Facebook(Meta)日前發表 2022 年第二季資安威脅對抗報告(Q2 2022 Adversarial Threat Report),其中指出該公司發現兩個先進持續性威脅(Advanced Persistent Threat, APT)駭侵團體,利用新的 Android 惡意軟體發動的大規模駭侵攻擊活動。
在報告中指名的兩個 APT 團體,分別是「Bitter APT」和 APT36(又名 Transparent Tribe);報告說觀察到這兩個 APT 團體都利用 Facebook 這樣的社群平台,透過利用假帳號與被害人加為朋友,引誘被害人到外部平台下載安裝惡意軟體,來進行監控駭侵攻擊。
APT 36 在惡意軟體中利用可跳過雙重身分驗證機制的漏洞,來監控印度政府相關目標並竊取情報;而 BItter APT 則在 2022 年 5 月被發現針對孟加拉政府的目標,以能夠遠端執行任意程式碼的惡意 App 來進行監控與情報竊取。
另外,Meta 的報告也指出,Bitter APT 涉及針對紐西蘭、印度、巴基斯坦、英國等國家的目標,發動綿密的社交工程攻擊,目標是讓被監控對象安裝惡意軟體;其手段結合了短網址、遭駭網站和第三方檔案儲存服務等。
Meta 也說,Bitter APT 利用一個名為 Dracarys 的 Android 惡意軟體,結合非官方版本的 YouTube、Signal、WhatsApp 等常用 App,誘使用戶安裝後,接著濫用 Android 系統中的輔助使用功能,在用戶不知情的狀況下竊取各種資訊,包括通話記錄、通訊錄、裝置內檔案、簡訊、地理座標、裝置資訊,並且私下拍照、開啟麥克風,甚至安裝 App。
Meta 也說 Dracarys 能夠逃過目前各種防毒防駭軟體的偵測,因此防不勝防。
鑑於各類針對行動裝置的惡意軟體不斷推陳出新,用戶不應完全依賴防毒防駭軟體,應養成良好的使用習慣,不隨意安裝來源不明的應用軟體,以免遭到惡意軟體的植入。
twcert 發表在
痞客邦
留言(0)
人氣()
一項由資安廠商進行的資安調查,針對英美兩國大型企業的資安報告指出,有近三分之一受訪公司,每星期至少遭受一次勒贖攻擊;部分企業甚至每天都遭到勒贖攻擊。
該調查名為「2022 衝擊:勒贖攻擊與應對措施完備度」的報告,由兩家資安廠商 Menlo Security 與 SAPIO Research 針對英國與美國總共 505 家 1000 名員工以上廠商的 IT 決策主管進行調查,了解各該廠商在針對企業勒贖攻擊所進行的準備完備程度、對企業造成的影響,以及對 IT 決策主管個人本身的衝擊。
在調查報告中指出,由於勒贖攻擊近年來日益泛濫,攻擊強度和頻率不斷提升,有 41% 受訪單位表示,其資安團隊的資安知識與技巧,已經不足以對應這些資安攻擊;另有 39% 受訪單位也擔心資安團隊的能力可能無法抵擋這類攻擊。
不過,企業資安團隊最擔心的,是企業員工往往忽視公司的各種資安建議與規範,任意點擊各種惡意連結,或隨意開啟含有惡意程式碼的信件夾檔;有這項擔憂的在調查單位中比例高達 46%。
另外,也有 26% 的資安團隊受訪者,擔心自己會因為公司遭到各類攻擊得逞,因而遭到解僱。
在勒贖攻擊本身方面,一半以上的受訪企業表示,在過去 18 個內都曾遭到成功的勒贖攻擊,而企業系統內的用戶與潛在用戶,包括企業員工、合作夥伴、供應商、合約人員等,通常都是攻擊發生的脆弱點;此外,也有十分之一的受訪廠商表示,無法確實掌握勒贖攻擊的針對目標。
報告也指出三大最常遭到勒贖攻擊的脆弱點,分別是 Email(54%)、桌機或筆電的瀏覽器(49%),以及行動裝置(39%)。
建議各企業應該加強防範勒贖軟體的軟硬體設置與人員教育訓練,同時設法提高資安人員的待遇與士氣,以免第一道防線崩潰,造成更大的資安危機。
twcert 發表在
痞客邦
留言(0)
人氣()
受到廣泛採用的企業即時通訊服務 Slack,日前通知部分用戶,因為修復了一個邀請連結雜湊外洩的錯誤,必須重置這些客戶的登入密碼。收到這項通知的用戶,約占 Slack 所有用戶數的 0.5%。
Slack 表示,該漏洞會在用戶產生或取消邀請連結時,會傳送一個經過雜湊運算的密碼;雖然要從雜湊值反向運算,以得到正確密碼的機率相當低,再加上駭侵者必須密集監聽 Slack 伺服器的網路傳輸資訊,但這仍屬於不安全的資料傳輸方式。
該漏洞是由未公開的獨立資安研究人員,於 7 月 17 日向 Slack 通報;Slack 獲報後立即修復改漏洞,且重置可能受影響用戶的登入密碼。
據 Slack 的資安通報指出,任何曾在 2022 年 4 月 17 日到 7 月 17 日間產生邀請連結或撤消邀請的用戶,其 Slack 登入密碼都已重置,用戶必須重新設定新的登入密碼,才能再次登入其 Slack 帳號。
Slack 指出,使用暴力試誤法,仍有可能將雜湊值反向運算,以得出正確的密碼內容,因此 Slack 為加強密碼安全,仍然必須重置部分用戶的登入密碼。
Slack 表示,有疑慮的用戶,可以透過其資安通報網頁內提供的連結,下載自己的登入及使用記錄,以檢視是否遭到不當存取。
即使不容易透過雜湊值反向算出正確密碼,Slack 仍建議所有用戶使用強式密碼、啟用二階段登入驗證功能,並且避免在不同服務之間使用相同密碼,以避免自己的帳戶遭到駭侵者不當存取。
twcert 發表在
痞客邦
留言(0)
人氣()
德國工商協會(The Association of German Chambers of Industry and Commerce, DIHK)日前因遭到大規模駭侵攻擊,被迫暫停旗下所有 IT 系統服務,造成其數位服務、電話、電子郵件伺服器等全面停擺。
DIHK 是由德國超過 300 萬家工商業共 79 個協會合組的大型工商業組織,提供法律、顧問、外貿宣傳、教育訓練、區域經濟發展、常務支援等服務。
據 DIHK 日前發表的資安通報指出,該會受到外部駭侵攻擊影響,為了讓 IT 團隊能夠儘速找出解方,同時建構防線,因此必須暫停各項服務。
DIHK 總經理 Michael Bergmann 也在該會於 LinkedIn 的公開頁面上發表聲明,指出攻擊發生於 8 月 3 日,造成相當嚴重的影響;該會目前正在逐步排除問題並恢復各項服務,但何時才能完全復原,尚不得而知。
DIHK 並未對外公開本次攻擊的細節,雖然外界推測可能是遭遇勒贖攻擊,但目前還沒有主要的勒贖團體對外宣稱針對 DIHK 發動攻擊。
德國媒體 Heise.de 的報導則認為這次攻擊並非針對德國某特定地區發動,因為 DIHK 在德國各地的分支機構,例如北萊因-西發里亞、下薩克森尼、巴伐利亞、科隆等地的分會也都證實系統因攻擊而無法運作。
鑑於勒贖或其他類型的駭侵攻擊,不只針對單一廠商目標發動攻擊,具有重要功能與地位的產業聯合組織也在其攻擊目標之列,因此這類單位亦應提高警覺,加強資安防護,以避免一整個國家的產業都同時受到影響。
twcert 發表在
痞客邦
留言(0)
人氣()
網通大廠 Cisco 近日發表資安通報,表示已修復旗下 Small Business VPN 路由器系列中兩個可導致駭侵者用以遠端執行任意程式碼,甚至用來發動 DoS 攻擊的漏洞 CVE-2022-20842 與 CVE-2022-20827。
這兩個漏洞存於上述 Cisco VPN 裝置的 Web 管理介面與 Web 篩選器的資料庫更新功能,發生原因為未能針對輸入資訊進行完整的驗證。這兩個漏洞的 CVSS 危險程度評分高達 9.8 分(滿分為 10 分)。
在 CVE-2022-20842 方面,駭侵者可透過特製的 HTTP 輸入資訊來觸發此漏洞,藉以使用 root 權限於作業系統內達端執行任意程式碼,並可造成系統重新載入,達成 DoS 攻擊的效果。
受到 CVE-2022-20842 影響的 Cisco Small Business 路由器機種, RV340、RV345 1.0.03.26 與較舊版本。
CVE-2022-20827 的方面,駭侵者可以特製的資訊輸入到其 Web 篩選器的資料庫更新功能,來觸發這個漏洞,即可以 root 權限在作業系統內遠端執行任意程程式碼。
受到 CVE-2022-20827 影響的 Cisco Small Business 路由器機種,包括 RV160、RV260 版本 1.0.01.05,以及 RV340、RV345 1.0.03.26 版本。
這兩個漏洞都不會觸發任何反應,也不會出現需要使用者操作的互動,因此駭侵者可在用戶不知情的情形下發動攻擊。不過目前尚未傳出這兩個漏洞遭到駭侵者大規模濫用的消息。
建議使用上述 Cisco Small Business 路由器的用戶,應立即透過更新工具,更新到最新版本韌體,以免未修補的漏洞遭到駭侵者用於攻擊。CVE編號:CVE-2022-20842、CVE-2022-20827
twcert 發表在
痞客邦
留言(0)
人氣()
近年來十分熱門的 Solana 區塊鏈平台,日前發生嚴重駭侵事件;目前已知近 8,000 個去中心化錢包遭到駭侵者攻擊,竊走存放的 Solana 代幣,損失達數百萬美元。
Solana 平台指出,在 8 月 3 日世界標準時間上午 5 時左右發生的駭侵攻擊事件中,有 7,767 個 Slope 和 Phantom 去中心化錢包遭到攻擊,內部存款遭到不當存取;包括其行動版裝置與瀏覽器外掛程式版本,都未能倖免。
而據區塊鏈分析平台 Elliptic 統計,受到影響的錢包數量接近 7,936 個,包括 SOL 代幣、近 300 種以 Solana 區塊鏈建構的各種代幣與 NFT 的損失總金額則高達 520 萬美元。
Solana 指出,目前正在調查整起事件,尚無法推論駭侵者是透過何種方式,利用哪些漏洞發動攻擊;不過 Elliptic 指出漏洞很可能是發生在錢包軟體端,而非 Solana 區塊鏈平台上;因為所有被駭的交易,都由錢包真正用戶的私鑰進行數位簽署,因此可能是駭侵者透過錢包本身的漏洞,取得受害者擁有的私鑰來竊取加密貨幣資產。
此外另有一個線索支持這種推論:使用 Solflare 和 Trust Wallet 的用戶,並未受到本次駭侵攻擊的影響。硬體錢包(即所謂冷錢包)內的資產也未受影響。
資安專家推論指出,能夠一次取得這麼多用戶的私鑰來進行攻擊,其駭侵手法很可能是透過供應鏈攻擊,或是利用某個瀏覽器的 0-day 漏洞,或是錢包產生私鑰時使用的亂數產生器內的漏洞。
建議加密貨幣投資者應避免將大額資產存放在網路或軟體錢包(即所謂熱錢包)中,應使用離線儲存的硬體錢包(冷錢包),以避免類似攻擊事件,造成鉅額資金損失。
twcert 發表在
痞客邦
留言(0)
人氣()
虛擬技術大廠 VMware 日前發布資安通報,要求使用該公司各項軟體系統的管理者,立即進行軟體更新,以修復一個可以繞過身分驗證的嚴重資安漏洞。
這個漏洞的 CVE 編號為 CVE-2022-31656,由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現,影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。
該漏洞屬於身分驗證繞過漏洞,駭侵者可利用該漏洞跳過系統的登入驗證程序,在未經授權的情形下進入系統,並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分(滿分為 10 分),其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。
該公司指出,系統管理員必須依照 VMSA 的指示,立即修補或處理該漏洞。
除了 CVE-2022-31656 外,VMware 同時也修補多個資安漏洞,包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665),以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。
VMware 指出,如果單位採用 ITIL 進行變更管理,則這些修補會被視為「緊急變更」。
建議使用上述 VMware 產品的用戶,應立即依指示更新系統,修補上述漏洞,以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。CVE編號:CVE-2022-31656 等影響產品(版本):VMware Workspace ONE Access、Indemtity Manager、vRealize Automation 等產品。解決方案:依照 VMSA 的指示,立即修補或處理該漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
德國大型電工產品製造商,總部設於德國紐倫堡的 Semikron,日前發布資安通報,指出該公司遭到駭侵攻擊,公司內網部分設施的檔案遭到加密,且有部分資料遭竊。
Semikron 共有約 24 間辦公室、8 座生產廠房,分布於德國、巴西、中國、法國、印度、義大利、斯洛伐克、美國等地,員工約有 3,000 名,2020 年的營業額達 4.61 億美元。該公司為全球主要的電工產品製造商,其風力發電機的全球市占率達 35%。
該公司於本(2022)年 8 月 1 日發表資安通報,指出該公司「遭到專業駭侵團體的資安攻擊」;目前該公司正在調查整起事件的起因。
德國聯邦資安署(German Federal Office of Information Security)也指出,該駭侵團體威脅將要公開 Semikron 被竊的資料;而資安媒體 BleepingComputer 則指出,據該刊掌握的情資,顯示對 Semikron 發動攻擊的駭侵團體是 LV Ransomware,該組織宣稱自 Semikron 竊得高達 2TB 的機密文件。
Semikron 表示,目前已會同德國官方相關單位進行案件偵辦,也已委請第三方資安公司進行資料與系統復原,希望能將對客戶、員工、協力廠商的影響降到最低;不過該公司沒有透露進一步的駭侵事件訊息,包括具體的損失、駭侵者要求的贖金等。
有鑑於針對製造業者的駭侵攻擊行動層出不窮,往往造成可觀的損失,包活生產與營運受阻、機密資料外洩等,業者應即加強資安防護投資與教育訓練,並建構完整的備份復原系統,提高類似事件的防禦能力。
twcert 發表在
痞客邦
留言(0)
人氣()
澳洲政府日前起訴一個製作並販賣監控惡意軟體 Imminent Monitor 的 24 歲澳洲籍軟體開發者,該惡意軟體曾販售給超過 128 國的 14,500 人,用於不當監控受害者並竊取多種機敏資訊。
澳洲警方近日發布新聞稿,指出該名開發者創作的監控軟體,有許多暴力犯與各種犯行購買,可用於遠端遙控受害者的裝置、竊取裝置上的多種資訊,包括用戶輸入資訊、儲存於裝置內的檔案與資料、擷取螢幕畫面、自用戶裝置的 webcam 錄影錄音等等。
警方表示,Immienet Monitor 是自 2013 年開始對外販賣,當時該開發者年僅 15 歲;開發者以遠端管理軟體的名義宣傳 Imminent Monitor,且售價相當便宜,只需 25 美元即可購得永久使用權,甚至包括客戶服務在內。
雖然 Imminent Monitor 表面上看似正常的遠端管理工具,但在駭侵相關論壇和客服內容中,開發者卻以「Shockwave」為名做為招徠,強調其駭侵能力。
2019 年 4 月,在某個駭侵相關論壇中,有一篇討論 Shockwave 突然消失的貼文;貼文作者推測 Shockwave 的作者可能已遭到逮捕;該文同時警告 Shockwave 的使用者亦有遭到追緝的可能。
除了澳洲警方的逮捕行動外,2019 年 11 月時,歐洲刑警組織(Europol)亦展開一波針對 Imminent Monitor 不法使用者的打擊行動,逮捕 13 名大量使用者,並且查獲 430 台相關設備及宣傳用網域等。
建議個人或公司行號如有遠端設備管理需求,應購買信譽良好的大公司產品,切勿購買來路不明的軟體產品或服務,以免發生此類糾紛。
twcert 發表在
痞客邦
留言(0)
人氣()
西班牙警方日前發布通報,宣布逮捕兩名據信涉嫌於去(2021)年三月與六月間駭侵該國輻射警報系統網路的駭侵者;相關單位已經展開進一步的偵訊。
據報導,這兩名嫌犯先前曾在該國負責維運輻射警報系統網路部門「民眾保護與緊急事件指揮總署」(General Directorate of Civil Protection and Emergencies, DGPCE)的外包業者工作,對於整個系統的運作,以及如何駭入,具有深厚的知識。
兩名嫌犯遭控訴試圖非法存取 DGPCE 所屬網路,企圖刪除輻射警報網路系統在控制中心的 web 應用程式。
兩名嫌犯也涉及攻擊分布於西班牙全國各地的輻射偵測設施;全國八百多組輻射偵測設施中,有三百多組遭其攻擊,無法於中央輻射警報系統連線並傳輸資料。
該單位是在 2021 年 6 月起發現系統遭到攻擊,在與西班牙警方協同偵辦長達一年後,才掌握兩名犯嫌的行蹤並予以逮捕,同時緝獲多台可能與犯行相關的電腦與網通設備。
據報導,西班牙境內目前共有 7 座運作的的核反應爐,發電量占該國總電力需求的 20%;而其輻射偵測設施的任務,是發現突然增高的輻射量,以立即找出原因予以處理;該系統共有 800 多個分布在西班牙各地的輻射偵測設施,以電話線與 DGPCE 總部連線,回報即時輻射偵測數值。
該兩名嫌犯成功使 300 多個輻射偵測設施離線無法運作,使得政府無法即時反應潛在的核能安全事故;對於該國核能安全造成嚴重威脅。
建議針對這類可能造成嚴重公共安全事故的關鍵基礎設施與其防護系統,應加強其實體與資安防護能力,同時加強在離職人員的考核,以嚴防滲透與不當存取,以及惡意破壞行為。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 McAfee 旗下的研究人員,近日發現有駭侵者利用 Facebook 廣告來散布上架至 Google Play Store 中的多個廣告惡意軟體;這些惡意 App 目前已有 700 萬次下載安裝。
McAfee 的報告指出,這幾個成功上架到 Google Play Store 的廣告惡意軟體,偽裝成多種用戶可能需要的類型,包括 Android 系統清理工具、手機執行效能提升工具等等,但實際上不但缺少宣稱的功能,本質上更是廣告惡意軟體。
報告指出,這些廣告惡意 App 係濫用 Contact Provider Android 組件,該組件可讓裝置與線上服務之間互相傳輸資料;每次安裝軟體時都會呼叫該組件,這些廣告軟體便趁機啟用廣告推送程序,讓用戶以為廣告是由他們新安裝的 App 所顯示的。
為了避免遭到用戶刪除,這些廣告 App 還經常更換其顯示圖示與名稱,偽裝成 Android 系統設定或 Play Store 應用程式,以混淆用戶視聽。
McAfee 指出,目前所知這些惡意 App 共有 13 種;由於 Facebook 廣告的散布助力,總下載次數高達 700 萬次以上;這 13 種 App 在 Google Play Store 中的名稱如下:Junk CleanerEasyCleanerPower DoctorSuper CleanFull CleanFingertip CleanerQuick CleanerKeep CleanWindy CleanCarpet CleanCool CleanStrong CleanMeteor Clean
twcert 發表在
痞客邦
留言(0)
人氣()
去中心化區塊鏈音樂平台 Audius,據傳於上周末遭到駭侵攻擊,導致 1,800 萬枚 AUDIO 代幣遭竊,換算成美元的損失高達 600 萬美元。
該平台於 7 月 24 日在 Twitter 上發表聲明,指出該公司已發現系統遭到不當存取;該公司暫時停止部分系統功能運作,以防駭侵者進一步攻擊。
該平台於隔日發表事件調查報告,指出駭侵者係利用其合約啟動模組中的一個漏洞發動攻擊,導致社群儲備資金有近 1,850 萬枚 AUDIO 代幣遭到竊走;此外駭侵者還試圖利用去中心化平台的投票機制,發動四個將所有社群儲備代幣轉帳至駭侵者錢包的投票,其中三個投票通過,一個未能通過。
Audius 平台是一個透過以太坊區塊鏈架設的串流音樂平台;音樂創作者在 Audius 平台上分享音樂時,可賺取 AUDIO 代幣;而用戶聆聽平台上的音樂或分享音樂,也可以賺取代幣。
駭侵者在竊得這批代幣後,隨即在去中心化交易所 UniSwap 中交易其竊得的代幣,將其交換為隱匿行蹤能力更佳的 Tornado Cash 代幣;但出售金額僅為 107 萬美元,其價值減損高達六分之五。
該公司表示,其系統於 2020 年 8 月與 2021 年 10 月兩度通過兩家不同區塊鏈資安公司的稽核,但沒有任何一家發現這次遭駭侵者利用的漏洞。
該公司目前系統已恢復運作,但代幣質押與委任的部分智慧合約功能仍在修復中,尚未開放使用。
由於這類加密貨幣平台漏洞,經常可能造成用戶的鉅額資金損失,建議加密貨幣投資人應避免將資產過度集中於單一平台或協定,且應妥善保管數位錢包的恢復短語。
twcert 發表在
痞客邦
留言(0)
人氣()
