資安廠商 McAfee 日前發表研究報告,指出該公司在 Google Play Store 中新發現 16 個 Android 廣告惡意軟體;這些惡意廣告軟體會在背景執行,以用戶看不見的隱形 frame 載入大量廣告,並進行假點擊以牟取暴利。
McAfee 指出,這 16 種廣告惡意軟體成功上架到 Google 官方的應用程式商店 Google Play Store,偽裝成各種工具軟體,例如匯率轉換、手電筒、QR Code 掃瞄器、系統記憶體清理工具、韓文字典、拍照軟體、記事工具等等。
其中一個名為 DxClean 的廣告惡意軟體,在遭到下架前獲得 500 萬次下載,在 Google Play Store 中的用戶評分甚至還高達 4.1 分(滿分為 5 分)。
該軟體號稱可以清理 Android 系統中閒置應用軟體佔用的記憶體並將其釋放出來,以改善手機運作效能與反應速率,甚至還能阻擋不必要的廣告;但實際上該軟體的行為恰恰相反,是在背景中大量載入廣告並進行假點擊。
據 McAfee 的分析指出,這些廣告惡意軟體會在安裝後自某個特定伺服器下載 Firebase Cloud Messaging listener,並開始接收自 FCM 傳來的指令;惡意軟體一旦接收到指令,即會開始在背景中載入廣告,並模擬用戶的點按行為。
由於這些廣告載入和點擊動作均不會有任何顯示,因此用戶難察覺;但用戶將會發現手機反應變慢、耗電加快、手機會發熱,數據連線的額度也會遭到耗用,甚至因此造成手機故障。
建議用戶即使在官方的 Googel Play Store 中下載軟體,也應提高警覺,仔細閱讀用戶意見回饋;並應在手機中安裝大廠出品的防毒防駭軟體,以防不小心安裝到惡意軟體。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Github 旗下的資安專家,日前發現廣為使用的開源程式庫 Apache Commons Text,內含一個可讓駭侵者用來發動攻擊,進而遠端執行任意程式碼的漏洞;採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。
Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫,內含「文字改寫系統」(interpolation system);開發者可以利用這個系統對輸入的文字進行多種操作,包括修改、解碼、生成、抽取等等。
該漏洞又被稱為「Text4Shell」,其 CVE 編號為 CVE-2022-42889,是存於文字改寫系統中的不安全程式碼評估處理;在預設組態情況下,駭侵者可以輸入特製的惡意內容,來觸發此漏洞,進而遠端執行任意程式碼。
本 CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分);危險程度評級達到最高等級的「嚴重」(Critical)等級。
資安專家在 Apache 的郵件群組內指出,自 Apache Commons Text 1.5 版起到 1.9 版之間,在預設的 Lookup instance 組態下,存有這個可導致遠端執行任意程式碼,或與遠端伺服器連線的漏洞;用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本,該版本已預設停用有問題的文字改寫系統。
該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現,並提報給此開源程式庫的開發單位 Apache Foundation;Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。
建議軟體開發者如有採用上述受影響版本的 Apache Commons Text,應立即升級至已修復此漏洞的 1.10.0 與後續版本。CVE編號:CVE-2022-42889影響產品(版本):Apache Commons Text 1.5 到 1.9 版解決方案:升級至 Apache Commons Text 1.10.0 版與後續版本 參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
澳洲聯邦警察局(Australian Federal Police, AFP)負責偵辦中美洲毒品販運的部分秘密探員身分,日前因為哥倫比亞政府機密文件遭竊,因而遭到曝光。
哥倫比亞政府相關機密文件,是在日前遭到中美洲跨國激進運動團體 Guacamaya 聯合駭侵者針對中美洲各國政府發動的駭侵攻擊行動中被竊;當時哥國政府有多達 5TB 的機密資訊遭到竊取。該團體宣稱其目的是為了對抗中美洲各國政權的貪腐與鎮壓,因而發動駭侵行動。
與澳洲警方相關的被竊資料內,包括往來 email 內容、各種文件,以及澳洲警方針對中美洲販毒集團在澳洲境內販售毒品的相關追查偵辦過程等重要機敏資訊。
目前已知遭到曝光的資料,內含 35 個 AFP 的打擊罪犯行動,其中一些專案現在仍在執行中;資料還包括秘密探員針對目標對象的監視報告與通聯監聽錄音檔案,以及哥倫比亞警官的薪資等。
AFP 對外證實了資料遭竊一事,同時指出「AFP 十分關切這次資料外洩事件對各專案執行造成的影響;AFP 也正在與受影響區域月的夥伴共同合作,以對應任何對相關人身安全與調查工作造成的潛在威脅。」
除了澳洲之外,還有多國警方也和哥倫比亞政府合作,打擊中美洲的跨國毒品販運集團;因此在這次駭侵攻擊行動中,可能也會有其他國家執法人員和執法行動的相關資訊遭到曝光。
建議各政府單位應加強資安防護能力與軟硬體設定,並且落實人員的資安訓練,避免各種機敏資訊遭外洩。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 WithSecure 旗下的資安專家,近日發現一波名為「Ducktail」的釣魚攻擊活動,利用全新出現、以 PHP 撰寫的 Windows 資料竊取惡意軟體,用來竊取受害者的 Facebook 帳號、瀏覽器資料、加密貨幣錢包等機密資訊。
WithSecure 指出,該公司於 2022 年 7 月起觀察到 Ducktail 的攻擊活動;該攻擊主要是在 LinkedIn 求職求才社群平台上,透過社交工程將含有 .NET Core 惡意程式碼的行銷計畫 PDF 檔傳遞給受害者。
一旦受害者開啟該 PDF 並執行惡意程式碼後,存於電腦的瀏覽器資訊就會被傳送到一個 Telegram 私密頻道,駭侵者利用這個私密頻道作為其控制伺服器;駭侵者主要鎖定其中的 Facebook Business 帳號資料,取得資料後即用於進行進一步的金融詐騙或惡意廣告。
另一家資安廠商 ZScaler 則指出,他們觀察到 Ducktail 近期也開始利用 PHP 程式碼的惡意軟體,偽裝為遊戲相關檔案、字幕檔、成人影片等,誘使用戶下載;用戶執行該惡意程式碼後,其電腦的 Microsoft Office 應用程式就會遭到攻擊。用戶會看到假的「檢查應用程式相容性」彈跳視窗,實則正在安裝駭侵者推送的各種惡意軟體。
該惡意軟體執行後,會每日一次在背景中竊取用戶的各種 Facebook 帳號詳細資訊、瀏覽器 Cookie 及其他資料、加密貨幣錢包與帳號資訊,以及各種系統資訊。
鑑於各種釣魚攻擊日益頻繁,建議用戶如在社群平台接獲他人傳送的檔案,務必確認該名傳送者的真實身分,切勿開啟身分不明人士傳送的任何檔案或連結。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Kaspersky 日前發表研究報告,指出該公司的研究人員,近日發現一個名為 YoWhatsApp 的 Android 非官方 WhatsApp 通訊軟體,內藏惡意程式碼,能夠存取用戶的 WhatsApp 金鑰,藉以竊取用戶的帳號控制權限。
Kaspersky 旗下的資安研究人員,從去年開始追查隱藏在修改版 WhatsApp 的 Triada 特洛依木馬;最近則發現了這個 YoWhatsApp。
YoWhatsApp 是一個第三方開發的通訊軟體,相容於 WhatsApp,但比原版的 WhatsApp 多了一些用戶會喜歡的功能,例如自訂聊天界面、強化的通話阻擋功能等等;YoWhatsApp 也透過其他熱門 Android 應用程式內的廣告來進行廣告宣傳,因此相當受到歡迎。
twcert 發表在
痞客邦
留言(0)
人氣()
Linux 近期發行的 kernel 新版本 5.19.12,遭用戶發現含有一個顯示方面的錯誤,會造成使用 Intel 圖形處理器晶片(Graphics Processing Unit, GPU) 的筆記型電腦液晶顯示器不斷閃爍或出現閃動白色畫面;不僅造成用戶困擾,影響正常作業,也可能造成顯示面板永久損壞。
Intel 旗下的 Linux kernel 工程人員 Ville Syrjäl 在分析這個問題後,指出是 Linux kernel 內部處理顯示面板電源序列組件的錯誤,導致面板發生不正常閃爍問題;他呼籲有此問題的 Intel 顯示晶片筆記型電腦用戶,盡快將使用的 Linux kernel 版本退回到前一版本,以避免筆記型電腦的液晶顯示器受到損壞。
另一方面,Linux kernel stable branch 的維護者,也在日前緊急釋出 kernel 版本 5.9.13,解決了各發行版本使用 5.9.12 核心可能造成的問題;維護者也指出,5.9.12 核心的使用者如果未曾發生任何顯示問題,無需升級到 5.9.13。
而使用者相當多,基於 Arch 的 Majaro 發行版也表示,他們將會把 kernel 從版本 5.19.7 直接升級到 5.19.13,以避免其 Intel GPU 用戶發生顯示問題。
不過由於 Linux 的發行版本眾多,預期未來可能仍有不少用戶會在不知情的情形下,升級到有此顯示問題的 kernel 版本。
建議 Intel GPU 筆記型電腦用戶在升級 Linux 發行版本前,務必事先確認該發行版本的 kernel 版本不是 5.9.12;已有此問題的 Intel GPU 筆電用戶,也要避免讓顯示器長久處於閃爍狀態,以免不正常顯示過久,造成面板永久損壞。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
macOS 系統管理軟體廠商 Jamf 旗下的資安團隊研究人員,日前發現 macOS 內的 Archive 公用程式內含一個漏洞 CVE-2022-32910,可導致特製的未簽署、未授權應用程式可於 macOS 系統執行,且不會跳出應有的警示訊息通知用戶。Apple 已在日前推出的作業系統更新中修復此漏洞。
Jamf 在發表的漏洞研究報告中指出,在今(2022)年年初,該公司發現 Safari 瀏覽器的漏洞 CVE-2022-22616,可利用特製的 Zip 壓縮檔,跳過 macOS 系統的 GateKeeper 檢查,這樣即可在用戶不知情的情形下,執行 Zip 檔中的惡意軟體。
Jamf 在通報該漏洞給 Apple 並獲得修復後,開始研究 macOS 內是否有類似可透過壓縮檔來跳過系統資安查核過程的類似漏洞,果然發現系統內建的壓縮/解壓縮工具程式 Archive 也具有類似漏洞,駭侵者可以使用特製的壓縮檔,內含一個具有 .app 副檔名的多個檔案,具要有多個檔案路徑設定為目標目錄的根目錄,這樣 Archive 公用程式就會略過 .app 副檔名檔案的 GateKeeper 檢查程序。
Jamf 在發現此漏洞後,立即於今年 5 月 31 日向 Apple 通報;而 Apple 於 7 月 20 日推出的 macOS Monterey 12.5 與其他舊版 macOS 更新中,修復了這個問題。
建議使用者應密切注意所使用電腦作業系統的更新消息,當有資安更新推出時,應立即套用更新,以免遭到駭侵者利用這類已公開的漏洞來發動攻擊,造成系統尚未更新用戶的潛在資安風險。CVE編號:CVE-2022-32910影響產品(版本):macOS Monterey 12.5 之前版本。解決方案:升級至 macOS Monterey 12.5 或以上版本。 參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
全球交易量最大的加密貨幣交易所 Binance(幣安),日前承認遭到重大駭侵攻擊;駭侵者自其跨鏈橋接(cross-chain bridge)服務 Binance Smart Chain Token Hub 中竊走高達 5.66 億美元等值加密貨幣,目前 Binance 已暫停 Binance Smart Chain 的運作,以調查遭駭事件。
Binance 創辦人趙長鵬在事件發生後,於 Twitter 推文表示,Binance 的 cross-chain bridge 運作中樞 Binance Smart Chain Token Hub 遭到攻擊,駭侵者憑空創造出原本不存在的 BNB 加密貨幣。
Binance 宣布目前已暫停整個 Binance Smart Chain 的運作,用戶無法進行資金存提;Bianace 也要求交易驗證者暫停進行驗證,以進行駭侵事件的調查與處理;Binance 也表示用戶的資金安全無虞。
區塊鏈觀察網站發現疑似駭侵者持有的錢包位址,在 10 月 6 日有兩筆各 100 萬枚 BNB 代幣轉入該錢包位址,接著駭侵者便開始把竊得的 BNB 代幣匯入多個流動性資金池,將 BNB 代幣交換成包括以太幣、Polygon、Fantom、Avalanche、Arbitrum、Optimism 等其他多種加密貨幣,洗錢的意圖十分明顯。
Binance 也表示,目前絕大部分被竊資金仍然留在 Binance Smart Chain 之上,由於 BSC 已暫停運作,因此駭侵者也無法動用竊得的資金;不過 Binance 估計約有 7 千萬到 8 千萬美元的資金已經從該區塊鏈上轉出。
Binance 也說,正在和其他區塊鏈的營運者合作查緝被竊資金,目前有約 7 百萬美元不在 Binance Smart Chain 上的資金遭到凍結。
由於各種連線的熱錢包或智慧合約,經常遭到駭侵攻擊,造成用戶資金損失,用戶如因投資或其他原因,需將資金放在連網存放處,應避免將大筆資金存放在單一熱錢包或智慧合約,應盡可能分散在不同的熱錢包、區塊鏈、流動性池等,以分散風險,降低潛在損失。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技近日發表研究報告,指出有一個稱為「Water Labbu」的駭侵團體,在多個用來詐騙加密貨幣的詐騙網站中植入 JavaScript 惡意程式碼,竊走近 32 萬美元等值的不法加密貨幣詐騙所得。
在趨勢科技的報告中指出,Water Labbu 成功在至少 45 個用來詐騙加密貨幣資產的詐騙網站中,搶先詐騙者把誤入詐騙網站受害者加密錢包中的加密貨幣竊走。
在 2022 年 7 月時,美國聯邦調查局曾發出資安警訊,表示有一波去中心化金融應用程式的詐騙攻擊正在大規模進行中;詐騙者偽裝成各種加密貨幣流動性挖礦伺服器,以高額利率和假冒知名流動性挖礦池,誘騙用戶質押自己擁有的加密貨幣,再將這些質押的加密貨幣竊走。
據趨勢科技的報告指出,Water Labbu 在這些假冒的去中心化應用程式網站中植入的 JavaScript,能夠搶在詐騙網站之前,先行偵測受害者的加密貨幣錢包中是否存有 0.005 枚以太幣或 22,000 枚 USDT 穩定幣的高額加密貨幣,若有即以多種方法,將錢包內的加密貨幣轉帳至 Water Labbu 控制的錢包位址內。
趨勢科技說,該公司資安團隊發現 9 名遭到這種雙重詐騙手法的受害者,被竊的加密貨幣總額等值高達 316,728 美元。
雖然這是一起「黑吃黑」事件,但受害者仍然蒙受鉅額加密貨幣損失;提醒加密貨幣投資人,絕對不要受到不合理高利率的誘惑,任意在社群媒體或論壇中點按不明人士提供的投資管道相關連結,以免受到詐騙或遭駭侵攻擊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
義大利著名超級跑車製造大廠法拉利(Ferrari)傳出遭駭事件,一個名為 RansomEXX 的勒贖駭侵團體,日前在暗網上宣稱該團體成功駭入法拉利的內部系統,公開了高達 7 GB 以上的內部文件。
據報導,在網路上被公開的法拉利內部文件,包括各種資料表格、維修零組件相關資料等等。目前無法得知勒贖團體是否已要求法拉利交付贖金以取回被竊檔案。
目前法拉利已對外公開證實這次駭侵攻擊事件,但僅表示有部分內部文件遭到公開放網路上;該公司也對外指出,目前並無證據顯示該公司的內部系統遭到入侵或勒贖攻擊,其生產活動與事業經營也一切正常,並未受阻。該公司目前正在針對這起駭侵事件進行調查,以了解其發生原因。
本次攻擊事件是法拉利在今年第二度遭到駭侵攻擊,而且就發生在該公司宣布與資安防護廠商 Bitdefender 合作的一星期之後。
法拉利在今年 5 月時亦曾遭到駭侵攻擊。當時法拉利宣布與瑞士區塊鏈廠商 Belas Network 合作,針對旗下 F1 車隊支持者發行 NFT(Non-Fungible Token,非同質性貨幣),供支持者購買收藏,或當作數位周邊商品;隨即該公司所屬的一個子網域就遭到駭侵者挾持,用來架設 NFT 詐騙網站長達數月之久。
鑑於針對全球知名品牌廠商進行的勒贖攻擊有愈演愈烈的趨勢,甚至同一廠商很可能被相同或不同的駭侵團體連續發動勒贖攻擊,造成機密與商譽的損失,因此這類廠商必須特別提高警覺,加強有形與無形的資安防護能力。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
包括墨西哥、薩爾瓦多、哥倫比亞、秘魯等中美洲國家的政府與軍方等多個單位,近日接連遭到駭侵攻擊,內部資料遭竊,並有一部分資料由當地環保團體 Guacamaya 對外公開。
被竊取資料的單位,包括墨西哥國防部秘書處、薩爾瓦多民警、哥倫比亞軍方司令部、薩爾瓦多海軍、秘魯軍方等單位。
在墨西哥方面,據媒體報導指出,該國國防部被駭侵者竊取的資料高達 6TB 之多,其中包括各種犯罪者資料、各單位通訊記錄,以及針對美國駐墨西哥大使 Ken Salazar 的監控記錄等資料。
此外,墨西哥總統也在例行記者會中公開承認這起駭侵攻擊確為事實,並表示他個人的就醫資訊亦遭洩漏。總統也指出,這次駭侵勢力是跨國駭侵團體所為,因為包括秘魯、薩爾瓦多、智利與哥倫比亞政府單位,也在同一時間發生資料被竊事件。
被指控為此次跨國駭侵攻擊行動幕後主使者的環保團體 Guacamaya 並未否認其行動,同時指出該團體只對外公開極小部分的資料;該團體也抨擊新聞媒體只把此次行動的焦點集中在總統健康問題上,對於可能造成極大環境破壞的 Tren Maya 鐵路建設計畫未給予夠多的關注。
該團體指出,他們認同 Wikileaks 的精神,認為攸關公眾利益的資訊就應該公開揭露。
資安專家則認為,Guacamaya 可能是利用 2021 年遭發現的 Microsoft ProxyShell 漏洞進行資料竊取攻擊。
建議各政府或民間單位,應隨時注意採用軟硬體系統的最新資安通報,立即修補所有已知漏洞,以防機敏資訊遭竊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft Exchange Server 日前被發現的 2 個 0-day 漏洞 CVE-2022-41040、CVE-2022-41082,雖然很快就由官方發布暫時解決方案,但資安專家在數日內就發現這個解決方案並不足以防止駭侵者利用該兩漏洞發動攻擊。
越南資安廠商 GTSC 旗下的資安專家,在約三星期前發現這兩個 Microsoft Exchange Server 的 0-day 漏洞 CVE-2022-41040、CVE-2022-41082,其中 CVE-2022-41040 這個漏洞可讓獲得登入權限的駭侵者遠端誘發 CVE-2022-41082 漏洞,並利用後者遠端執行任意程式碼。
這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.8 分,危險程度評級為「高」(High) 等級。據 Microsoft 日前發布的資安通報,該公司已知這兩個 0-day 漏洞已遭駭侵者發動範圍有限的駭侵攻擊行動。
在 Microsoft 公布的資安通報中,雖然也提供了暫時的漏洞解決方案,要求系統管理員在 IIS Manager 中新增規則,不讓不具有管理權限的用戶遠端存取 PowerShell,但資安專家指出這個暫時解決方案只能夠阻擋已知的攻擊 URL,對於來自未知或新來源的相關攻擊是不具備防護能力的。
資安專家也指出,這種防禦方式只適用於部署在組織內部的 Microsoft Exchange Server,但有許多單位採用的是內部伺服器加上雲端主機的混合式架構,據統計有超過 1,200 個單位將這類混合式架構曝露於於外部網路;這類單位就很容易成為駭侵者的攻擊目標。
建議系統管理員應針對內部部署與雲端的 Microsoft Exchange Server 加強管理,勿授與任何不必要的帳號過大權限,特別是如 PowerShell 這類強力系統工具的權限,也應隨時注意 Microsoft 推出的最新修補工具並立即修補漏洞。CVE編號:CVE-2022-41040、CVE-2022-41082影響產品(版本):Microsoft Exchange Server 各版本。解決方案:尚無正式修補程式
twcert 發表在
痞客邦
留言(0)
人氣()
