美國聯邦調查局(Federal Bureau of Investigation, FBI)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前聯合發表資安通報,指出一個名為 Royal 的勒贖團體,自 2022 年 9 月起犯下多起勒贖攻擊,總共要求的贖金高達 2.75 億美元。
FBI 在通報中更新了於 2023 年 3 月發出的資安指引,指出自 2022 年 9 月以來,Royal 勒贖團體的攻擊行動,至少有 350 個以上受害個人或團體。
如同其他勒贖團體的攻擊手法,Royal 勒贖團體會先竊取受害者的資料,然後再將其加密並要求高額解鎖贖金;如果受害者拒付贖金,被竊的資料就會遭到 Royal 公開在其網站上。
兩個單位也指出,Royal 勒贖團體最常用於入侵受害者電腦系統的手法,是藉由釣魚郵件來騙取受害者的系統登入資訊。
資安廠商 RedSense 旗下的資安專家也指出,Royal 在今年 9 月時更名為 BlackSuit,並放棄原先使用的駭侵工具與組織架構;新的組織架構更加企業化,更接近其來源駭侵團體 Conti2 的組織與運作方式。
今年 3 月時 FBI 與 CISA 已經在針對 Royal 勒贖團體發布的資安通報中,提供防範該團體進行駭侵攻擊的指引,包括該團體典型的攻擊手法、流程等詳細資訊,以協助各單位阻擋其攻擊,並且攔截進行攻擊用的惡意程式碼酬載。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」,共修復 58 個資安漏洞;其中含有 5 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量僅有 58 個,較上個月(2023 年 10 月)的 104 個資安漏洞大為減少;而在這 58 個漏洞中,僅有 3 個屬於「嚴重」等級,另有 5 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 15 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Scam Sniffer 近期發現有駭侵者濫用以太坊的「Create2」功能,成功略過加密錢包的資安功能並入侵加密貨幣位址,在六個月內竊得高達 6,000 萬美元加密資金,受害者近 10 萬人。
Scam Sniffer 近來發現多起利用相同手法的加密資產竊案,都是利用以太坊提供的「Create2」功能來加以濫用。該功能是於以太坊的「Constantinople」改版時推出,可在區塊鏈上新增智慧合約。這個功能非常強大,可以在布署智慧合約前用來計算錢包位址,讓區塊鏈開發者可用以設計出複雜的智慧合約功能,且可以進行鏈下交易之用。
Scam Sniffer 指出,駭侵者利用 Create2 功能憑空創造出全新的智約合約位址,因其不含任何過往的惡意交易記錄,因此當駭侵者將竊取的資金轉入這些全新的錢包位址時,就不易觸發危險位址交易警示。
最近的一次竊取記錄顯示,某位受害者不慎簽署了駭侵者提供的惡意智慧合約,其相當於 927,000 美元的 GMX 代幣就遭到駭侵者轉入這類預先計算的合約位址內,因而遭到竊取。
也有駭侵者利用 Create2 功能,製作出和受害者個人擁有的位址相當接近的錢包位址,用來混淆受害者視聽,讓受害者以為轉帳目標位址是自己所擁有的錢包,從而竊取資金。
Scam Sniffer 指出,自 2023 年 8 月起,已記錄到 11 起駭侵者利用位址混淆手法進行的加密貨幣詐騙,共計損失 300 萬美元;最大的一筆竊案,損失金額高達 160 萬美元。
建議加密貨幣持有者在進行轉帳時,務必仔細檢查並確認轉帳目標的錢包位址是否完全正確,否則資金一旦轉出就無法逆轉,恐將蒙受重大損失。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Vanta 在一項針對 2,500 位企業領袖的大規模調查中發現,超過一半的企業領袖認為未經規範且不透明的生成式 AI 運用,可能導致客戶信賴感的降低。
這項調查是資安廠商 Vanta 針對澳洲、法國、德國、英國、美國的 2,500 位企業領袖進行的資安議題問卷調查,以了解企業在面對資安與信賴管理方面面臨的困難與挑戰。
報告指出,超過三分之二的受訪企業領袖,認為自己的企業必須強化資安防護能力與合規程度,另外也有四分之一受訪者表示,自己的企業在組織的資安防護與合規策略上過於被動。
報告也發現企業普遍面臨的新時代資安與信任困境,包括生成式 AI 的使用大幅增加、駭侵攻擊的廣度與深度大幅提升,企業必須大大提高資安方面的投入,但實際上可運用的人力與預算卻是減少的。
在 AI 運用方面,54% 企業領袖認為需要建構一套適當的 AI 使用規範體系,讓企業有所遵循,包括規範本身與生成式 AI 使用的透明度揭露等,否則將影響客戶對企業的信賴感。
此外,高達 72% 的受訪企業領袖,認為有充分的資安與合規策略,能夠提升企業的經營效率,但只有 41% 的企業進行內部資安稽核,僅有 37% 企業採用第三方的資安稽核,36% 企業完成內部資安問卷調查,平均更有 12% 企業當被問及內部資安策略時無法提供資訊或證明。
建議各大公私單位面對日益嚴峻的資安風險與合規要求,都應認真面對,撥列充足資源加以規畫,以強化資安防護能力與合規程度。
twcert 發表在
痞客邦
留言(0)
人氣()
全球大型社群討論平台 Discord 日前發布新聞稿指出,該平台將在今年年底之前改用暫時性連結來提供檔案下載服務,以防駭侵者使用其 CDN 服務來放置惡意軟體。
Discord 在回覆資安專業媒體 BleepingCompter 的採訪時指出,該平台正在調整存於其 CDN 中檔案 URL 連結的實作方式,以加強資安防護,提供使用者更安全的使用環境。Discord 指出,新措施將可逐漸減少存放在該平台上的惡意軟體檔案數量,且讓該平台的資安團隊更有效地限制經使用者檢舉的檔案連結。
Discord 即將推出的暫時性檔案連結 URL,在今年年底全面實施後,URL 的有效期限將限縮在 24 小時以內,且檔案連結 URL 會新增三種參數,以強化對 URL 的控制。
資安專家指出,Discord 的新做法是外部期待已久的改變,因為有愈來愈多的駭侵者,利用 Discord 的檔案分享功能來置放其惡意軟體檔案,將 Discord 的 CDN 服務變成惡意檔案擴散平台;特別是進行金融詐騙或由國家力量幕後支援的惡意檔案,數量佔比最高。
據資安廠商 Trellix 的統計,至少有 10,000 個以上的駭侵攻擊活動,使用置放於 Discord CDN 服務的惡意軟體下載 URL 來散播惡意軟體檔案,或是將第二階段的惡意軟體酬載放在 Discord 平台上。
包括 RedLine Stealer、Vidar、AgentTesla、zgRAT、Raccoon Stealer 等惡意軟體,都會使用 Discord 來放置惡意檔案或指令檔。
建議使用者應避免任意點按不明來源傳來的連結,以免遭惡意軟體攻擊或植入。
twcert 發表在
痞客邦
留言(0)
人氣()
Google Play 日前開始在上架到該平台的 VPN(虛擬私人網路) App 欄位中,新增一個資安稽核標章,可顯示該 App 與其服務平台是否通過第三方的獨立資安認證。
Google 指出,要能在 Google Play 的 App 說明欄位中獲得此標示,App 與其服務平台必須符合 Mobile App Security Assessment (MASA) 的標準;而 MASA 則是由 App Defense Alliance (ADA) 制訂出的行動 App 資安認證標準。
MASA 的標準要求 App 與其服務平台,在資料儲存、資料隱私、加密、存取認證和工作階段管理 (session management)、網路通訊、平台互動與程式碼品質方面,都有相當嚴格的要求。
Google 會選擇 VPN App 作為首度導入 App 資安稽核標章的先導應用程式類型,主要原因是 VPN 應用程式對於使用者的資安與隱私保護深度相關,且會涉及使用者機敏資訊存取;在 Google Play 中顯示該標章的 App,即表示通過獨立第三方以 MASA 標準進行的資安認證,可為使用者提供多一層的保護與信任。
第三方資安認證廠商,會以 MASA 標準來對 App 的源碼、伺服器設定與配置進行稽核,並且試圖發現 App 中的資安錯誤與弱點,來判斷該 App 是否符合 MASA 標準,可以獲頒認證合格標章。
由於 Google Play 是屬於 Android 系統的官方 App Store,因此這個標章的推廣,對於強化 Android 平台的安全性,可以帶來正面的影響。
Google 目前要求所有在 Google Play 上架的 VPN App,都必須通過該認證;目前已通過第三方 MASA 認證且獲得認證標章的 VPN app,包括 Nord VPN、Google One、ExpressVPN 等。
未來 Android 使用者在 Google Play 下載各類 App 時,建議可以選擇具有該資安認證標章的 App,以提升安全性。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技 (Trend Micro) 日前發表研究表告,指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞,可能造成駭侵者藉以遠端執行任意程式碼,或竊取設備上的機敏資訊。
該公司在發現這批漏洞的 2023 年 9 月初,就立即向 Microsoft 通報這批 0-day 漏洞,這 4 個 0-day 漏洞目前暫無 CVE 編號,但有 Trend Micro 自有的編號 ZDI,分列如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ESET 日前發表研究報告指出,一個名為 Mozi 的惡意軟體僵屍網路,在今年 8 月時突然大幅減少惡意攻擊活動;在 9 月底時更有一不明酬載上傳,因而全面停擺。
Mozi 是一個知名的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)惡意軟體僵屍網路,2019 年開始其攻擊行動,主要攻擊目標是各種 IoT 裝置,例如網路路由器、數位攝影機等各種聯網裝置。
Mozi 的典型進攻方式,是利用各種 IoT 設備的資安弱點,例如使用預設登入帳號密碼、未經修補的已知資安漏洞等等,來植入惡意軟體,使裝置成為點對點(peer to peer)僵屍網路的節點之一,再透過 BitTorrent 的 DHT 協定來協同,對特定目標發動 DDoS 攻擊用封包。
據 ESET 的報告指出,Mozi 的活動於 2023 年 8 月 8 日起開始大幅減少,首先是停止了其在印度的所有攻擊活動,之後於 8 月 16 日也停止了在中國的所有攻擊活動;最後在 9 月 27 日時,有一個 UDP 訊息發送給所有的 Mozi 僵屍網路節點,要求節點透過 HTTP 下載一個更新檔,結果造成整個 Mozi 惡意軟體活動的全面停止。
該更新檔甚至也停用了部分受植入裝置的系統服務、阻擋部分連接埠等。
ESET 分析該更新檔後指出,更新檔雖然停止了 Mozi 的攻擊活動,但並沒有完全刪除該惡意軟體,而且遭感染的裝置仍可對遠端伺服器執行 ping,以確認裝置中的 Mozi 惡意軟體仍可接受操控;這表示本次停止活動是受到刻意監控下進行的。
建議各種 IoT 設備的使用者與管理人員,應在有資安更新可用時立即套用更新,並且避免使用預設登入帳號密碼;未使用的連接埠也應全面關閉。
twcert 發表在
痞客邦
留言(0)
人氣()
全球 40 國將於華盛頓召開的第三屆國際反勒贖大會(International Counter-Ransomware Initiative Summit)上簽署協定,共同拒付贖金給勒贖團體,以扼止日益猖獗的勒贖攻擊。
本次大會將於 2023 年 10 月 31 日起在華盛頓舉辦,共有全球共 48 個國家與會,包括歐盟與國際刑警組織 (INTERPOL) 在內。會中將聚焦討論如何阻擋勒贖團體的資金流向,並發展出全球共同合作的架構,以阻擋勒贖團體資金的跨境流動。
twcert 發表在
痞客邦
留言(0)
人氣()
區塊鏈專家 ZachXBT 與區塊鏈錢包 MetaMask 的開發者 Taylor Monahan,近期發現日前密碼儲存工具服務 LastPass 於 2022 年發生駭侵事件中外洩的資訊,疑已遭駭侵者用以竊取受害者的加密貨幣資產,損失達 440 萬美元。
該起加密貨幣竊案發生於 2023 年 10 月 25 日,共有 25 名受害者,其加密貨幣錢包中合計約 440 萬美元的各種加密貨幣資產,同時遭駭侵者盜領一空。
ZachXBT 指近期頻繁接獲用戶回報,表示自己的加密資產遭到竊取;在深入追蹤多個案例後,發現這些受害者的共同點,就是都使用了 LastPass 服務。
ZachXBT 表示,如果使用者將自己加密貨幣錢包的復原短語或密碼存在 LastPass 中,而又未曾於 LastPass 遭駭後更改復原短語與密碼,錢包內的數位資產就極可能在一瞬間遭到駭侵者盜領一空。
LastPass 是一個使用者眾多的密碼儲存管理服務,在 2022 年曾兩度發生駭侵事件,當時該服務的程式原始碼、顧客資料、經過加密的使用者儲存密碼、正式版網站備份等資訊都遭到駭侵者竊取。
LastPass 當時指出,雖然使用者儲存在該服務的密碼資訊經過加密儲存,且只有使用者本人擁有可解密的密碼,但如果使用者密碼本身強度不足,或使用與其他服務相同的密碼,就還是有被駭侵者破解的高度風險。
ZachXBT 指出,現在既然已經發生 LastPass 使用者加密資產遭竊的案例,即表示駭侵者已有能力破解經加密的使用者密碼。加密貨幣投資人應立即把資金撤回冷錢包,並且立即修改熱錢包的密碼或復原短語。
建議加密貨幣投資人應避免將錢包復原短語或密碼存於線上密碼管理平台,資金最好存在離線的冷錢包內,如需存於線上熱錢包,應經常修改熱錢包的密碼或復原短語。
twcert 發表在
痞客邦
留言(0)
人氣()
大型旅遊訂房網站 Booking.com 近日在全球各地都傳出遭駭侵者發動詐騙攻擊的事件,許多客戶在訂房後收到詐騙信件或訊息,然後被導至釣魚網站,導致個人與付款相關資訊遭竊。
據新加坡媒體報導,自今年 1 月起至少已有 30 名受害者,遭詐騙的總額達 41,000 新幣;而在英國、愛爾蘭、紐西蘭、日本、台灣等多國有使用者受害。媒體指出,旅客在 Booking.com 上預訂房間後,會收到由該網站的 App 內聊天室發出的訊息,或以該站網域署名的 email,內容是詐騙者假冒旅館人員,要求消費者在規定時間內「確認」信用卡資訊,否則將取消其訂位。
消費者一旦信以為真,點按了訊息中的釣魚連結,就會被帶到詐騙者設立的假網站,並會被要求輸入個人資訊、銀行帳號或信用卡資訊,以及由金融業者發送的單次有效密碼,隨即其信用卡或帳號就會遭到盜刷或盜領。
資安廠商 Perception Point 指出,駭侵者先利用假稱訂房或社交工程等攻擊手法,入侵各飯店的內部系統後加以控制,因此能取得客戶訂房資訊,也能假冒飯店人員進入其在 Booking.com 的後台,利用 App 內的即時通訊和 email 發送機制,來發送釣魚連結給訂房旅客。
由於訊息是來自 Booking.com 的站內即時通訊或該網域的 email,因此旅客很難在第一時間發現異狀;不過資安專家也表示,駭侵者發送的釣魚連結,並非使用 Booking.com 網域,而是其他試圖魚目混珠的網域,用戶如能仔細觀察,依然可發現異狀。
建議用戶在進行各種電子交易時,對於任何發送給消費者的連結,都必須提高警覺,仔細確認連結所屬網域正確無誤,可大幅降低遭釣魚攻擊的成功機率。
twcert 發表在
痞客邦
留言(0)
人氣()
奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路,該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開,除了逮捕 20 人之外,也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。
奧地利警方指出,該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務;奧國警方是在接獲德國方面的報案後開始進行調查,終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團,嫌犯全數為土耳其國籍。
警方指出,該盜版集團成員中有負責破解加密電視訊號的內容提供者,也有負責招募訂戶的經銷商;經銷商以一年 50 美元的價格購買盜播網會員資格後,再以一年 200 美元的價格販售給想看盜版電視節目的網友。
警方說,每名經銷商手上約有 300 到 2,500 名訂戶,經銷商雖然會使用 Facebook 廣告進行宣傳,但主要的客戶來源以口耳相傳為主。
警方破獲的設備,包括 35 台用於訊號解碼與 IPTV 廣播的伺服器,以及 55 台電腦、硬碟、智慧型手機等,甚至還包括一台 Audi A7 豪華轎車。
警方說,主要的嫌犯靠盜版生意賺取大筆不法收入,除了擁有多輛豪華轎跑車外,也擁有多筆豪宅、多家公司、俱樂部等。
警方表示遭到逮捕的嫌犯,包括 3 名內容提供者與 15 名經銷商,都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴,尚未落網的嫌犯主要都在德國境內,目前也已掌握其犯罪地點的相關情報。
建議使用網路影音的觀眾,不應安裝來路不明的盜版影音機上盒或加入盜版網站會員,以免同時吃上侵害著作權的官司,面臨鉅額罰款。
twcert 發表在
痞客邦
留言(0)
人氣()
