共享乘車與送餐服務大型業者 Uber,於本(2022)年 9 月 15 日發布資安通報,指出該公司發生內部系統遭駭侵者以社交工程攻擊手法入侵的資安事件;目前該公司調查查無用戶個人隱私資訊遭到不當存取的證據。
Uber 於 9 月 15 日發表的資安通報,僅指出該公司正在應對一起資安事故,且已會同司法單位進行事件調查。接著,該公司又於 9 月 16 日再次發表資安通報,指出目前查無用戶機敏資訊(如用戶乘車行經路徑)外洩的證據,且該公司旗下所有服務,包括 Uber、Uber Eats、Uber Freight、Uber Driver App 等都維持正常運作。
不過據紐約時報指出,這次攻擊事件可能肇因於某位員工遭到一名年僅 18 歲的駭侵者,透過社交攻擊手法取得該公司內部系統的登入資訊。
紐約時報進一步指出,該名駭侵者為了取得兩步驟登入驗證密碼,更透過大量發送垃圾通知的手法讓該名遭駭員工不斷收到推送通知,接著再於 WhatApp 上假冒 Uber IT 人員和該員工對話,進而取得兩步驟驗證碼的存取權。
資安專家也指出,該名駭侵者在取得兩步驟驗證碼後,隨即進入 Uber 內部網路,同時很快就在其內網的某個檔案中找到許多具有極高權限的登入資訊;該名駭侵者立即使用這些登入資訊存取 Uber 內部各項系統,包括產品系統、企業 EDR 控制台、Uber 內部的 Slack 管理介面等等。
駭侵者甚至還公開 Uber 各個內部系統的螢幕擷圖,甚至包括內部財務系統的報告畫面,以及 Uber 透過 HackerOne 舉辦漏洞發現懸賞的多份報告在內。資安專家擔憂駭侵者可能會將這些漏洞資訊對外販售。
建議各企業應加強員工資安宣導,防範員工成為社交攻擊破口;內部系統的重要存取密碼也需善加保護,以免遭駭侵者輕易取得,用於發動進一步攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Kaspersky 近期發現,有駭侵者大規模利用放在 YouTube 上的遊戲破解攻略教學影片,散布含有惡意程式碼的假冒破解程式,讓用戶下載安裝,藉以竊取用戶的機敏資訊,甚至利用受害者電腦進行加密貨幣挖礦。
Kaspersky 發現駭侵者鎖定多種熱門電腦遊戲如 FIFA、Final Fantasy、Forza Horizon、Lege Star Wars、Spider-Man 等,製作遊戲攻略或破解教學影片,並在影片說明中放置連結,讓不明究理的玩家點按,並下載安裝假冒的破解程式。
Kaspersky 指出,在假冒的破解程式中,實際上含有一個名為「RedLine」的惡意軟體;用戶一旦安裝在自己的電腦上,RedLine 即會竊取儲存在電腦內的各種機敏資訊,包括瀏覽器中的 cookie、各種登入資訊、信用卡資訊、即時傳訊軟體中的對話內容,以及加密貨幣錢包相關資訊。
此外,該惡意軟體還會利用玩家電腦上的硬體資源來進行加密貨幣挖礦,為駭侵者賺取更多不法利益。
Kaspersky 表示,該惡意軟體擁有一個 NirCmd 公用程式,可以在不產生任何螢幕視窗的情況下偷偷執行應用程式,因此用戶難以察覺自己的電腦正在執行惡意軟體。
Kaspersky 也在報告中指出,RedLine 的特別之處,在於還能利用受害者用戶的瀏覽器 cookie 登入受害人的 YouTube 帳號,上傳含有惡意連結的遊戲攻略影片,甚至還會在社群討論區 Discord 的相關討論區中貼上影片觀賞連結,進一步擴大惡意軟體的散布。
建議遊戲玩家應避免在官方管道之外的任何地方,包括論壇、影音平台、社群平台等處下載破解版遊戲軟體、註冊機或其他破解程式,以免成為駭侵者的攻擊目標;另外也應注意自己在各社群平台或影音平台帳號,是否遭人盜用以發布任何內容。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ESET 旗下的資安研究人員,近期發現一種新出現的 SideWalk Linux 版後門惡意軟體;該後門和駭侵團體 SparklingGoblin 與 APT41 關係密切,用以攻擊學術研究單位。
ESET 在報告中指出,新發現的 SideWalk 後門 Linux 版本,過去原本是針對 Windows 電腦而開發的 Windows 版本,原先於 2020 年由資安廠商奇虎 360 旗下的資安研究單位 360 Netlab 發現,後來其他資安廠商陸續發現,該惡意後門軟體被 APT41/SparklingGoblin 駭侵團體於 2020 年 5 月,用以攻擊香港某一所大學的研究單位。
在 ESET 的報告中指出,這次發現的 SideWalk Linux 版本與 Windows 版本的 SideWalk 可謂系出同源,程式碼與架構有許多極為相似之處;包括兩個版本都使用 ChaCha20 加密演算法,且同時使用一個初始值為 0x0B 的計數器,而這是 SideWalk 的一個特徵。
另外 ESET 也發現 Linux 版的 SideWalk 後門軟體,和 Windows 的版本使用相同的密鑰,對送往控制伺服器的所竊得資料進行加密傳送。這也間接證實兩者間的密切關係。
ESET 指出,SparklingGoblin 近期使用 SideWalk Linux 版攻擊的對象,是當時在 2020 年入侵的同一所大學;該團體成功入侵該校多台伺服器,包括一台印表機伺服器、一台 Email 伺服器,以及一台用來管理學生行事曆與選修課程的伺服器。
由於這類由國家支持的 APT 駭侵團體,其駭侵技術十分先進成熟,因此各個可能成為其潛在攻擊目標的單位,都必須嚴加防範,徹底加強資安防護能力與意識。
twcert 發表在
痞客邦
留言(0)
人氣()
荷蘭警方近日宣布,於今(2022)年 9 月 6 日前逮捕一名 39 歲男子,該男子涉嫌竊取數千萬歐元等值加密貨幣並且進行洗錢。
荷蘭警方表示,在接獲該國與義大利受害者報案後,警方與該國中央網路犯罪偵辦單位協力合作,監控特定比特幣交易後,終於找到該名犯罪分子的行蹤,並於一個叫 Veenendaal 的小村將其逮捕。
警方在聲明中說,該名嫌犯所有透過犯行得到的不法獲利,目前均以加密貨幣形式遭到警方扣押;該嫌犯雖然在 9 月 8 日獲釋,但警方對其犯罪行為的調查仍在繼續進行中。
警方在聲明中指出,該嫌犯係利用植入惡意程式碼的更新版加密貨幣錢包 Electrum Wallet 來竊取受害者的加密貨幣。Electrum 是一個開源比特幣數位錢包,可以用來儲存用戶的加密貨幣資產。
警方目前尚未提供關於此案駭侵手法的詳細說明,不過荷蘭警方向媒體表示,嫌犯是透過釣魚攻擊來散布植入了惡意程式碼的 Electrum 錢包;嫌犯極可能在 Electrum 中植入了可竊取受害者電腦資訊的惡意程式碼,或是利用釣魚攻擊誘騙受害者輸入機敏資訊,因此能夠掌握受害者用以復原加密貨幣錢包的復原短語。
只要輸入正確的復原短語,駭侵者即可在自己的設備上,完全存取受害者加密貨幣錢包,並且輕易竊走錢包內的加密貨幣資產。
加密貨幣投資者應特別注意資產安全,避免將加密貨幣儲存在可透過網路連線存取的「熱錢包」,避免自不明來源下載相關軟體,同時絕不將復原短語告知任何人。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近日針對旗下推出的 iPhone、iPad 與 Mac 電腦等裝置,推出 iOS、iPadOS、macOS 作業系統更新,以修復一個已遭駭侵者大規模用於駭侵攻擊的 0-day 資安漏洞 CVE-2022-32917;用戶應立即更新。
在這次更新中獲得修補的 0-day 漏洞,其 CVE 編號為 CVE-2022-32917,屬於作業系統核心中的邊界漏洞;駭侵者可以利用此漏洞誘發記憶體崩潰,並且提升執行權限,以便遠端執行任意程式碼。
CVE-2022-32917 的 CVSS 危險程度評分為 8.4 分(滿分為 10 分),危險程度評級為「高」;且根據 Apple 提供的資安通報指出,該漏洞顯然已遭駭侵者大規模用於攻擊活動。
Apple 針對此漏洞,推出 iOS 15.7、iPadOS 15.7、macOS Monterey 12.6 與 macOS Big Sur 11.7 加以修復;受到影響的 Apple 裝置包括 iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。
CVE-2022-32917 是 Apple 自今(2022)年以來修復的第 8 個 0-day 漏洞。
建議廣大 iPhone、iPad 與 Mac 電腦用戶,在 Apple 推出作業系統更新且收到通知時,應立即依系統指示,更新到最新版的作業系統,以免遭到駭侵者利用已公開但未及更新的漏洞發動攻擊。CVE編號:CVE-2022-32917影響產品(版本):iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。解決方案:升級到最新版 iOS、iPadOS、macOS 作業系統版本
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 於近日推出 2022 年 9 月的 Patch Tuesday 每月例行更新修補包,一共修復 63 個該公司旗下各種產品的資安漏洞,其中包括 5 個嚴重等級資安漏洞,更有 1 個已遭大規模用於駭侵攻擊;用戶應立即將使用中的 Microsoft 各種產品更新至最新版本,以避免遭駭侵者用於攻擊。
以類型來區分,在這次 Patch Tuesday 得到修補的資安漏洞分別如下:執行權限提升漏洞:18 個;資安功能略過漏洞:1 個;遠端執行任意程式碼漏洞:30 個;資訊洩露漏洞:7 個;服務阻斷攻擊漏洞:7 個;Edge - Chromium 瀏覽器組件漏洞:16 個。
twcert 發表在
痞客邦
留言(0)
人氣()
獨立資安研究人員 Bobby Rauch 近期發現一種針對工作社群討論軟體 Microsoft Teams 的全新攻擊手法,可利用 Microsoft Teams 的一系列資安漏洞,透過特製 GIF 圖檔來發動釣魚攻擊、資料竊取等多種駭侵攻擊。
專家指出,這種攻擊手法主要是利用一個稱為 GIFShell 的惡意軟體組件,利用 Microsoft Teams 一系列資安漏洞,在受害電腦中建立起「反向殼層」(Reverse Shell),並以此反向殼層來傳送夾帶惡意指令,以 base 64 編碼的 GIF 檔案。
為建立這種攻擊模式,駭侵者首先要設法讓 Microsoft Teams 工作群組中的某個成員,在其電腦中安裝一個可用以執行駭侵指令的惡意 stager,同時在該工作群組中設立一個駭侵者自己控制的帳號。
接下來,駭侵者可以利用 GIFShell 將含有惡意指令的特製 GIF 檔傳送到群組中,受害者電腦上的 Microsoft Teams 會將該圖檔存在 log 檔中;由於任何低執行權限的人都可以查看該 log 檔,因此 stager 也會監視並接收存在 log 檔 GIF 圖檔內的惡意指令,並將之解碼成文字指令,再交由 GIFShell 惡意軟體來執行;駭侵者便可以此流程發動各種駭侵攻擊,包括釣魚攻擊、資料竊取等等。
Bobby Raush 是在今(2022)年 5 月到 6 月之間發現這種攻擊手法,並立即通報 Microsoft,不過根據資安專業媒體 BleepingComupter 的報導,Microsoft 並未立即修正可導致這種攻擊手法的一系列資安漏洞,而是指出這種攻擊手法的運用必須先要有用戶遭駭入,只要用戶能夠提高自己的資安防護能力與意識,該公司認為沒有立即危險,將會在未來的版本再行修復相關漏洞。
不論一般用途或工作使用的社群溝通軟體,建議用戶都應避免自不明連結下載安裝任何應用程式,也勿輕率點按不明連結,以降低遭這類攻擊鎖定的機率。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Norton 旗下研究單位 Norton Labs 的資安專家,近期發表研究報告指出,有超過 80% 的大型網站,會將網友在其網站上搜尋站內資訊時輸入的關鍵字,透露給如 Google 之類的網路廣告業者;這種行為可能造成用戶隱私侵害問題。
Norton Labs 為研究用戶瀏覽網站受到阻礙的情形,開發出一個網頁爬蟲程式,首先模擬真人用戶進行站內搜尋,並在搜尋框內輸入「JELLYBEANS」當做搜尋關鍵字,然後收集網站所有網路流量進行分析,結果發現分析目標的 100 萬個網站中,有高達 81.3% 網站與第三方網站之間的連線要求的後續傳送資料中出現了「JELLYBEANS」這個關鍵字,足證用戶輸入的站內搜尋關鍵字,被傳送到第三方網站中;而這些第三方網站中,絕大多數都是網路廣告相關業者的伺服器。
藉由分析這些連線要求封包標頭中的資訊,Norton Labs 可以掌握取得「JELLYBEANS」關鍵字的,是哪些第三方網站;Norton 同時也發現用戶輸入的站內搜尋關鍵字,有 75.8% 透過 Referer header 來傳送,也有高達 71% 透過 URL 的後綴參數來傳送。
Norton 指出,雖然各大網站都備有大篇幅的隱私保護政策,但真正有在其隱私保護政策中明確說明會將用戶的搜尋內容傳給第三方的網站,僅佔 13%;其他 75% 網站都只用概括性的描述「與第三方分享用戶相關資料」輕輕帶過。
針對網站把用戶輸入的關鍵字傳送給第三方網站的做法,目前沒有太多防範措施;不過為了避免這些輸入資訊與個人可追蹤身分連結起來,導致用戶隱私進一步的侵害,建議用戶可使用工具來阻擋網頁中埋入的跨站追蹤機制,或使用具備跨站追蹤阻擋功能的瀏覽器,例如 Safari、Firefox 等。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA) 日前下達命令,要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單(Known Exploited Vulnerabilities, KEV)的 12 個以上資安漏洞,其中包括 Google Chrome 0-day 漏洞。
這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊,其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593,以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。
其他於此次列入清單中的漏洞,還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞(CVE-2022-9934)、Oracle WebLogic Server 的不明漏洞(CVE-2018-2628)、Android OS 權限提升漏洞(CVE-2011-1823)等。
根據 CISA 指出,在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後,所有聯邦旗下的民事相關單位,都必須依照於去(2021)年 11 月頒布的強制操作指引(Binding Operational Directives, BOD) 22-01 之規定,限期完成新加入漏洞的修補作業。
以這次的情形而言,各聯邦所屬單位將有三星期的時間完成各項修補作業,最遲應於 11 月 29 日前全部完成。
雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力,但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令,參考其資安防護指引修補漏洞,並強化自身的駭侵攻擊防禦能力。
twcert 發表在
痞客邦
留言(0)
人氣()
美國 John Hopsking 大學的兩位資安研究人員,近來在今(2022)年度的 Usenix Security Symposium 資安研討會上發表論文,指出該研究團隊利用全新開發的圖像式分析工具 ODGen 進行分析,發現廣為網頁開發人員使用的 JavaScript 開發框架 Node.js 開源程式庫內的程式碼,存有 100 個以上的 0-day 漏洞。
這類圖像分析工具的運作原理,是分析程式碼,建立一個圖像架構,反映某應用程式中各種不同的單元及其執行分支,可以用來找出程式碼中的漏洞。這種分析工具能夠有效找出以某些程式語言撰寫程式碼內含的漏洞,例如 Code Property Graph (CPG) 即可有效運用於 C/C++ 與 PHP 程式碼的漏洞分析。
有鑑於 CPG 的運用成功,John Hopkins 大學的研究團隊也運用該原理,開發出運用於 JavaScript 程式語言的漏洞分析工具 ODGen,並且以此工具掃瞄 Node.js 這個廣受全球數百萬名開發人員歡迎,其程式庫已有數百萬種不同套件的開源程式開發框架,結果發現了 180 個 0-day 漏洞。
該團隊提報這些 0-day 漏洞後,已經有 70 個漏洞取得 CVE 編號。
據研究團隊表示,ODGen 可以準確發現 13 種不同的漏洞類型,包括 XSS、SSRF/CSRD、SQL 指令注入、原型污染(Prototype Pollution)、指令注入等等。該團隊也利用此工具分析廣受使用的 30 萬種 NPM 開發套件,結果發現超過 3,000 種資安漏洞,其中有 264 種存於每周下載次數超過 1,000 次的熱門套件。
研究團隊表示,接下來將延伸 ODGen 支援的程式語言種類,以便支援其他經常用於網站開發的程式語言,包括 PHP 與 Java 在內。
由於近年來在開源程式庫中發現的惡意與非惡意漏洞逐漸增加,開發人員在下載開源程式套件使用前,必須先確認該套件為最新版本,且未遭駭侵者修改並注入惡意程式碼。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 PT SWARM 日前發表研究報告,指出該公司發現一種利用憑證透明度(Certificate Transparency, CT)機制發動攻擊的手法,可以利用「時間相關性」攻擊,可以一次取得大量網域。
報告指出,當代的網站為了避免安全憑證過期而造成網站無法存取,多會利用自動化的 TLS 憑證核發與更新機制,例如企業用的 DigiCert、民用的 Let’s Encrypt 與 ZeroSSL 等。
PT SWARM 發現在這種憑證核發的過程中,存有弱點可進行攻擊;任何人都可以利用這種方法,大量取得登記在同一台伺服器上的所有網域名稱;由於許多憑證核發單位都在同一時間更新憑證,該公司因而發現可以利用這種「時間相關性」弱點來發動攻擊。
該公司的研究人員,是在追蹤駭侵者大量設立的多個釣魚網站的網址設立流程中,意外發現這種攻擊方法:研究人員利用工具查詢某個惡意網站獲得 Let’s Encrypt 核發 SSL 憑證的時間戳記,然後以此戳記在 Censys 網站上查詢在同一時間獲得 SSL 憑證核發的網站,就能獲得大量公開甚至未曾公開的網域名稱。
研究人員雖然用這種方法,找出由單一駭侵者設立,將用於惡意釣魚網站的網域名稱,但這種方法同樣也能用來發現一般正常網站使用的網址;駭侵者也有可能利用這種簡單的方法,來找出目標網站擁有的所有網址,並且伺機發動攻擊。
建議網站管理員應勤於檢查 CT 記錄檔,就有機會發現遭受這類攻擊的跡象,並且及早因應。
twcert 發表在
痞客邦
留言(0)
人氣()
使用者眾多,功能與 Google Authenticator 相似的二階段驗證碼產生器 Authy,經證實在本(2022)年 8 月初 Twilio 遭到駭侵攻擊時,有部分帳號資訊遭到駭侵者竊走;因此駭侵者將可取得這些用戶在各種網路服務在使用時須輸入的二階段驗證碼。
Authy 是由 Twilio 公司於 2015 年併購的服務,主要服務是一種簡單好用的二階段驗證碼產生器,由於可以方便地跨平台同步用戶須產生驗證碼的服務帳號,不必逐一輸入或掃瞄二維條碼,因此相當受到歡迎。
Twilio 最近開始針對該公司在 8 月初遭到的駭侵攻擊事件進行調查,調查證實共有 93 名 Authy 用戶的帳號遭到駭侵者不當存取;這也表示駭侵者將可取得這些用戶在登入各種服務時使用的二階段驗證碼,這樣即可輕易竊取這些服務的帳號控制權。
Twilio 表示為了減低影響層面,該公司立即撤銷了未授權裝置上的 Authy 驗證相關資訊,並與受影響的使用者聯絡,建議採取以下策略:檢查利用 Authy 產生驗證碼的帳號與服務,是否出現不正常的存取或使用情形。移除任何未經授權裝置的 Authy 連結,阻止其使用 Authy 產生驗證碼。設定一台備份裝置,然後暫時停用 Authy 的跨裝置使用功能。
twcert 發表在
痞客邦
留言(0)
人氣()
