體濫用於加密貨幣詐騙活動。
資安專業媒體 BleepingComputer 報導指出,駭侵者先以任意 Twitter 帳號註冊並加入每月 8 美元認證計畫,在其帳號上顯示認證標誌後,立即就將該帳號的顯示名稱(Display Name)改為假冒對象,然後張貼詐騙訊息。
一個案例是某個實際帳號為 @SzAt_0 的帳號,在取得認證圖示後,立即將頭像與顯示名稱改為 Twitter,假冒為 Twitter 官方帳號進行加密貨幣詐騙,以高額加密貨幣空投活動誘使用戶輸入自己的錢包位址與恢復短語。
另一個案例是透過 8 美元認證計畫的假帳號,將自己偽裝成 Twitter 新擁有人 Elon Musk。
由於 Twitter 這個 8 美元認證計畫推出後,反而造成許多假冒帳號也能取得認證圖示,因此 Twitter 目前已緊急處置,暫時禁止取得認證的帳號變更其顯示名稱,以防止有人在取得認證圖示後改變顯示名稱,用於假冒或詐騙活動。
建議用戶在社群媒體上檢視內容時,應對過度優惠或高額獎勵的訊息提高警覺,即使發文帳號具有認證圖示,也很可能是由駭侵者假冒,或帳號本身遭到挾持盜走。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cyjax 日前發表調查報告,指出該公司旗下的資安專家,近來發現駭侵團體 Fangxiao,利用一個具有超過 42,000 個網域的龐大網路,偽裝為多個全球知名品牌,利用假抽獎活動等方式,誘騙受害者安裝廣告或約會等惡意軟體,進行進一步駭侵攻擊。
根據 Cyjax 的報告,Fangxiao 駭侵團體早在 2017 年就開始發動攻擊活動,歷年以來共假冒超過 400 個以上知名品牌,包括可口可樂、麥當勞、Knorr、Uniliver、Shopee、Emirates 等,領域遍及零售、銀行與金融服務、旅遊、醫療、運輸、財經、能源等部門。
Cyjax 指出,自 2022 年 3 月起,Fangxiao 駭侵團體至少使用 24,000 個以上網域,用來放置各種 Landing 網頁與問卷調查,以高額獎賞為誘餌,誘使用戶上當而連入該詐騙網域。
Cyjax 也指出,該駭侵團體多數用來發動詐騙攻擊的網域,都使用如 .top、.cn、.cyou、.xyz、.work、.tech 等頂級網域;這些網域多半在 GoDaddy、NameCheap 和 Wix 註冊,並透過 Cloudflare 來隱藏。
為了產生大量連往其詐騙網站流量,Fangxiao 每天約註冊 300 個全新的詐騙網域。而為避免用戶感覺異常,這些問卷都還有限時回答計時器,以讓受害者專注於回答問題而放鬆警戒。
Cyjax 也發現 Fangxiao 在一個上架於 Google Play Store 中的 App「Booster Lite - RAM Booster」中放置詐騙網站的廣告;該 App 已被下載超過 1000 萬次。
建議用戶在瀏覽網站或使用內置廣告的 App 時,必須對於提供不正常高額獎賞的廣告提高警覺;若打著知名品牌旗號,最好到其官網或官方社群帳號查詢,該活動是否確實由官方舉辦,勿輕易點擊並參加活動。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ESET 日前公布一份調查報告「2022 ESET SMB Digital Security Sentiment Report」,指出 2022 全球中小企業面臨日漸複雜的混合式工作形態,以及愈來愈嚴重的資安攻擊威脅,對於企業能夠有效抵擋資安攻擊的信心並不高。
據 ESET 表示,在 COVID-19 疫情與烏俄戰爭後,中小企業面對工作形態的轉變,愈來愈多公司採用混合辦公室與遠距上班的工作形態,大量借助各種網路工具來維持公司運作的結果,例如利用遠端桌面遙控協定 (Remote Desktop Protocol, RDP) 或是各種雲端儲存與運算服務,也造成駭侵者可攻擊的弱點大量增加。
ESET 的報告指出,2022 年偵測到的資安威脅,年成長率達 20%;其中網頁攻擊成長 28%,透過 Outlook 進行的釣魚信件登入釣魚攻擊更成長 66%。
ESET 在調查報告中指出,在這種情況下,2022 年接受調查的全球中小企業,有 32% 備有資安攻擊偵測與處理解決方案,也有 33% 中小企業表示未來一年內將考慮建置這類系統。
不過報告也指出,中小企業受限於營運規模與營收相對較少,對於自身 IT 防護能力的信心相當低落;僅有 32% 中小企業認為自己的 IT 團隊具備足夠的資安防護知識、僅有 30% 中小企業該為自己的公司可以快速應對資安威脅,立即辨識、隔離威脅並適當反應;僅有 27% 中小企業認為自己能在攻擊發生後進行詳細分析,以強化弱點。
建議中小企業應根據自身的需求與能力,尋求專家提供資安防護規畫與布署,採用最適合的防禦策略,以免因攻擊而蒙受無法負荷的重大損失。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2022 年 11 月例行資安更新修補包「Patch Tuesday」,共修復 68 個資安漏洞,其中有 11 個是屬於「嚴重」危險程度的漏洞,另有 6 個 0-day 漏洞已知遭用於駭侵攻擊。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:權限提升漏洞:27 個;資安防護功能略過漏洞:4 個;遠端執行任意程式碼漏洞:16 個;資訊洩露漏洞:11 個;服務阻斷(Denial of Service)漏洞:6 個;假冒詐騙漏洞:3 個。
twcert 發表在
痞客邦
留言(0)
人氣()
美國司法部(Department of Justice)於 2022 年 11 月 4 日公開宣布,將一名涉嫌自 Silk Road 暗網市集竊取高達 50,000 枚以上比特幣的駭侵者定罪,罪嫌將面臨至少 20 年徒刑。
這名嫌疑人的名字是 James Zhong,美國司法部指出 Zhong 涉及於 2012 年 11 月時「利用提領處理流程的漏洞」,多次從 Slik Road 暗網超額提領比特幣,總額高達51,351.9 枚比特幣,換算後高達 33 億美元。
美國司法部控訴 Zhong 的罪名是洗錢罪;他過去在惡名昭彰的暗網市集「Silk Road」任職,這個地下網路市集現已停止營運,其營運期間在 2011 年到 2013 年間,專門交易各種非法產品,全盛時期有 100,000 名以上會員。
Zhong 承認利用 Silk Road 交易系統的時間差漏洞,利用此漏洞即可多次重覆提領同一筆資金;Zhong 利用 9 個比特幣帳號,先存入 200 到 2,000 枚比特幣,接下來快速同步發動 140 筆提領作業,從系統提領出 50,000 枚比特幣,再轉到其他錢包以混淆資金流向。
美國司法部指出,除了比特幣贜款外,還在 Zhong 的住處發現大批財物,包括高達 661,900 美元的現金、價值 174 枚比特幣的實體比特幣高加索硬幣、金條、銀條與金幣等。
美國司法部指出,現今的加密貨幣金流追蹤技術已相當成熟,再加上該局幹員鍥而不捨的辦案精神,終於將罪嫌繩之以法。
建議各個可以使用加密貨幣進行交易或提供金融服務的公私單位,都需與具備經驗的第三方資安查核單位合作,對系統程式碼的安全性進行嚴格測試,並加強內控,以杜絕類似監守自盜事件再次發生。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
隨著社群平台 Twitter 在日前由 Elon Musk 收購,並宣布要針對認證帳號收取每月 8 美元費用後,專業資安媒體 BleepingComputer 最近發現以此收費為由,針對已認證帳號持有人發動的釣魚攻擊,數量也大幅增加。
Twitter 在由 Tesla 執行長 Elon Musk 在日前完成全資收購後,Elon Musk 為改善 Twitter 財務狀況,宣布將對擁有官方身分認證(即俗稱「藍勾勾」)的使用者,加收每月 20 美元的費用,稍候又宣布降為每月 8 美元。
BleepingComupter 發現,在 Twitter 這一系列收費公告發表之後,以此為由針對已認證使用者的釣魚攻擊就大幅增加。
這一波針對 Twitter 身分認證使用者的釣魚攻擊,和其他名目的釣魚攻擊十分類似;被列為攻擊目標的 Twitter 身分認證使用者會收到假冒為 Twitter 官方的釣魚信件,內容指稱根據本平台的新身分認證措施,用戶必須在某個時限內點按信中的釣魚連結,重新進行身分認證,否則將撤銷其已通過認證的資格。
當用戶點按信中的釣魚連結後,會被導到一個幾可亂真的釣魚網頁,誘騙用戶輸入自己的 Twitter 登入資訊。
資安專家指出,不只是這波趁 Twitter 宣布收費為由的釣魚攻擊,事實上各社群平台的官方認證帳號,經常是各類釣魚攻擊的駭侵目標,因為擁有這種已認證帳號的用戶,多半屬於重要公部門、企業品牌、政治人物、演藝人員、新聞媒體、網紅等追蹤者較多,影響力較大的單位或個人;駭侵者透過釣魚攻擊取得帳號控制權後,就可以發動各種後續攻擊,例如散布假新聞或惡意軟體、進行金融詐騙等。
建議擁有社群平台官方帳號管理權限者,務必開啟多階段登入認證,並對各種號稱平台官方發送的 email、簡訊、貼文等提高警覺,絕不隨意點按不明連結,且不可將登入資訊隨意提供他人。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
