美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前發布 5 個影響工業控制系統的漏洞資安警訊,要求使用這些工業控制系統的生產單位,應立即依通報中的處理方式修補漏洞,以免遭到駭侵者利用這些漏洞發動攻擊。
第一個漏洞警訊指出的漏洞,存於 Inductive Automation Ignition 8.1.9 與 7.9.21 之前的較舊版本內,其漏洞 CVE 編號為 CVE-2022-1704,CVSS v3 漏洞危險程度評分為 8.5 分(滿分為 10 分);該漏洞可導致駭侵者能夠存取系統內的檔案,造成機敏資訊外洩。
第二個漏洞警訊共含 4 個漏洞,其中有 3 個存於 Honeywell Safety Manager 所有版本內(CVE-2022-30315、CVE-2022-30313、CVE-2022-30316),另一個漏洞 CVE-2022-30314 存於 R160.1 前的較舊版本中,其 CVSS v3 漏洞危險程度評分為 7.7 分(滿分為 10 分)。這批漏洞可導致駭侵者能夠進行系統組態、操弄韌體,其至遠端執行任意程式碼。
第三個漏洞警訊共含 2 個漏洞,均存於 Honeywell Saia Burgess PG5 PCD 所有版本內,其 CVSS v3 漏洞危險程度評分為 7.6 分(滿分為 10 分)。這批漏洞可導致駭侵者跳過身分認證進行系統組態操弄。
第四個漏洞警訊共含 2 個漏洞,均存於 MOXA NPort 5110 版本 2.10 內,其 CVSS v3 漏洞危險程度評分為 8.2 分(滿分為 10 分)。這兩個漏洞可導致駭侵者變更記憶體內的數值,並且造成機器設備無法操作。
第五個漏洞警訊共含 3 個漏洞,均存於 Mitsubishi Electrics MELSEC 與 MELIPC 系列多個版本內,其 CVSS v3 漏洞危險程度評分為 7.5 分(滿分為 10 分)。這三個漏洞可導致駭侵者利用設備發動 DoS 攻擊,系統必須重新啟動才能修復。
建議採用上列工業控制系統的業者,應立即按照 CISA 在各該漏洞通報的處理建議進行必要處分,例如更新韌體版本或強化資安設定。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Kaspersky 日前發現,搭載 Intel H81 晶片組的部分主機板產品,其 UEFI 的韌體程式碼中發現一個名為 CosmicStrand 的 rootkit 惡意軟體,且可追溯至 2016 年底。
UEFI(Unified Extensible Firmware Interface)是主機板韌體與作業系統的溝通橋樑,是電腦開啟電源時最先執行的程式碼;執行完此程式碼後,才會載入作業系統與後續的資安防護軟體,因此 UEFI 內的 rootkit 惡意軟體,不只開發難度高,也十分難以偵測移除。
這次由 Kaspersky 資安專家發現的 ComicStrand rootkit 惡意軟體,會修改作業系統載入程序,取得電腦控制權限,並在 Windows 核心中直接執行下載自駭侵控制伺服器的惡意酬載。
資安專家表示,ComicStrand 與另一家資安廠商奇虎 360 在 2017 年發現的另一個 rootkit 惡意軟體十分接近,可以視為該惡意軟體的變種;而 Kaspersky 也指出,發現 CosmicStrand rootkit 的主機板,同樣都採用 Intel H81 晶片組,因此可以推測駭侵者可能利用 Intel H81 晶片組內的一個漏洞,來進行 CosmicStrand 的開發與布署。
Kaspersky 也指出,目前發現含有此 rootkit 的主機板,均為 2013 至 2015 間生產的舊品,目前早已停產。
Kaspersky 指出,目前尚難以發現駭侵者是用什麼手法在主機板中注入 CosmicStrand rootkit,因為必須進行裝置實體操作,才能在韌體中注入惡意軟體;目前推測是駭侵者散布含有惡意程式碼的韌體更新程式,來進行 CosmicStrand 的散布。
建議進行任何軟硬體的系統更新時,切勿使用來路不明的更新工具;請務必自產品官方網站或內建更新機制進行更新,以免感染此類惡意軟體。
主機板製造廠商也建議:
1、客戶購買二手主機板,立即上網下載最新的官方 BIOS image 更新。若無法更新或提示型號不對,可送鄰近維修點辨認處理。
2、若需要硬體層級的保護,可採用具有 Intel Boot Guard 或 Intel Platform Firmware Resilience 功能的主機板,並啟動 UEFI Secure Boot 功能確保 trust chain,能抵擋 ROM 元件被更換或直接燒錄的攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安媒體 Restore Privacy 日前發布新聞,指出資安專家發現有駭侵者在駭侵相關論壇上出售 540 萬 Twiiter 用戶的個資;該批個資係透過 Twitter Android App 中的一個漏洞取得。
據 Restore Privavy 指出,駭侵者很可能是利用 Twitter Android App 中的一個漏洞來取得這些個資。該漏洞可讓任何人在不需任何驗證的情形下,只要提供電話號碼或 Email 信箱,即可取得用戶的 Twitter ID,這相當於取得該用戶的登入名稱。
有了這個 Twitter ID 後,駭侵者就可以取得用戶在其個人檔案中輸入的各種資訊,並且利用這些資訊,進一步取得更詳細的個資,並在駭侵相關論壇上出售這批資訊,要價 3 萬美元。
Twitter 官方尚未證實這起資安事件,但資安媒體根據部分流出的資訊進行驗證,發現這些個資屬實的可能性相當高。
資安專家指出,駭侵者除了可以出售這批個資牟利之外,還可以進一步利用這些個資,發動進一步的攻擊,例如釣魚攻擊等等。
雖然該漏洞已在今(2022)年 1 月 13 日就獲得修復,但資安媒體與試圖出售資料的駭侵者聯絡時,駭侵者表示資料是於去(2021)年開始收集的。
由於這類可歸因於社群平台或服務商的漏洞,用戶比較難以防範,因此用戶應避免在社群平台上公開個人或服務機構相關的機敏資訊(如真實姓名、 Email 地址、電話號碼、重要證件編號、居住地址、所在地等),以避免駭侵者以類似手法竊得個資。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Avast 日前發表資安通報,指出該公司旗下的資安專家,日前發現一家惡意軟體公司 Candiru,利用 Google Chrome 一個 0-day 漏洞製作惡意軟體「DevilsTongue」,專門用以駭侵中東國家多名媒體記者與重要人士。
被 Candiru 公司用來製作 DevilsTongue 惡意軟體的 Google Chrome 0-day 漏洞,其 CVE 編號為 CVE-2022-2294,屬於 WebRTC 的 heap-base 暫存器溢位漏洞;駭侵者可誘使受害者前往特製的網站,誘發溢位錯誤後即可遠端執行任意程式碼。
該漏洞的 CVSS 漏洞危險程度分數為 8.8 分(滿分為 10 分),危險程度評級則為「高」(high)。
Avast 在報告中指出,雖然 Google 已於今(2022)年 7 月 4 日發布新版 Google Chrome 並修復本漏洞,但 Avast 發現有許多該公司的中東客戶遭到由 Candiru 開發的 DevilsTongue 透過此漏洞發動攻擊,進一步分析後發現攻擊對象有多數都位於黎巴嫩,其中有許多是新聞記者。
Avast 說,除了黎巴嫩外,Candiru 的攻擊對象還分布在土耳其、葉門、巴勒斯坦等地,攻擊對象十分集中,屬於一種水坑式釣魚攻擊。
報告說,駭侵者誘使列為攻擊目標的新聞從業人員進入其特製的惡意網站,導致其感染惡意軟體;接著開始竊取被害者的多種機敏資訊,包括語言、時區、螢幕資訊、裝置類型、瀏覽器外掛程式、推薦來源、裝置記憶體、cookie 功能等等。目前還不清楚駭侵者具體竊走哪些資料,但針對新聞記者的資安攻擊,目的多半是為了收集情報。
建議可能接觸機密情資的個人與單位,均應加強對各式釣魚攻擊的防範能力與意識,包括不任意點按不明連結,不任意開啟不明郵件夾檔,仔細檢視寄件人資訊等等,且應隨時升級至最新版本軟體與韌體,避免駭侵者利用未修補漏洞發動攻擊。CVE編號:CVE-2022-2294影響產品(版本):Google Chrome 版本 103.0.5060.114 之前版本。解決方案:升級至 Google Chrome 版本 103.0.5060.114 與後續版本。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Check Point 日前公布 2022 年第 2 季釣魚攻擊統計,在常被駭侵者冒名用於釣魚攻擊的全球各大品牌中,求職社群網站 LinkedIn 仍然如先前的統計一樣高居首位,且冒名比例遠高於其他品牌。
Check Point 的報告指出,和上一季的數字相比,雖然 LinkedIn 的冒名釣魚比例自 52% 下降到 45%,但仍然高居所有常遭冒名品牌的第一名。
其他在這次冒名榜上的大品牌,及其遭冒名的比例,分別為 Microsoft(13%)、DHL(12%)、Amazon(9%)、Apple(3%)、Adidas(2%)、Google(1%)、Netflix(1%)、Adobe(1%)、HSBC(1%)。
報告說,駭侵者最常冒名 LinkedIn 寄送給用戶的釣魚郵件,通常是假冒「你的檔案本周已有 100 人瀏覽」,或是「你有一封新的未讀訊息」之類的通知信件;而寄件者的 email address 通常看起來會很像 LinkedIn 官方的支援服務或資安團隊所發。
有些其他冒名 LinkedIn 的釣魚信,則會詐稱用戶獲得免費升級至 LinkedIn Pro 專業版,或是詐稱進行系統升級,甚至指稱用戶因違反使用條款而將遭停權,以誘使用戶點按信中的惡意連結。
用戶點按惡意連結後,即會被導入到釣魚網頁,誘使用戶輸入其 LinkedIn 的登入資訊;駭侵者再利用該登入資訊,來對受害者在 LinkedIn 上的同事或有價值的目標,發動進一步的駭侵攻擊。
建議收到疑似釣魚攻擊的不明郵件時,切勿點按信中的惡意連結或開啟不明檔案,應先確認寄件人 Email Address 的正確性,或是直接忽略該信件。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ZScaler 旗下的研究單位 ThreatLabz,日前發表研究報告,指出 Google Play Store 中發現 3 種不同的 Android 惡意軟體,藏身於多個 Android App 之中,總下載次數達 30 萬次以上。用戶若不慎下載安裝這些軟體,就會遭惡意軟體各種不同形態的攻擊。
第一種惡意軟體稱為「Joker」,用戶一旦感染這種惡意軟體,Joker 即會竊取用戶 Android 裝置內的多種資訊,包括簡訊內容、通訊錄中的聯絡人資訊,還會擅自訂購多種高價服務,造成用戶行動帳單費用暴增。
已知 Joker 藏身於多達 50 個 Google Play Store 中上架的 App 內,其中有一半以上是通訊軟體;由於這類 App 需要用戶給予較多存取權限(例如麥克風、攝影機、相簿、通訊錄、電話撥打、簡訊讀寫與傳輸等),因此往往是惡意軟體藏身的首選。
第二種惡意軟體稱為「Facestealer」,顧名思義,該惡意軟體專以釣魚網頁竊取用戶的 Facebook 登入資訊。
資安專家指出,Facestealer 藏身於一個叫做 Valina Snap Camera 的拍照 App 中,下載次數約有 5,000 次。
第三種惡意軟體名為「Coper」,也是一種資訊竊取惡意軟體,除了會攔截用戶的簡訊內容外,也會竊取鍵盤輸入字元、透過畫面覆疊誘使用戶輸入機敏資訊、發送惡意簡訊,並將攔截到的內容傳回駭侵者設立的控制伺服器。
ZScaler 指出有一個叫做 Unicc QR Scanner 的 App 內含 Coper 惡意軟體,感染裝置約在 1,000 台左右。
建議用戶即使透過官方的 App 商店下載安裝手機軟體,也應提高警覺,於下載前仔細檢閱說明與用戶評價;如果 App 出現可疑行為,如要求輸入各種登入資訊,或要求過多權限,也應立即停用並移除。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 SEKOIA 日前指出,一波稱為 Roaming Mantis 的大規模攻擊行動,正在多個國家進行中;現在更針對兩大平台行動裝置用戶發動惡意軟體植入與釣魚攻擊,意在騙取用戶的金融資產。
SEKOIA 指出,Roaming Mantis 的攻擊行動,過去曾在德國、台灣、南韓、日本、美國、英國等地大肆發動攻擊,現階段則是重點集中在攻擊法國境內的行動裝置用戶。
SEKOIA 說,該公司是在今(2022)年 2 月份開始觀測到 Roaming Mantis 於歐洲的駭侵攻擊活動;近來該攻擊的形態則是以詐騙簡訊進行。如果 Android 用戶誤點簡訊中的惡意連結,就會將惡意軟體下載到裝置內;如果是 iOS 用戶點按惡意連結,則會被導向到一個釣魚網頁,誘使用戶輸入其 Apple 帳號登入資訊。
SEKOIA 在報告中分析,安裝在 Android 手機中的軟意軟體稱為 XLoader (MoqHao) 酬載,功能非常強大,能夠進行諸如遠端遙控、資訊竊取、發送垃圾簡訊等操作。
目前針對法國用戶發送的垃圾簡訊,其內容是詐稱有貨物包裹即將寄達受害者,需要受害者點按連結,以進行進一步的確認並指定送達地點。法國境內用戶會因其使用的手機平台,而有上述的不同攻擊方式,而法國境外的用戶,只會看到 404 錯誤頁面。
SEKOIA 的觀測報告指出,在 Roaming Mantis 這波針對法國用戶的攻擊中,已觀測到高達 7 萬個不重覆 IP 存取駭侵者設立的控制伺服器,並發出 XLoader 惡意軟體下載要求;iOS 的釣魚頁面存取數量不明,但想必會比 Andoird 更多。
建議行動裝置用戶收到不明簡訊時,切勿點擊內含連結,應直接將該不明簡訊設定為垃圾內容;如不慎誤點連結,也不要下載安裝任何軟體,或輪入任何登入資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Dragos 旗下的資安專家,近日發現有駭侵者在網路上販售可破解多個廠牌工業控制設備(Industrial Control System, ICS)中「可程式化邏輯控制器」(Programmable Logic Controller, PLC)登入密碼的軟體,受影響產品的製造商遍及歐美日韓各大廠牌,嚴重影響各種工業設備的安全。
據報告指出,駭侵者在其社群媒體帳號中宣稱,能夠破解各大廠牌 PLC 與人機介面(Human-machine Interface, HMI)的登入密碼,受影響的廠牌包括 Automation Direct、Omron、Siemens、Fuji Electric、Mitsubishi、LG、Pro-Face、Allen、Bradley、Weintek、ABB、Panasonic 等。
據 Dragos 指出,該公司是在研究分析發生於 Autoation Direct 生產的 DirectLogic PLC 相關資安事件時,發現了有破解軟體可利用該裝置的一個已知漏洞,來取得登入密碼。
Dragos 同時指出,該破解軟體也會試圖安裝一個名為 Sality 的惡意軟體,可在使用者的電腦中建立一個同儕僵屍網路,用以發動後續的各種駭侵攻擊。
資安專家說,Sality 是一個頗有歷史的老舊惡意軟體,除了可以下載額外酬載、竊取宿主電腦內的資訊外,也能透過 Windows 網路、外接式儲存裝置等來進行散布,以發動各式不同的駭侵攻擊。
Dragos 表示,如果工業製造廠的工程師,為了快速找出 PLC 的登入密碼,而濫用這類破解工具,就很可能造成整個工業製造系統的資安危機。
建議各製造業者應嚴令禁止使用這類來路不明的密碼破解工具,如需取回密碼,應依正規管道尋求原廠支援;製造業者對工業系統的資安防護能力亦應加強,當有人員便宜行事,導致惡意軟體入侵時,才能予以偵測防範。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Proofpoint 日前發表研究報告,該公司旗下多位資安專家聯合撰文,指出多個國家的「進階持續性威脅」(Advanced Persistent Threat, APT)駭侵團體,近年來開始採用各種方法針對各國媒體發動駭侵攻擊行動,包括針對記者的魚叉式釣魚攻擊,或是假扮記者監控重點目標等,情況日趨嚴重,各國政府與新聞媒體暨從業人員,應特別提高警覺。
報告中指出,由於新聞媒體經常握有各種尚不為外界所知的情報和機敏資訊,也有許多重要的採訪對象,極具駭侵監控價值與誘因,因此新聞媒體本身及其從業人員,以及重要的採訪諮詢對象,都是各國 APT 駭侵團體的重點攻擊目標。
報告中指出,目前已證實一個稱為「Zirconium」(TA412)的駭侵團體,自 2021 年初起就透過魚叉式釣魚信件,鎖定美國多個媒體旗下的記者進行駭侵攻擊,以釣魚信件植入惡意軟體,收集記者本人所在地、IP、ISP 等資訊,並竊取記者的通訊內容;而自 2022 年 2 月起,Zirconium 集中火力攻擊專門報導烏俄戰爭的記者群。
報告也指出,自 2022 年 4 月起,另一個駭侵團體 TA459,針對追蹤報導阿富汗外交政策的媒體與其人員發動攻擊,以稱為 Chinoxy 的惡意軟體藏於信件中的 RTF 檔中。
駭侵團體 TA404 則於 2022 年春起,開始透過詐騙挖角方式,攻擊媒體從業人員;駭侵團體 TA482 則試圖竊取媒體與人員使用的社群平台帳號。
報告也指出,駭侵團體 TA453 的攻擊方式不太一樣,是假冒成媒體記者,對重要的中東政策研究學者寄出假稱採訪的釣魚信件;而駭侵團體 TA456 則是假冒 Fox News 與 Guardian 來發送釣魚電子報,在電子報中夾藏惡意連結。
由於媒體掌握相當多的未公開情報,對社會也具有較大影響力,因此媒體組織本身與其從業人員,都應加強防範各種駭侵攻擊;經常受訪的人士也應提高警覺,確認訪問者的身分,勿隨意開啟郵件附檔與連結。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Evina 旗下的資安專家 Maxime Ingrao 近日發表研究報告,指出發現多個 Google Play Store 中的各類 Android 應用程式,內含一個會偷偷幫用戶訂閱高價服務,藉以賺取不法利益的惡意軟體 Autolycos;這些應用程式的總下載次數已經超過 300 萬次,Android 用戶需特別提高警覺。
據指出,Autolycos 這個惡意軟體,會在用戶不知情的情形下,悄悄透過遠端瀏覽器開啟 URL,而不使用 Webview,以避免遭到裝置上作業系統與防毒防駭軟體的偵測,用戶本人也更難以發現。
Maxime Ingrao 指出,目前已知至少有 8 個含有 Autolycos 惡意軟體的 Android 應用程式,在 Google Play Store 中上架,其中有 6 個已遭 Google 下架,其名稱與下載次數分別如下:Vlog Star Video Editor (com.vlog.star.video.editor) – 1 百萬次Creative 3D Launcher (app.launcher.creative3d) – 1 百萬次Wow Beauty Camera (com.wowbeauty.camera) – 10 萬次Gif Emoji Keyboard (com.gif.emoji.keyboard) – 10 萬次Freeglow Camera 1.0.0 (com.glow.camera.open) – 5 千次Coco Camera v1.1 (com.toomore.cool.camera) –1 千次
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前發表研究報告,指出目前正有一波進行中的大規模釣魚攻擊,鎖定 10,000 家以上公私單位發動駭侵攻擊;特別的是,該攻擊可以挾持受害者的 Office 365 登入驗證程序,即使是以多重驗證機制保護的登入程序亦可破解。
據 Microsoft 的資安通報指出,駭侵者使用了可以挾持 Office 365 登入程序頁面的釣魚入口網頁,當受害者收到釣魚信件,點按信件中的釣魚連結後,就會被導到釣魚網頁入口,在竊得用戶輸入的登入資訊和操作階段 cookie 後,還會透過代理(proxy)手段,將收到的多重驗證碼輸入頁面轉給用戶,由用戶輸入驗證碼後,再由駭侵者「代為登入」後,駭侵者即可進入目標系統中,進行進一步的駭侵攻擊。
Microsoft 在報告中稱這種攻擊手法為 Adversary-in-the-middle(AiTM),且這種攻擊手法可以使用如 Evilginx2、Modlishka、Muraena 等多種開源釣魚攻擊工具來進行自動化操作。
Microsoft 指出,該公司透過分析來自 Microsoft 365 Defender 的各種資料,發現自 2021 年 9 月起,這類 AiTM 攻擊便大量出現,攻擊對象超過 10,000 家以上公私單位。
為抵禦日益增加的 AiTM 攻擊,Microsoft 建議使用以憑證為基礎,且支援 Fast ID Online (FIDO) 2.0 的多重登入驗證流程,同時也要特別注意可疑的登入以及信箱活動,並且以條件限制未登錄的裝置或不在信任白名單內的 IP 存取內網資源。另外,終端用戶也應避免點擊或開啟疑似釣魚郵件中的連結與附件。
twcert 發表在
痞客邦
留言(0)
人氣()
全球熱門 NFT 遊戲平台 Axie Infinity,曾於今(2022)年三月時發生損失高達 5.4 億美元的駭侵事件;日前一家名為 The Block 的區塊鏈專業媒體發表調查報告,指出該起攻擊事件係由 APT 組織 Lazarus 成員應徵該平台資深工程師職務,混入平台後進而竊得重要金鑰所致。
Axie Infinity 是目前全球熱門的 NFT 遊戲平台之一,主打「邊玩邊賺」模式,玩家只要在平台內購買以 NFT 型式販售的虛擬寵物和道具,即可透過對戰和寵物養成買賣來賺取利潤。最熱門時每日活躍用戶高達 270 萬人,每周交易額高達 2.14 億美元;甚至在菲律賓等東南亞國家,更有許多人靠替玩家代練虛擬寵物維生。
The Block 在近日推出的調查報告中說,該平台遭駭是因為 APT 團體成員,以空頭公司透過求職求才社群平台 LinkedIn,對 Axie Infinity 內部資深工程師進行高薪挖角,並發給獲得「錄取」的 Axie Infinity 工程師一個含有惡意程式碼的 PDF 檔做為錄取通知書,藉以駭入 Axie Infinity 使用的以太坊區塊鏈側鏈 Ronin 的系統內。
該報告指出,Lazarus 的駭侵者在成功入侵 Ronin 的系統後,很快就在 3 月 23 日取得了在 Ronin 上負責驗證交易的 9 個驗證者中的其中 5 個,因而可以控制交易驗證。資安專家表示,Axie Infinity 的區塊鏈交易問題不只是出在驗證者數量過少,更是因為這些驗證者都集中在一處,不夠分散,因此才會讓駭侵者一次掌握過半的驗證者,可以任意操作交易結果。
在 3 月發生的該起駭侵攻擊中,Lazarus 共取得高達 173,600 枚以太幣,以及 2,550 萬枚 USDC 穩定幣,以當時幣價來看,相當於 5.4 億美元,是一次十分成功的魚叉式釣魚攻擊。
鑑於駭侵者用以植入惡意軟體的手段愈見多元,建議掌握大量金流或用戶個資的公私單位,都必須加強釣魚攻擊的對抗能力,並且嚴格要求工作者禁止利用工作用電腦存取私人資源。
twcert 發表在
痞客邦
留言(0)
人氣()
