台灣電腦網路危機處理暨協調中心-TWCERT/CC

本中心近期接獲民眾收到勒索郵件的通報，該郵件來源為駭客偽冒政府機關網域發送詐騙郵件。郵件內宣稱駭客已取得用戶電子郵件的訪問權限、於用戶的電子設備植入惡意軟體，並取得用戶所有的通訊與活動紀錄。接著表明擁有用戶的私密影片，若不希望影片外流必須支付特定數量的比特幣，否則將會公開用戶的私密影片至其親友。
提醒民眾，收到此類詐騙郵件請勿匯款，建議先聯繫相關單位進行求證，或是至TWCERT/CC官網進行通報 。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Google 旗下資安研究團隊 Threat Analysis Group （TAG）旗下的研究人員 Ajax Bash，日前發表研究報告指出，駭侵團體 APT35（又名「Charming Kitten」）利用一種新開發的駭侵工具 Hyperscrape，能夠竊取目標對象的 Gmail、Yahoo! Mail、Outlook 等網路信箱的登入資訊，並且竊取信箱內部的郵件內容。
研究人員指出，該團體專門針對所謂「高度危險用戶」做為駭侵目標，一共鎖定約二十多名伊朗境內人士或單位，自 2020 年起就開始利用 Hyperscrape 來對這些目標進行監控。
研究人員也說，Google 長期監控 Charming Kitten 的駭侵行為，發現該組織多年來針對特定目標進行帳號竊取、植入惡意軟體等駭侵監控行動；且 Hyperscrpae 工具的開發工作也持續不斷。
報告指出，Hyperscrape 會利用先前竊得的登入資訊，登入受害者的 Email 信箱，先將用戶選擇的界面語言改為英文，接著開始下載用戶信箱收件匣內的郵件，以 .eml 檔案格式一封一封下載，並將原本未讀的郵件重新設定為未讀狀態；然後將界面語言還原為用戶的原始設定，最後再刪除 Google 寄發的帳號活動異常警告信件。這樣用戶就難以查覺信件已經遭竊。
Google 的報告中指出，雖然 Hyperscrpae 在技術上並無任何創新之處，但卻能有效配合 Charming Kitten 的駭侵行動而持續開發。
雖然 Hyperscrape 本身只針對鎖定的監控對象，但類似的個資竊取手法可能由其他駭侵團體用來攻擊任何人，因此網路信箱用戶應特別提高警覺，務必使用強式密碼，並啟用二階段登入驗證，以防範駭侵者輕易取得登入資訊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

美國西北大學的資安研究人員團隊，近來發現 Linux 核心中有一個存在長達 8 年未被發現的漏洞「Dirty Cred」，可能導致駭侵者提升執行權限，並可遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2022-2588，存於 Linux 核心內對於 cls_route 篩選器的實作中，屬於已釋放記憶體漏洞（use-after-free）。駭侵者如果取得本機的 CAP_NET_ADMIN 權限，即可利用此漏洞以進一步提升執行權限，造成系統崩潰或執行任意程式碼。
同一組研究人員，日前在於 Black Hat 資安研討會上揭露另一個存於 Linux 核心版本 5.8 及後續版本的「Dirty Pipe」漏洞（CVE-2022-0847），可輕易繞過 Linux 諸如隨機核心位址與指標完整性檢查等安全機制，利用 Linux 核心的管線機制，在任意檔案中注入資料；而新發現的 Dirty Cred 則不需利用 Linux 核心管線機制，因此使用更加簡便，破壞能力也更大。
研究人員指出，Dirty Cred 的運作原理，是將無權限的核心登入資訊更換成有權限者，無需在核心 heap 中覆寫任何重要資料欄位，只要利用 heap 記憶體重新使用機制，即可取得更高的執行權限。
研究人員也已透過概念證實程式，在 Linux 與 Android 系統上成功實作利用 Dirty Cred 的駭侵攻擊手法。
目前 Linux 開發團隊仍在針對此漏洞發展修補方式，尚未釋出更新；研究人員指出，在虛擬記憶體中將具備權限的登入資訊與不具備權限的登入資訊隔開，以防止跨快取攻擊，可能可以防止駭侵者利用 Dirty Cred 漏洞發動攻擊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安研究單位 CYFIRMA 旗下的研究人員，近日發表研究報告，指出有超過 80,000 台海康威視監視攝影機，因內含一個嚴重的指令注入資安漏洞 CVE-2021-36260，使得駭侵者可輕易取得其影像資料，並且取得裝置控制權。
報告指出，駭侵者可利用此漏洞，傳送一個特製的訊息給含有此漏洞的海康威視裝置內的 web 伺服器，從而控制受駭裝置。
據 CYFIRMA 的報告指出，受此漏洞影響而存有弱點的 80,000 多台海康威視攝影機，普遍分布在全球多個國家，其中以中國、美國、越南、英國、烏克蘭、泰國、南非、法國、荷蘭、羅馬尼亞等國的數量最多。
CYFIRMA 說，雖然該漏洞在 2021 年 9 月就由海康威視於新版韌體中予以修復，但由於多數用戶都沒有經常更新 IoT 裝置韌體的習慣，導致至今仍有超過 100 國、2,300 以上使用該品牌產品的單位，其裝置都還在使用有漏洞的舊版韌體，造成極大的資安風險。
在 2021 年 12 月，一個使用 Mirai 惡意木馬程式碼的 Moobot 僵屍網路，就曾利用此漏洞與過去在海康威視裝置中發現的其他漏洞，發動大規模的 DDoS 攻擊；而在 2022 年 1 月，美國資安主管機關 CISA 也將 CVE-2021-36260 列為近來最常用於攻擊的資安漏洞之一。
建議採用各種連網 IoT 裝置的用戶，應經常注意資安單位與原廠發布的資安通報與更新消息，一但有相關的軟硬體更新發布，即應立即更新；切勿在設備安裝完成後就棄之不顧，這些裝置就很容易成為遭到各式駭侵攻擊的進入點。
CVE編號：CVE-2021-36260
影響產品(版本)：請見海康威視資安通報網頁。
解決方案：更新至最新版本韌體。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Bitdefender 日前發表調查報告，指出該公司於 Google Play Store 中再次發現多達 35 種惡意 App，會先以特定功能吸引 Android 用戶安裝，於安裝後開始發動各種攻擊，並立即變更 App 名稱與圖示，使用戶難以發現並移除。
在 Bitdefender 的報告中指出，該公司以即時活動分析法，找出這批具有潛在危害的惡意 App；而這 35 個 App 主要都是所謂的惡意廣告 App，會在用戶手機中顯示大量廣告，藉以賺取廣告點閱分潤。
報告也指出，這 35 支 App 使用自有框架來顯示廣告內容，而這樣的架構也有利於駭侵者於日後透過惡意 App 下載更多惡意程式碼，或是自我更新，讓這些惡意 App 具有更多元的攻擊能力。
而這些惡意 Android App 擁有多種避免偵測與用戶移除的手法，例如安裝完成後，立刻把原本的圖示換成一個齒輪圖示，並且將自身的 App 名稱變更為「Settings」，讓用戶以為該惡意 App 是系統設定程式；一旦用戶點按該 App 圖示，該 App 會立即顯示一個大小為 0 的像素，以自畫面上消失，然後立即啟動真正的系統設定 App，藉以混淆用戶視聽。
這 35 個惡意 Android 共由使用者下載安裝達 200 萬次以上，其名單如下：
Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
Engine Wallpapers (gb.helectronsoftforty.comlivefour)
Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
Animated Sticker Master 1.0 (am.asm.master)
Sleep Sounds 1.0 (com.voice.sleep.sounds)
Personality Charging Show 1.0 (com.charging.show)
Image Warp Camera
GPS Location Finder (smart.ggps.lockakt)

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Apple 日前發表新版 iOS 15.6.1、iPadOS 15.6.1 與 macOS Monterey 12.5.1，修復兩個已遭大規模用於攻擊的 0-day 漏洞；所有 iPhone、iPad、Mac 用戶應立即更新，以避免遭駭侵者透過未修補漏洞發動攻擊得逞。
獲得修復的 2 個 0-day 漏洞，都存在於 iOS、iPad OS 和 macOS 中。第一個漏洞為 CVE-2022-32894，存於作業系統核心內，是一個越界資訊寫入漏洞；駭侵者可透過該漏洞，以作業系統核心權限執行任意程式碼。
由於核心權限極大，因此取得核心權限執行的惡意程式，幾乎可以毫無限制地取用任何系統與軟硬體資源；亦即完全控制受駭的裝置。不過駭侵者需取得本機使用權，才能誘發此漏洞。
CVE-2022-32894 的 CVSS 危險程度評分為 8.4 分，危險程度評級為「高」。
第二個  0-day 漏洞 CVE-2022-32893 則發生在 iOS、iPad OS、macOS 中 WebKit 組件之中，該組件是系統預設瀏覽器 Safari 的核心，也會用在各種能存取 web 資源的 app 內。漏洞本身也是一種越界資訊寫入錯誤，發生於 Safari 對 html 內容的處理過程。
Apple 指出，該漏洞可讓駭侵者以特製的惡意網站來誘發，並藉以執行任意程式碼。該漏洞的 CVSS 危險程度評分亦為 8.4 分，危險程度評級為「高」。
此外，Apple 也指出，這兩個 0-day 漏洞顯然已遭駭侵者大規模濫用於駭侵攻擊之上，惟目前仍無這兩個漏洞造成任何損害或具體攻擊事件的情資。
由於 iPhone、iPad 與 Mac 的使用人數眾多，為避免用戶遭到駭侵者利用這些未修補漏洞發動攻擊，建議用戶應立即自官方管道更新作業系統。
CVE編號：CVE-2022-32894、CVE-2022-32893
影響產品(版本)：執行 macOS Monterey 的各型 Mac 電腦、iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第 7 代。
解決方案：升級至 macOS Monterey 12.5.1 與後續版本、iOS 15.6.1 與後續版本、iPad OS 15.6.1 與後續版本。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Cleafy 近日發表研究報告，指出該公司發現 SOVA Android 金融木馬惡意軟體，在最近推出的「新版本」第 5 版中，加上了針對 Android 手機的勒贖功能，除了原本的金融詐騙功能外，還加上將 Android 手機內部資料加密的勒贖功能，以進一步強化其攻擊能力。
據 Cleafy 指出，SOVA 在 2011 年 9 月首次出現時，該公司就將其列入觀察清單之列，發現該惡意軟體的開發十分有節奏且快速，且開發能量有愈來愈強大的趨勢。
SOVA 於 2022 年 3 月時推出第 3 版，加上了攔截二階段驗證碼、竊取 Cookie 等功能，同時擴大其詐騙覆疊的針對銀行數量，有更多銀行網頁或 App 會遭其使用畫面覆疊手法「蓋台」，用以竊取用戶輸入的登入資訊。
2022 年 7 月時 SOVA 的第 4 版已能透過覆疊，竊取 200 家銀行用戶的登入資訊，甚至加上 VNC 遠端遙控功能，也能擷取用戶手機畫面、複製貼上檔案、執行點按與滑動動作，甚至重構其 Cookie 竊取程式碼，能竊取 Gmail、GPay、Google Password Manager 的密碼；對抗防毒軟體掃瞄的能力也大幅提高。
最近出現的第 5 版，則加上了勒贖程式碼，能以 AES 演算法加密用戶手機內的檔案，加上 .enc 的副檔名。
雖然據 Cleafy 的報告指出，SOVA 第 5 版尚未傳出大量發動攻擊的案例，但對所有 Android 用戶來說，都是必須嚴防的資安威脅，因此 Android 用戶應避免在官方 Play Store 之外的地方下載軟體，更不要任意安裝 apk 檔案，以免遭到惡意軟體植入，蒙受重大損失。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Check Point 近日發現，廣受 Python 開發者愛用的程式庫 PyPI，遭駭侵者植入多種惡意軟體套件供人下載安裝；用戶如果將之安裝在自己的電腦上，駭侵者即可輕易竊得電腦中的各種機敏資訊，包括登入資訊或 API 金鑰，開發者不可不慎。
Check Point 在近日發表的專文中指出，由於 PyPI 可以很容易的透過單行指令來安裝各種軟體套件，非常便捷，因此近來成為駭侵者的攻擊目標。
Check Point 說，這類具攻擊的具體手法是，駭侵者上傳一些含有惡意程式碼的套件，並偽裝成安裝者眾多的熱門 Python 套件，以魚目混珠的手法，誘使開發者下載安裝在自己的開發用設備上，駭侵者即可得逞。
Check Point 的資安團隊，一共在 PyPI 中發現 10 個含有惡意程式碼的程式套件，分別如下：
Ascii2text
Pyg-utils
Pymocks
PyProto2
Test-async
Free-net-vpn
Free-net-vpn2
Zlibsrc
Browserdiv
WinRPCexploit

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Sophos 旗下的資安研究團隊，日前發表案例報告指出，有某家大型汽車業供應商在本（2022）年 5 月時，在 2 星期內連續遭到 3 次勒贖攻擊，造成其系統遭到入侵，檔案亦遭加密。
Sophos 的報告指出，雖然連續兩次的勒贖攻擊愈來愈常見，但這是該公司第一次發現連續三次不同的駭侵攻擊接連發生，而且都使用同一個資安弱點發動攻擊。
報告說，三次勒贖攻擊分別是 Lockbit、Hive 與 ALPHV/BlackCat，都利用該公司防火牆的一個設定上的錯誤，利用 Remote Desktop Protocol（RDP）入侵該公司內網的網域控制器。
5 月 1 日時，LockBit 和 Hive 分別在該公司內網中，利用合法的 PsExec 和 PDQ 布署工具，來散布其勒贖軟體酬載，並在 2 個小時之內就將十多個該公司內部系統的檔案完成加密；其中 LockBit 還把該公司檔案竊取出來，並上傳到 Mega 雲端檔案分享服務上。
隔 2 星期後，正當該公司的 IT 團隊仍在試圖回復系統時，BlackCat 駭侵者也利用和先前相同的防火牆設定漏洞，利用 RDP 入侵同一套網域控制器，並安裝遠端遙控工具 Atera Agent，接著就在一小時半內利用 PsExec 布署其勒贖酬載，並且利用竊得的登入資訊，將六台電腦中的資料竊走後進行加密。
BlackCat 駭侵者甚至還在完成資料竊取和加密犯行後，刪除 Windows Events Logs，這使得後續的入侵調查與資料復原工作變得更為困難。
Sophos 在報告中也說，由於 Hive 和 Lockbit 的攻擊只相差兩小時，不同的勒贖軟體可能同時在系統中執行，因此某些檔案遭到重覆加密，次數高達 5 次之多。
由於企業遭到駭侵攻擊的次數日漸頻繁，像上例這樣短期間遭不同駭侵者透過同一漏洞連續攻擊的可能性將愈來愈高，因此公私單位應該立即封鎖 VNC 和 RDP 連線，僅使用 VPN 進行連線，並且必須啟用多階段登入驗證。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Netskope 旗下的研究人員，近來發現有駭侵者利用 Google Sites 與 Microsoft Azure Web App 等雲端服務架設仿冒網站，用於攻擊加密貨幣投資者，以竊取其加密資產。
報告指出，駭侵者的攻擊手法，是事先利用上述的雲端服務來架設多個仿冒知名加密貨幣錢包或交易所入口的釣魚網站，然後利用留言機器人在各大加密貨幣相關社群的討論區中大量發送含有這些釣魚網站連結的留言；用戶如果不慎誤信連結，即可能將自己的錢包或交易所登入資訊輸入到釣魚網站中。
報告指出，由於駭侵者選擇使用 Google 和 Microsoft 的服務，因此這些網站的網域名稱就是 Google 與 Microsoft 所屬的網址；這樣不但垃圾留言較不易遭到自動垃圾留言清除機制刪除，甚至還能取得很好的 SEO 效果。實測發現，一些駭侵者設立的釣魚網站，連往往會在 Google 搜尋結果中名列前茅。
報告說，這些釣魚網站攻擊的對象，是大型加密貨幣交易所與知名加密錢包的用戶，例如 Coinbase、MetaMask、Kraken、Gemini 等。駭侵者企圖利用這些假入口網站來騙取用戶的交易所與加密錢包的登入資訊與錢包復原短語，以完全控制用戶的數位資產。
報告指出，這些假網站還包括假的二階段登入驗證頁面，會要求用戶輸入手機號碼；待用戶輸入手機號碼後，假網站會顯示一個假的錯誤訊息，宣稱用戶因違反安全守則，帳號已遭停用；用戶必須按下頁面中的「詢問專家」按鈕，接著會有假冒的客服人員與用戶線上對談，誘使用戶開啟 Team Viewer 等遙控軟體，竊取用戶收到的二階段驗證碼。
建議加密貨幣投資者不要在任何社群網站中點按宣稱是官方網站的連結，且應注意連結本身是否為真實的網域名稱。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

知名社群平台 Twitter 日前證實近日發生一起資料外洩事件，約有 540 萬用戶資料，遭駭侵者利用一個現已修補完成的 0-day 漏洞竊走。
該入侵事件發生於去（2021）年 12 月；資安專業媒體 BleepingComputer 當時報導有駭侵者在駭侵相關論壇上張貼文章，意圖出售自 Twitter 竊得的 5,485,636 筆用戶資料。
Twitter 這個 0-day 資安漏洞，使任何人都可以利用用戶登錄在 Twitter 個人檔案中的各種資料，包括電話號碼、Email 帳號等等當做查詢索引，查出用戶的帳號 ID 後，繼而可以取得更多用戶資訊，例如在 Twitter 中使用的顯示名稱、登入名稱、所在地、追蹤人數、頭像圖片網址等各種資訊。
據 BleepingComputer 當時的報導指出，駭侵者打算將這批 540 萬名用戶的資訊，以 30,000 美元的價格出售，而至少有兩組駭侵團體在經過議價後，買走這些資訊。
Twitter 直到 8 月 5 日證實確實發生該 0-day 漏洞遭駭侵者用於竊取用戶個資的事件；在其聲明中表示該公司於 2022 年 1 月在一場漏洞發現懸賞活動中，得知該漏洞可用於竊取用戶個資的報告，於 6 月修補好這個漏洞。
Twitter 指出，這次資料外洩事件中，並沒有任何用戶的登入密碼遭到外洩，但該公司也無法確切計算出到底有多少名用戶的個資遭到竊取。
建議各社群平台用戶應儘可能不要在個人檔案中填寫過多可供鎖定個人身分的資訊，並且應啟用二階段登入驗證，以避免社群帳號或其上的個資遭到攻擊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商 Malwarebyte 近日發現著名的 APT 駭侵團體 Lazarus，最近假冒知名加密貨幣交易所 Coinbase 之名，在求職社群網站 LinkedIn 上對加密貨幣專家傳送假的工作機會，藉以發動攻擊。
Malwarebyte 旗下的資安專家 Hossein Jazi 日前在推特上發文，指出 APT 駭侵團體 Lazarus，自本（2022）年 2 月起，開始在 LinkedIn 上假冒為全球最大級加密貨幣交易所 Coinbase，鎖定多名加密貨幣專家，對其發送假的工作機會。
駭侵者貼出的假職缺為 Coinbase 產品安全部門（Product Security）的工程經理（Engineering Manager），並且在職務說明中放置一個看似是 PDF 文件檔，但實際上是個含有惡意軟體的 Windows 可執行檔；用戶打開這個檔案，會開啟一個看起來很像是 PDF 文件檢閱工具的視窗，其中顯示該職缺的說明，但實際上會執行惡意程式碼。
資安專家指出，Lazarus 駭侵團體過去有多次針對金融機構與加密貨幣相關單位的駭侵攻擊記錄；近年來包括諸多用戶的加密貨幣錢包、多家交易所、NFT 交易市場等，都曾有遭到 Lazarus 駭侵攻擊的記錄。
今年 7 月時 Lazurus 亦曾透過與本次類似的手法，針對熱門 NFT 遊戲 Axie Infinity 公司的工程師發送假的工作機會邀約，實則透過惡意軟體入侵工程師使用的裝置，進而竊走高達 6.17 億美元的以太幣與 USDC 代幣。
Malwarebyte 研判，Lazarus 這次假冒 Coinbase 發送假職缺的攻擊活動，很有可能是重施攻擊 Axie Infinty 的故技，意圖藉此駭入更多加密貨幣相關產業的電腦系統，藉以竊取更多加密資幣資產。
建議在金融與加密貨幣相關產業的工作人員，應對各種不明連結和檔案提高警覺，避免因點擊或開啟不明連結與檔案，讓駭侵者趁機駭入公司系統內，造成重大損失。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()