資安廠商 Sysdig 近期發表研究報告指出,分析近期各種挖礦惡意攻擊後得到結論:駭侵者竊取受害者的雲端運算資源來挖礦時,每竊得 1 美元的等值加密貨幣,會消耗高達 53 美元的運算資源。
報告指出,許多以挖礦為目的的駭侵攻擊,例如惡名昭彰的 TeamTNT 等,會設法駭入各公私單位使用的雲端運算服務,例如 Docker Hubs、Amazon Web Services、Redis、Kuberates 布署等等,並且使用植入了 XMRig 惡意挖礦軟體的作業系統映像檔,來執行需要消耗大量 CPU 運算資源的 Monero(XMR)加密貨幣挖礦程式。
XMR 是一種如同比特幣一樣,採用工作量證明(Proof of Work)共識機制,需要大量算力來進行挖礦才能獲得的加密貨幣,由於本身具有十分強大的隱蔽性,他人難以追蹤 XMR 的獲取、轉帳過程,也難以定位持有人,因此很受駭侵者的青睞。
Sysdig 分析近期 TeamTNT 使用超過 10,000 個 endpoint 進行的駭侵挖礦攻擊活動「Chimaera」後,追蹤到 10 個用於攻擊活動的錢包 ID,取得這些錢包 ID 挖礦獲得的 XMR 枚數與等值金額,並據以估算受害者遭到消耗的系統資源價值;結論是這 10 個錢包一共挖到 39 枚 XMR 代幣,等於 8,120 美元,但消耗掉的系統計算資源卻高達 429,000 美元;相當於每挖到一枚 XMR 代幣,受害者被竊取用來挖礦的系統資源費用就高達 11,000 美元。
Sysdig 表示,上面的計算尚未計入其他額外損失,包括系統硬體因為長時間進行大量運算造成的耗損,以及系統服務因受挖礦活動影響,造成效能下降影響服務品質帶來的損失等等。
建議租用雲端服務的系統管理員,應經常檢查租用物件是否出現不正常的運算負荷,並加強雲端主機或容器的資安防護能力,以免因為遭到盜用而造成鉅額帳單費用。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
德國聯邦刑事局(Bundeskriminalamt, BKA)日前發布公告,指出該局成功破獲一個駭侵犯罪集團,逮捕三名嫌犯;這三名駭侵者遭控透過大規模釣魚攻擊,成功竊得 400 萬歐元不法所得。
德國警方表示,其中一名嫌犯是 24 歲德國公民,已遭逮捕並且起訴;另一名 40 歲嫌犯被控犯下 124 項電腦詐欺罪名。第三個嫌犯的犯行目前仍在調查階段。
德國警方指出,三名駭侵者的釣魚攻擊行動自 2020 年 10 月 3 日開始,於 2021 年 5 月 29 日結束;其釣魚攻擊的手法是向大量受害者寄發假冒德國各銀行的釣魚信件,偽稱由於銀行變更其安全系統設定,可能影響到受害者銀行帳戶的使用狀態,如果用戶需要繼續使用該銀行的服務,就必須再次登入自己的網路銀行。
駭侵者製作的詐騙信十分逼真,多數人難以分辨真偽;被導到釣魚網頁的受害者,會被要求輸入自己的網路銀行登入資訊,以及單次有效的交易驗證碼;駭侵者取得這些資訊,隨即藉以登入受害者的帳戶,並將其中的資金盜領一空。
德國警方也表示,三名駭侵者係自暗網上購買各種駭侵工具服務,利用這些工具來大量發送釣魚攻擊郵件;這波攻擊甚至造成相關銀行的網頁、伺服器與內網遭到大量自動化查詢需求連線,造成正常服務受阻。
鑑於這類假冒金融機構釣魚攻擊日益猖獗,一般用戶如果收到類似要求進行再次登入或索取驗證碼的郵件,絕對不可輕易點擊其中連結;可以用瀏覽器開啟搜尋引擎,進入銀行真正的官方網站登入,並檢視是否有任何郵件中宣稱的警告訊息出現。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Sentinel One 近日發表調查報告,指出該公司的資安研究團隊,發現 APT 駭侵團體 Lazarus,近日透過假冒 Crypto.com 的多個工作機會,對應徵的加密貨幣相關開發者投放含有惡意軟體的 macOS 檔案。
Crypto.com 是全球知名的大型加密貨幣企業,除了提供加密貨幣交易外,也提供 NFT、質押賺息、DeFi 服務等多項功能;該公司大手筆買下洛杉磯 Staple Center 球場冠名權,同時贊助多項運動比賽,因此成為駭侵者假冒的對象。
Lazurus 過去就曾有假冒加密貨幣業者在 LinkedIn 上「徵才」,然後以私訊傳送惡意軟體,用以駭入加密貨幣相關從業人員電腦的記錄。這次 Sentinel One 發現的攻擊活動,可謂故技重施;駭侵者透過 LinkedIn 私訊傳送一份 26 頁的 PDF 檔給應徵的加密貨幣開發者,檔案內容看似為 Crypto.com 的所有職缺說明,但內藏一個可在 macOS 執行的惡意軟體 Mach-O 二進位檔,接著進一步安裝酬載,並連接到駭侵者設立的控制伺服器。
由於在 Sentinel One 調查期間,Lazarus 已經關閉其控制伺服器,因此暫時未能查明會有哪些資料遭竊;不過 Lazarus 長期以來都鎖定加密貨幣相關業者與從業人員進行攻擊,過去也曾成功竊取受害公司與個人的加密貨幣資產。
建議加密貨幣相關工作者在求職轉職時,務必確認自己看到的職缺與聯絡窗口的真偽,對於對方寄送來的相關檔案也應小心謹慎,勿隨意開啟;各加密貨幣業者也應經常巡查 LinkedIn 等求職平台,檢視是否有不明帳號冒充官方帳號進行不法活動,如有則應立即檢舉。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 SecureLink 日前發表調查報告指出,製造業在管理其連網工業製造控制系統上,面臨重大資安風險;其中有高達 68% 廠商表示,對於其製造系統內外相關帳號的存取權限無法完全掌控。
報告指出,製造業在邁向數位轉型與工業 4.0 的過程中,導入多種智慧與數位技術,以控制生產流程,提高生產效率;然而這些新導入的相關系統,如營運科技(Operational technology, OT)、工業控制系統(Industrial control systems, ICS)和可程式化邏輯控制器(Programmable logic controller, PLC)等系統,原本並非設計為與外部網路互連。許多製造業者為求便利,讓這些系統可對外連線時,未能同步加強其資安防護能力,就帶來諸多威脅。
調查也指出,超過 50% 製造業者自陳未能加強其製造系統資安防護的原因有三,一是無法完全掌握、監控內外所有相關帳號的連線與其權限,二是治理方面的缺失,三是缺乏應對相關資安風險的處理能力。
調查報告也揭露,有高達 42% 製造業者並未針對第三方對其工業系統的連線工作階段進行任何監控,甚至未對第三方可進行的連線與存取權限加以限制,直接視同內部員工的連線存取,因而給予過多不必要的存取權限與資源。
報告也顯示製造業者對於帳號管理過於鬆散的事實,有 41% 業者沒有移除無需再次連線的帳號,也沒有控管登入資訊共享的情形;這導致駭侵者可以輕易利用各種方法取得登入資訊,進而駭入公司內網與其工控系統。
建議製造業應大幅加強工控系統的資安層級,除避免工控系統直接曝露於外網之外,更應仔細盤點各種不同層級連線者的存取權限,予以嚴格限制;且應即時清除無需再次連線的帳號。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 HUMAN 旗下的資安情報團隊 Satori Threat Intelligence team,日前在兩大行動作業系統 Android 與 iOS 的官方應用程式商店 Google Play 與 App Store 中,發現多支廣告惡意軟體,總下載次數高達 1,300 萬次。這類廣告惡意軟體通常會常駐在用戶手機中,在幕後或幕前顯示大量廣告,甚至會製造假點擊,以詐騙手法賺取廣告分潤。有些還會在用戶不知情的情形下,冒用用戶名義訂閱高價服務或軟體,讓用戶蒙受相當損失。
twcert 發表在
痞客邦
留言(0)
人氣()
專攻工業資安防護領域的資安廠商 Otorio,近日發表研究報告,指出該公司發現針對以色列境內製造業所屬工業控制系統(ICS)發動的大規模攻擊活動;鑑於這類系統的資安防護能力普遍薄弱,易遭駭侵攻擊並嚴重影響工業生產,產業界應強化這類系統的資安防護能力。
Otorio 在報告中指出,一個名為「GhostSec」的駭侵團體,於本(2022)年 9 月 4 日,在其社群媒體與 Telegram 平台宣稱成功駭入以色列境內多家製造業者所使用的 55 台 Berghof 可程式化邏輯控制器(Programmable Logic Controller, PLC)裝置。
GhostSec 公布了多段影片和畫面截圖,顯示該團體成功駭入受害 PLC 的管理介面,以及其連動的生產設備人機介面(Human-Machine Interface, HMI),以及某台 PLC 停止運作,導致相關生產流程停擺的畫面。
約在一周後,Otorio 再次發布資安通報,指出 GhostSec 於 9 月 10 日成功駭入另一家廠商的淨水設施;自該團體公布的畫面中可以看見,該團體取得某廠淨水系統的 PLC 控制權,可以任意設定用水 pH 值與氯含量。這個案例中遭駭的系統為 ProMinent 生產的 Aegis II 控制器。
在這兩次針對 ICS 與 PLC 的駭侵攻擊分析中,Otorio 發現這些曝露在 Internet 上的 PLC 非常容易透過 Shodan 搜尋引擎予以發現定位,其中更有許多裝置仍使用出場預設的登入帳密即可進入。研究也指出,進入 PLC 系統後雖然無法直接控制個別生產流程,但駭侵者仍可擁有某些功能的完整權限,因此仍可影響工業生產。
資安專家指出這類製造系統的資安防護普遍相當薄弱,因此企業不能只注重 IT 系統的資安防護,對於 OT(Operational Technology)的資安防護能力亦應提升。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Mend 旗下的資安專家,日前發現由許多加密貨幣交易所採用的部分 npm 軟體套件,近日遭駭侵者植入可用於資訊竊取的惡意程式碼。
這些遭植入惡意程式碼的 npm 套件,經查係由 dYdX 交易所的員工所上傳;dYdX 是一個架構在以太坊區塊鏈上的去中心化加密貨幣交易所(Decentralized Exchange, DEX),提供包括比特幣與以太幣等 35 種以上熱門加密貨幣的永續合約交易,每日交易量超過 10 億美元。
資安專家指出,目前確定含有惡意程式碼的 npm 軟體套件有 @dydxprotocol/solo 0.41.1、0.41.2 和 @dydxprotocol/perpetual 1.2.2、1.2.3 等。另外稍早時候證實亦遭植入惡意軟體的 @didxprotocol/node-server-base-dev,目前則已下架。
資安專家指出,在 Github 中至少有 44 個專案使用了 @dydxprotocol/solo 套件,而這些專案則分屬多個加密貨幣交易平台所有。因此可以想見有多家加密貨幣交易平台,可能使用了這些內含惡意軟體的程式碼套件來進行開發。
分析指出,植入的惡意程式碼,一旦安裝到受害電腦上,即會自受害者在 Amazon AWS instance 上竊取 IAM 登入資訊,以及用戶在 Github 上的 token、SSH key、環境變數與對外 IP 等資訊。
dYdX 在收到其上傳程式碼內含惡意軟體的通報後,對外表示已立即自 npm 中移除多個程式套件,並表示該平台的網站、App 均未遭到攻擊,該平台資金安全無虞,且該惡意軟體不會攻擊其智慧合約。
由於這類在公開的開源程式套件庫中植入惡意軟體的供應鏈攻擊案件,近來發生次數日益增加,因此程式開發者在採用這類程式庫時,務必提高警覺,並做好對應防範措施,以免遭到攻擊。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
英國警方宣布逮捕一名英國籍 17 歲嫌疑犯,該嫌疑者涉及日前發生於 Uber、Rockstar 等公司的駭侵案件。
倫敦市警察局稍早發表聲明,指出該局於本(2022)年 9 月 22 日於地點 Oxfordshire 逮捕該名 17 歲嫌疑犯,目前正在進行偵訊。調查與逮捕行動係會同英國國家刑事局(National Crime Agency)與國家網路犯罪單位(National Cyber Crime Unit, NCCU)共同進行。
由於嫌犯仍未成年,因此警方沒有公布其姓名。
雖然倫敦警方沒有提供關於駭侵案件的詳細說明,不過資安專家認為該案件與 Lapsus$ 駭侵團體高度相關;資安界普遍認為該駭侵團體與近期發生的 Uber、Rockstar Games、2K 等公司的駭侵事件有關。
在去(2021)年,資安專家曾懷疑 Lapsus$ 犯下的一系列大公司駭侵案,就是由一名被稱為「White」或「BreachBase」的 16 歲英國駭侵者指揮,受害的公司包括 Microsoft、Cisco、NVIDIA、Samsung 和 Okta 等。
今年 4 月時,倫敦警方也曾逮捕 7 名駭侵者,年齡自 16 歲到 21 歲不等,其中包括一名 17 歲的主犯;不過警方很快就讓其中兩人保釋,主要是因為其並非主要犯嫌。
數日前一個自稱「Teapotusbehacker」的駭侵團體,在網路上公開未上市大型遊戲「俠盜獵車手 6」(Grand Theft Auto 6)的部分開發中遊戲片段影片,以及 GTA 5( 已上市)與 GAT 6 的部分程式碼片段。
這類針對大型公司的駭侵案件日益普遍,往往造成未上市產品遭到提前公開,因此各企業應加強資安防護與演練,避免員工和有弱點的系統成為遭駭破口。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
數位資產交易公司 Wintermute 日前發布資安通報,指出該公司的去中心化金融業務(DeFi)遭到駭侵者攻擊,高達 1.62 億美元的數位資產遭竊。
Wintermute 的主要業務是在多達 50 個以上的加密貨幣交易所與交易平台中提供流動性,亦即投入加密貨幣資金,以賺取利息或其他收益;與 Wintemute 合作的大型加密貨幣交易所,包括 Binance、Coinbase、Kraken、Bitfinex 等。
雖然 Wintermute 沒有提供任何本次駭侵攻擊的細節,僅表示公司資產充裕,運作一切正常,不過加密貨幣專家推測指出,駭侵者可能是利用個人化以太幣錢包位址產生器 Profanity 的一個已公開漏洞來發動此次攻擊,並且成功竊取大筆資金。
資安專家指出,由於 Profanity 充許用戶在位址中使用自訂 16 進位數字組合來產生自訂錢包位址,因此給駭侵者透過暴力試誤法來產生私鑰的空間;據估計,駭侵者只要使用 1000 個 GPU 運算 50 天,即可產生 7 位數自訂位址的所有私鑰組合。而許多加密貨幣礦場使用的 GPU 數量都遠大於此。
資安專家也表示,由於以太坊自需要大量算力的工作量證明(PoW)共識協定,改版至不需要算力的權益證明(PoS)共識協定,造成許多以太幣礦工投下巨資購置的礦機,此後陷於無用武之地的困境;這些礦機也可能遭駭侵者取得用來進行 Profanity 位址破解運算,用來獲取暴利。
建議加密貨幣投資者,如果將數位資產存在由 Profanity 產生的錢包位址,應盡速將資產轉移其他錢包內;最好使用不連接網路的冷錢包來儲存資產,且絕對不要將錢包恢復短語告知外人,或存在易遭破解的網路服務內。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Okta 日前發表調查報告,指出在本(2022)年第一季中全球網路的登入流量中,有高達 34% 為駭侵者發動的憑證填充(Credential Stuffing)攻擊;在某些地區這類攻擊的流量甚至高於正常登入流量。
所謂憑證填充攻擊,多為駭侵者透過僵屍網路對目標伺服器發動大規模登入嘗試,在每次登入時都會使用竊取而來的登入資訊,試圖登入目標伺服器或網路服務。如果某一組登入資訊可以成功登入,駭侵者就能進入系統,進行進一步的攻擊;如果一直無法登入,目標伺服器也可能因為短時間的大量登入連線要求,造成系統不堪負荷,導致正常服務受阻。
Okta 報告指出,該公司長期監測網路登入流量並進行分析,發現 2022 年以來,透過憑證填充攻擊的案例數量較往年大幅上升;以全球登入流量來看,已佔 34%,亦即超過三分之一的登入都是憑證填充攻擊。
報告也指出,在全球某些地區如東南亞和美國,憑證填充攻擊的流量佔比還更高,遠超過正常登入的流量佔比。如以攻擊目標所屬行業別來看的話,最常遭到憑證填充攻擊的是零售/電商網站,此外教育、能源、金融服務、軟體/SaaS 網站也是這類攻擊集中發動的目標類型。
另外 Okta 也指出,這類攻擊的特徵是會集中火力在短期間內大量發動登入攻擊,有案例是登入連線要求暴增 10 倍以上,因此往往造成伺服器巨大負荷,影響正常運作。
建議網站營運管理者應採取行動防範憑證填充攻擊,包括使用各種偵測方式辨認非正常登入要求、採用 proxy 偵測系統,且將可疑帳號予以停權等;用戶則應避免在不同服務之間使用同一組密碼,並且務必啟用二階段登入驗證。參考連結
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cofense 近日發布研究報告,指出該公司發現有駭侵者大規模在釣魚郵件攻擊中濫用 LinkedIn 的智慧連結(Smart Link),跳過 Email 軟體中的資安防護功能,將用戶導至釣魚網頁,以竊取金融相關機敏資訊。
Smart Link 是 LinkedIn 專為 LinkedIn Sales Navigator 與企業用戶提供的功能,可以透過單一連結,一次傳送 15 個檔案,也提供網路行銷人員各種數據分析資訊。
Cofense 發現的釣魚駭侵行動,主要針對斯洛伐克用戶進行;駭侵者假冒斯洛伐克國營郵局發送通知信件給目標用戶,要求用戶支付包裹遞送費用。駭侵者除了使用假冒的信件標頭,讓發信者看起來像是真正的國營郵局外,在信件中的確認按鈕中,也埋設了 LinkedIn 的 Smart Link。
由於該連結是由 LinkedIn 製作發出,因此不會觸發 Email 軟體中的資安防護警訊機制,用戶一旦點按,就會被導到駭侵者設立的釣魚網站,要求支付 2.99 歐元的包裹運費;不過駭侵者真正的目標,是用戶在頁面中輸入的各項信用卡資訊,包括卡號、持卡人姓名、卡片到期日、背面 CVV 驗證碼等。
用戶一旦送出這些資訊,甚至還會透過手機收到確認繳費的假簡訊,以讓用戶更加不疑有他。
資安專家指出,這類利用 LinkedIn Smart Link 的駭侵攻擊手法,目前雖然只針對斯洛伐克用戶,但受害者範圍的擴大也只是時間問題,很快就會有其他國家用戶遭到類似手法的攻擊。
資安專業媒體 BleepingComputer 就此向 LinkedIn 採訪,LinkedIn 表示內部團隊積極防制任何釣魚攻擊行動,並鼓勵用戶開啟二階段驗證功能,並在遇到疑似釣魚網頁時提出檢舉。
由於釣魚郵件的攻擊手法日新月益,且愈來愈難偵測,建議用戶在任何網頁輸入機敏資訊時,務必提高警覺,在確認後才予以輸入,以求自保。
twcert 發表在
痞客邦
留言(0)
人氣()
全球網通產品大廠 Palo Alto Networks 旗下的資安威脅研究團隊「Unit 42」,近日發表調查報告指出,近來透過「影子網域」(domain shadowing)手法發動駭侵攻擊的案例數量,較過去大為提升。
報告指出,該團隊利用網路掃瞄的方式進行分析,在 2022 年 4 月到 6 月之間就發現了 12,197 個影子網域案例。
資安專家表示,影子網域是一種 DNS 挾持攻擊的類型;駭侵者以各種手法取得某個網域名稱的控制權後,在該網域下新增一個子網域,指向自己能夠控制的主機,來進行各種駭侵攻擊活動。
這種攻擊手法由於沒有更動主網域與其下屬其他子網域,因此不容易遭到發現;而用戶在接收到駭侵者冒用遭挾持為影子網域主機所發送的釣魚信件,或連上惡意網站時,由於仍會顯示合法真實的網域名稱,所以不但能夠通過防毒防駭程式的監控,用戶也會降低其戒心。
Unit 42 指出,影子網域的偵測極為困難,必須使用高度的自動化機器學習技術,才能快速精準分析大量的 DNS 記錄資料;在 VirusTotal 中也僅僅記錄了 200 個影子網域的案例,少於 Unit 42 找到的 12,197 個案例。
在 Unit 42 針對某個影子網域的駭侵攻擊案例分析中,可以看到該駭侵者挾持了 16 個分屬澳洲、俄羅斯和美國的私營企業、教育單位網域,並在其下設立了 649 個影子網域,來進行各種駭侵攻擊;其中有個澳洲企業所屬的網域,遭駭侵者私設影子網域的時間,長達 19 年。
由於這類透過影子攻擊的手法難偵測並防範,因此各單位的網域管理者,必需經常檢視自己擁有的網域是否出現異常;一般用戶在進入疑似釣魚頁面時,也應提高警覺,即使網域名稱無誤,也不要任意輸入自己的登入資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
