資安廠商 Deep Instinct 日前發表針對多家 1,000 名員工以上公司資安人員的調查報告,指出有高達 46% 的高階與資深資安工作者,因為近年駭侵攻擊次數與強度不斷提升,導致工作壓力大增,因而考慮辭去相關工作。
報告中指出,近年來以勒贖攻擊、供應鏈攻擊為主的各式駭侵攻擊,在攻擊規模、發生頻率、技術難度與造成的損害方面不斷提升,使得各公私單位的資安相關人員的工作負荷與壓力「提升到難以為繼的程度」;有超過 90% 的資安防護相關人員表示工作壓力過大,且有相當程度的資安人員認為這種過度壓力,將會影響其工作上的表現。
報告中也指出,資安威脅加劇不只影響基層資安工作人員,對包括資安長、技術長、IT 策略總監等主管級人員也造成相當大的工作壓力。
報告也提到,由於疫情造成的遠距工作類型,也使資安相關人員的工作變得更加繁重;報告中有 52% 的資安主管認為,各單位大量使用行動裝置遠距工作,使得單位內部的設備更加複雜,也加重了資安相關人員的工作負荷。
至於非主管階層的資安人員,有 47% 的人指出單位期待他們能阻擋一切資安威脅,但這是不可能的,因此而感到壓力沉重;有 43% 資安人員指出他們必須隨時待命;另有 40% 資安人員表示組織的資安編制人員不足,資源短缺,也造成其工作壓力大增。
在面對勒贖攻擊的威脅方面,38% 人員指出其服務單位曾受勒贖攻擊,且曾支付贖金以取回檔案;但其中有 46% 即使支付贖金,單位擁有的檔案與機敏資訊仍遭曝光,另外更有 23% 曾遭駭侵團體進一步勒贖。
面對日益嚴重的資安威脅,各公私單位應更加重視在資安方面的軟硬體、人員編制與顧問服務的投資,提升資安人員的士氣與可用資源,以免身為第一道防線的資安人員崩潰,影響整體資安防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Dr.Web 旗下的資安專家,於上個月發現 Google Play Store 內有多支廣告暨資訊竊取軟體藏身於內,除了顯示大量廣告外,還會竊取用戶手機中的各項機敏資訊。
廣告惡意軟體會在安裝後顯示大量廣告,除了嚴重影響用戶體驗外,更會大量消耗裝置電力以及網路連線流量,造成手機發熱,降低使用壽命之外,有些廣告軟體甚至會在用戶未同意的情形下,擅自訂閱各種高價付費服務,造成用戶金錢損失。
資訊竊取軟體則會竊取用戶存在手機中的各種個人機敏資訊,包括登入各種服務使用的帳號密碼、社群服務帳號、金融相關資訊等,甚至會攔截用戶輸入的內容,包括雙重驗證用的代碼,以奪取用戶帳號使用權限。
根據 Dr.Web 的報告指出,上個月在 Google Play Store 中發現多個這類惡意 App,至今仍有五種惡意 App 仍未遭到下架:PIP Pic Camera Photo Editor:偽裝為照片編輯軟體,會竊取用戶的 Facebook 登入資訊,下載達 100 萬次以上。Wild & Exotic Animal Wallpaper:廣告後門惡意軟體,會將其圖示與軟體名稱改為「SIM Tool Kit」,並自行列入電池電力節約的除外名單內,下載量達 50 萬次。ZodiHoroscopr:偽裝成算命軟體的資訊竊取惡意 App,會誘騙用戶輸入其 Facebook 登入資訊,亦有 50 萬次下載。PIP Camera 2022:50 萬次下載,會竊取 Facebook 登入資訊。Magnifier Flashlight:一萬次下載,會不停顯示各種廣告。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 日前推出 2022 年 6 月份例行性 Patch Tuesday 資安更新修補包,一共修復多達 55 個資安漏洞,其中包括近來遭到大規模濫用於攻擊的 CVE-2022-30190 Follina MSDT 0-day 漏洞在內。
這 55 個漏洞當中,包含 5 個危險程度層級為「嚴重」(Critical)等級的漏洞,均為可讓駭侵者遠端執行任意程式碼的漏洞;其他的多為「重要」(Important)等級。
如果以類型區分,這 55 個得到修補的漏洞分別如下:執行權限提升漏洞:12 個;資安防護功能略過漏洞:1 個;遠端執行任意程式碼漏洞:27 個;資訊外洩漏洞:11 個;服務阻斷攻擊漏洞:3 個;假冒詐騙漏洞:1 個。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Confiant 旗下的資安專家,近期發現一個名為「SeaFlower」(中文名稱為「藏海花」)的大型加密貨幣駭侵攻擊活動;冒充各種知名行動加密貨幣錢包,以騙取用戶存在錢包內的加密貨幣資金。
Confiant 的報告指出,該公司係於 2022 年 3 月起開始觀察到 SeaFlower 的攻擊行動;Confiant 也指出其幕後的駭侵團體技術能力十分強大,僅次於惡名昭彰的 Lazarus 駭侵團體。
據 Confiant 的報告指出,SeaFlower 先是透過各種管道,例如幾可亂真的假官方網站、黑帽 SEO、社群媒體、加密貨幣相關論壇、惡意廣告等方式,全力散布多個假冒各種知名加密貨幣錢包的惡意軟體,遭到仿冒的加密貨幣錢包,包括 Coinbase、MetaMask、TokenPocket、imToken 等。
Confinat 也發現,百度搜尋引擎顯然遭到 SeaFlower 的各種詐騙 SEO 手法影響,對該團體架設的詐騙網站提供許多流量。
在 iOS 上,該駭侵團體則透過要求用戶下載設定檔的方式,誘使用戶側載(side-load) 惡意軟體,以逃避 iOS 的資安防護機制,裝惡意軟體安裝在 iPhone 上。
為避免受到這類詐騙假冒加密貨幣錢包的攻擊,導致財務損失,建議加密貨幣投資或交易用戶,切記務必自真正的加密貨幣錢包網站,以及 iOS App Store 與 Google Play Store 下載官方版的加密資幣錢包,絕對不要安裝任何不明來源的加密貨幣相關應用程式。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前新公告 36 種漏洞,目前正遭受多個駭侵團體大規模濫用於攻擊行動;相關軟硬體系統用戶應立即進行修補,以免遭到駭侵攻擊。
最新公告新增到 CISA 「已知遭濫用之漏洞清單」(Known Exploited Vulnerabilities Catalog)的 36 種漏洞,分別存於 Microsoft、Google、Adobe、Cisco、Netgear、QNAP 等公司的軟硬體產品,重點漏洞如下:Microsoft:CVE-2012-4969(存於 Internet Explorer 的遠端任意程式碼執行漏洞)、CVE-2013-1331(存於 Microsoft Office 的緩衝區溢位漏洞,可用以進行遠端攻擊)、CVE-2012-0151(存於 Microsoft Windows 的簽署驗證錯誤,可遠端執行任意程式碼)。Google:CVE-2016-1646 與 CVE-2015-5198(存於 Google Chromium V8 引擎,可進行 DoS 攻擊)、CVE-2018-17463 與 CVE-2017-5070(同樣存於 Gogole Chromium V8 引擎,可用於遠端執行任意程式碼)。Adobe:CVE-2009-4324(存於 Adobe Acrobat 與 Reader,可透過特製 PDF檔遠端執行任意程式碼)、CVE-2010-1297(存於 Adobe Flash Player 的記憶體崩潰漏洞,可用以遠端執行任意程式碼或發動 DoS 攻擊)。Cisco RV 系列:CVE-2019-15271,攻擊者可以取得 root 權限並且遠端執行任意程式碼。Netgear:CVE-2017-6862,存於多種該品牌裝置中的緩衝區溢位漏洞,可讓駭侵者跳過安全驗證並遠端執行任意程式碼。QNAP:CVE-2019-7192,存於 QNAP NAS 中 Photo Station 軟體的存取權限控制錯誤,可讓未經授權的駭侵者遠端控制裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Check Point 旗下的資安專家,近日發現有駭侵者利用一個已經修復的 Atlassian Confluence Server 漏洞發動駭侵攻擊,在受駭伺服器上安裝惡意軟體,以挖掘加密貨幣牟利。
這個駭侵團體稱為「8220 gang」,其駭侵手法是先在網路上進行大量掃瞄,找到存有可攻擊漏洞的 Linux 與 Windows 伺服器,接著利用漏洞植入惡意軟體,以執行其駭侵攻擊,包括加密貨幣挖礦在內。
Check Point 指出,這次遭到 8220 gang 駭侵者鎖定攻擊的漏洞,是在 2022 年 5 月底時遭到發現的 CVE-2022-26134 0-day 漏洞,存於 Atlassian Confluence Server 之上;該漏洞可讓駭侵者遠端執行任意程式式碼,其 CVSS 危險程度評分高達 9.4 分,屬於「嚴重」(critical)等級。
雖然開發原廠 Atlassian 很快就在 6 月 3 日釋出修復此漏洞的更新版本,但根據資安廠商 GreyNoise 的監測結果顯示,即時在更新推出之後,遭到 8220 gang 駭侵攻擊的案例仍然不斷增加中。
資安專家表示,除了 8220 gang 發動的挖礦攻擊外,鎖定 CVE-2022-26134 的駭侵攻擊活動同時有好幾種,包括 Kinsing、Hezb、Dark.IOT 等,分別試圖植入僵屍網路或挖礦程式。
建議系統管理者除應隨時注意各種系統與軟體更新,隨時維持系統在最新版本之外,也應避免將系統曝露於外部 Internet 之上,應以適當的軟硬體防火牆進行保護,僅容許透過內網存取。
twcert 發表在
痞客邦
留言(0)
人氣()
位於義大利西西里島北部的城鎮帕勒莫市(Palermo),近來遭到一個名為 Vice Society 的勒贖軟體發動大規模駭侵攻擊,導致該市多種市政服務因而無法運作。
據 Palermo 市政當局指出,攻擊發生在 6 月 3 日,導致該市所有透過網路提供的服務全部受到影響,使 130 萬市民與許多觀光客無法順利使用該市的政府相關系統。
Palermo 在上周接獲資安通報,表示有可能受到大規模分散式服務阻斷攻擊(Distributed Denial of Service, DDoS),因為義大利其他政府單位,當時也正遭到大規模的 DDoS 攻擊。
不過實際上發生的是勒贖攻擊。目前該市所有的伺服器全部呈現離線狀態,當局指稱正在加緊修復中。
本周三一個名為 Vice Society 的勒贖駭侵團體,在其架設於暗網上的入口中貼出公告,宣稱 Palermo 市的勒贖攻擊是該團體發動的;該團體稱,如果 Palermo 市不在 6 月 12 日前支付要求的贖款,就將公開所有竊自該市伺服器的資料。
資安專家指出,由於 Vice Society 並未在網站中貼出部分資料,因此目前無法得知哪些和市民個資相關的機敏資訊遭竊。
資安專家表示,Vice Society 過去經常透過已知的資安漏洞發動攻擊,因此掌管大量民眾與法人資訊的政府單位系統管理者,應隨時注意各種軟硬體的漏洞與更新情報,並隨時更新到最新版本,並且加強系統的資安攻擊防護能力。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 PIXM 旗下的資安專家,近日發現一個大型釣魚攻擊活動,透過 Facebook 與 Facebook Messenger 進行;該釣魚攻擊不僅意圖詐騙用戶輸入其各類服務的登入資訊,並且還會透過竊得的帳戶資訊,進一步傳送釣魚連結給用戶的朋友,並透過顯示廣告賺取佣金。
據 PIXM 的報告指出,這波釣魚攻擊活動早在去(2021)年 9 月就開始進行,到今(2022)年 4 月、5 月時達到攻擊高峰。
PIXM 也說,受害者在點按 Facebook Messenger 中的釣魚連結後,會經過多次轉址,最後連到駭侵者設立的釣魚網頁;資安專家也透過方法得知該系列釣魚網頁,在 2021 年時的點閱次數達 270 萬次,在 2022 年的目前累積點閱更高達 850 萬次,可見攻擊活動規模顯著擴大。
PIXM 專家也挖掘出該波攻擊活動共使用 405 個不重覆的 Facebook 帳號,各自設立不同的 Facebook 釣魚攻擊粉絲頁面;這些頁面的瀏覽次數從四千餘次到六百多萬次不等。
攻擊者在以釣魚網頁取得用戶登入資訊後,用戶就會遇到另一輪多次轉址,最後會看到廣告頁面或問卷;駭侵者則可藉此賺取高額的推薦連結分潤。
PIXM 已向警方分享其發現,且目前已有部分釣魚頁面使用的網址遭到收回,但整體而言,該波攻擊仍在持續進行中。
建議用戶在社群平台或即時通訊中如收到連結,均應提高警覺,特別是久未連絡的朋友突然傳來的連結,很可能是該友帳號遭竊後,由駭侵者傳來的惡意連結,切勿點按。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Proofpoint 旗下的資安專家,日前觀察到一個名為 Qbot 的惡意軟體,會利用微軟一個尚未解決的 0-day 漏洞(CVE-2022-30190,又名 Follina)發動攻擊,目前觀察到該惡意軟體大規模發動釣魚攻擊;各單位之 Windows 用戶應提高警覺。
Proofpoint 是在上周與本周一(6月6日)發表的相關報告中,提到 Qbot 當時正用於攻擊美國與歐洲的政府單位;近日發表的新報告則指出,駭侵團體 TA570 就是發動這波 Qbot 攻擊的主要駭侵者。
這波 Qbot 釣魚攻擊,係以夾帶惡意程式碼的 Microsoft Office .docx 檔案來進行,利用 CVE-2022-30190 Follina 0-day 漏洞,在受害者電腦中植入 Qbot 惡意軟體;資安專家分析指出,這次 TA570 的攻擊方式是寄送一個夾帶 HTML 檔案的郵件;一旦開啟這個 HTML 檔,就會下載一個 zip 壓縮檔,壓縮檔內含有 IMG 檔案,內含一個 DLL、捷徑檔和 Microsoft Word .docx 檔,誘使用戶開啟。
CVE-2022-30190 Follina 0-day 漏洞存於 Microsoft Office 中,該漏洞可讓駭侵者以特製的 Microsoft Word 文件檔夾帶惡意指令檔,透過 Microsoft Diagnostic Tool (MSDT) 來執行惡意 Power Shell 指令。
由於目前 Microsoft 尚未針對這個 0-day 漏洞推出資安更新或暫時解決方案,因此建議公私單位特別注意,要求所屬人員勿隨意開啟或點擊可疑郵件中的任何夾檔;系統管理員也應隨時注意 Microsoft 的資安更新消息,一旦推出更新就應立即套用。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近期發表 2021 年度資安詐騙防止分析報告,指出在去(2021)年一年之中,App Store 審核團隊拒絕多達 16 萬種有可能誤導或對用戶發動垃圾訊息攻擊等具有資安疑慮的 App 上架。
報告中也指出,App Store 團隊也拒絕多達 343,000 種 iOS App 於 App Store 上架,原因是這些 App 可能傷害用戶隱私,違反 App Store 的上架規範。
另外,Apple 也拒絕 34,500 種 App 的上架申請,因為這些 App 內含非公開或未載明於說明文件上的功能。Apple 也移除多達 155,000 種已上架的 App,因為這些 App 會在獲准上架後增加不符規範要求的新功能,可能對用戶資安造成威脅。
在 2021 年一整年,因有資安或隱私疑慮,遭到 App Store 拒絕上架的 App 數量多達 160 萬種。
Apple 另外也發表了幾個和用戶資安保護相關的統計數字:阻擋近 15 億次詐騙交易。阻擋超過 330 萬次信用卡盜刷交易。將 60 萬個涉及詐騙交易的帳號永久停權。將 1.7 億個疑似用於詐騙活動的假帳號永久停權。阻止惡意分子註冊假帳號多達 1.18 億次。將 802,000 個疑似涉及詐騙與資安攻擊的開發者帳號永久停權。
twcert 發表在
痞客邦
留言(0)
人氣()
總部設於瑞士的大型藥廠諾華(Novartis)日前遭到駭侵攻擊,且部分被竊公司資料遭到駭侵者於暗網公開;但該公司對外發表聲明,表示並無機敏資訊外洩。
對 Novartis 發動攻擊的駭侵團體,名為 Industrial Spy;該團體專門針對各公私單位進行駭侵攻擊,目標在於竊取其機敏資訊,並在網路上販售圖利。
Industrial Spy 團體於日前在其經營的資料賣場中刊出一批資料,宣稱這批資料是來自 Novartis 的新藥開發實驗室,內含最新的 RNA 與 DNA 相關新藥科技與測試報告,可用於研發次世代的 COVID-19 疫苗的藥品,或是用於治療癌症。
該批資料內含多個檔案,總共的檔案大小為 7.7MB,主要都是 PDF 檔;檔案的時間戳記均為 2022/2/25 04:26,很可能就是駭侵者入侵的時間點。
資安專家指出,由於公開的被竊檔案大小相當小,目前無法得知這些就是全部的遭竊檔案,或只是被竊檔案的一部分。
資安媒體 BleepingComputer 針對此事件向 Novartis 進行採訪,該公司回應指出已經針對此一攻擊事件進行調查中,目前該公司可確認沒有任何機敏資料遭竊;該公司也未對此波駭侵攻擊的細節提供任何資訊,包括事件發生時間、駭侵者透過何種方式進入該公司系統。
有鑑於企業資料竊取與勒贖攻擊不斷上升,企業應加強系統的資安防護等級,同時加強工作人員的資安訓練,以免駭侵者藉由系統漏洞或針對員工進行釣魚或社交攻擊成功入侵。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局(Federal Bureau of Investigation, FBI)日前發表公開通報(Public Service Announcement),指出該局最近觀察到有詐騙集團企圖以各種詐騙手法,不法竊取社會各界對戰火中烏克蘭人道危機的捐款;社會大眾於捐款前,應依該局提出的防範指南,提高警覺並特別注意,以免愛心遭到濫用。
詐騙者利用各界針對烏克蘭因為俄羅斯侵略而造成的人道危機踴躍捐款的機會,假冒為烏克蘭境內的各種實體,謊稱需要人道援助,展開詐騙募捐活動。
FBI 沒有在這次通報中明確指出是哪些詐騙者,假扮哪些烏克蘭境內實體,也沒有透露具體遭到詐騙的義援金總額。
不過在通報中,FBI 詳細建議多個具體可行的方案,讓有意捐款的個人或團體用以保護自己,避免愛心捐款流入不法分子手中:對於各種網路上宣稱為烏克蘭戰爭危機募款的宣傳活動,要特別提高警覺,切勿輕信。烏克蘭政府與烏克蘭各團體雖然確實正在進行各種募捐,但也有不少詐騙活動是假借上述合法單位的名義進行,特別是要求以加密貨幣轉帳捐款者,更要特別注意;轉帳前應仔細比對你欲轉帳的錢包位址,是否與烏克蘭政府公布的官方捐款錢包位址完全一致。要特別注意是否有任何個人假稱自己代表烏克蘭境內實體進行募捐。不要轉帳給任何要求捐款的不明個人或實體。不要和任何不明募捐者進行溝通,包括 Email、即時通訊等,更不要隨意開啟對方傳來的連結或檔案。對國內單位捐款前,應向有關單位查詢該募款單位是否為合法註冊的公益團體。
twcert 發表在
痞客邦
留言(0)
人氣()
