資安研究團體 The Shadowserver Foundation 日前發表研究報告,指出全世界有 360 萬台以上的 MySQL 伺服器,未經適當防護而在 Internet 上曝露,且可接受各種指令進行操作,因而成為駭侵者的最佳攻擊目標。
調查顯示全球網路約有 360 萬台 MySQL server 於 Internet 上曝露,且使用 MySQL 預設的通訊埠 TCP 3306。這些為數眾多的 MySQL 伺服器,有約 230 萬台使用 IPV4,其餘 130 萬台使用 IPV6 連線。
報告也指出,若以曝露數量來排序,美國境內曝露於 Internet 上的 MySQL server 數量最多,有超過 120 萬台以上,其餘國家則包括中國、德國、新加坡、荷蘭、波蘭等。
報告也指出,除了這些確定曝露在 Internet 上,可能遭到攻擊的 MySQL server 外,也有一些具備部分防護,不會對掃瞄用的 TLS / 非 TLS 於 port 3306 上的連線要求提供回應的 MySQL server;但在所有偵測到的 MySQL server 中,高達 67% 都可以直接透過 Internet 存取;這是十分危險的,因為駭侵者將能輕鬆駭入這些幾乎不設防的 MySQL server 中,進行資料竊取或其他進階攻擊。
調查也發現這些對外曝露的 MySQL server,其版本號碼都十分老舊;曝露伺服器數量最多的 MySQL 版本,為 5.7.33-36,並非最新版本。
建議 MySQL 資料庫管理員應時時維持 MySQL 為最新版本,且如必須與外部網路連線,則必須套用嚴格的使用者檢查機制,且避免使用預設的 TCP 3306 埠。
twcert 發表在
痞客邦
留言(0)
人氣()
一個名為 ERMAC 的 Android 金融木馬惡意軟體,近期對其「會員」推出 2.0 版,主要升級功能為加強對各種銀行與加密貨幣錢包的竊取能力;目前有 467 種 App 都遭發現內含此惡意軟體。
ERMAC 的主要功能,是在植入受害者的 Android 裝置後,竊取裝置中儲存的各種登入資訊,傳送到駭侵者處,以進一步控制受害者的金融帳戶與加密貨幣錢包,竊取資金或發動進一步的詐騙。
ERMAC 的運作模式,是在暗網上以「會員訂閱制」方式提供服務租用;上一版的 ERMAC 租金為 3,0000 美元,藏身於 378 種不同的 Android App 中;新版的租用價格調漲到 5,000 美元,植入的 App 數量成長為 467 種。
資安廠商 ESET 指出,該公司旗下的資安專家,最近觀察到駭侵者透過一個假冒歐洲送餐業者 Bolt Food 的網站,來散在夾帶該惡意軟體的 App,主要攻擊對象為波蘭境內的用戶。用戶一旦在假網站上註冊,就會不斷收到各種含有惡意連結的 Email、社群平台貼文、廣告等等。
用戶如果下載安裝含有惡意軟體,該假冒 App 會要求用戶授予完全控制裝置的權限,所要求的權限多達 43 種,包括控制簡訊收發、取得通訊錄內容、產生系統警告通知畫面、錄音、完全存取裝置記憶體等。接著,該 App 就會以假冒的畫面覆疊,試圖騙取用戶輸入帳號密碼,並傳送到駭侵者的控制伺服器。
建議用戶切勿在非 Android 官方的 Google Play Store 之處下載安裝任何 apk 檔案,特別是無法判定真偽的任何網站。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商趨勢科技(Trend Micro)旗下的資安研究人員,近來發現一個名為 Cheers 的新型 Linux 變種勒贖軟體,目前正在針對 VMware ESXi 伺服器發動攻擊;Trend Micro 將此變種稱為「Cheerscrypt」。
VMware ESXi 是一種虛擬化的運算平台,廣為全球各大企業採用;因此一旦 VMware ESXi 伺服器遭到勒贖軟體加密鎖定,會造成許多企業運作受阻。
Trend Micro 在研究報告中指出,一但某台 VMware ESXI 伺服器遭到 Cheerscrypt 的攻擊,駭侵者便會在虛擬機器中啟動加密工具,並且在執行完成後立即停止;伺服器上的各種重要虛擬機器檔案,包括磁碟映像檔、swap 檔案、分頁檔案等,都會遭到加密,並且加上 .Cheers 的副檔名,以及一個用來恐嚇受害者的文字檔,內有與駭侵者連絡並且支付贖款的 Tor 網址。
在恐嚇文件中,駭侵者要求受害者需在三天內,透過指定的不重覆 Tor 專屬網址,與駭侵者接洽解鎖與贖金,否則受害者的被竊資料,就會轉賣給有興趣的買方;若無人購買,資料就會遭到駭侵者公開。
據資安專家的觀測,Cheerscrypt 是從 2022 年 3 月起開始活動,且除了 Linux 版本外,也有針對 Windows 伺服器設計的 Windows 版本。
建議系統管理者應加強系統對資安攻擊的整體防護能力,同時建立完善的資料備份,以在系統不幸遭到攻擊時,能夠迅速復原。
twcert 發表在
痞客邦
留言(0)
人氣()
美國汽車製造商通用汽車(General Motors),日前表示於上個月(2022 年 4 月)發生部分顧客個人資料遭竊事件,且有顧客累積的點數遭駭侵者盜用於兌換贈品。
通用汽車旗下擁有眾多品牌,包括雪佛蘭(Chevrolet)、別克(Buick)、GMC、凱迪拉克(Cadillac )等,由通用汽車總公司負責各子品牌的營運與客服工作。
據通用汽車寄發給相關受害顧客的 Email 中指出,該公司於 2022 年 4 月 11 日到 4 月 29 日間發生惡意登入事件,且有駭侵者利用顧客的點數兌換贈品。通用汽車承諾將補回所有遭到盜用的顧客點數。
這次通用汽車顧客被竊的資料欄位,包括姓名、個人 Email 地址、郵寄地址、隨同用戶帳號附加的家人姓名與電話號碼、個人檔案照片等。受害者約將近 5,000 人。
資安專家指出,這次個資外洩事件並非導因於通用汽車本身遭駭侵攻擊,而是駭侵者利用在別處取得的顧客登入資訊,在通用汽車的網站試圖登入,且登入成功所致。
由於許多用戶會在不同網站重覆使用同樣的登入資訊,駭侵者使用這些登入資訊,往往可以成功登入其他服務,並進行進一步的駭侵攻擊,例如挾持帳號、盜領資金或竊取更多個資等。
針對此次個資外洩事件,通用汽車表示已重置所有顧客使用的密碼,並且針對個資確定被竊的用戶,提供額外的信用監控服務,以防止發生盜刷。不過通用汽車系統至今仍未支援二階段登入驗證。
建議用戶勿在不同服務之間使用同樣的帳號與密碼,且務必使用多階段登入驗證選項,避免駭侵者使用他處取得的個資與登入資訊,成功登入其他服務。
twcert 發表在
痞客邦
留言(0)
人氣()
Mozilla 近日對旗下多種軟體產品推出資安更新,主要修復兩個存於 Firefox、Thunderbird 中,在今(2022)年於加拿大溫哥華舉辦的 Pwn2Own 資安大賽上被發現的 0-day 漏洞;用戶應立即更新至最新版本。
據報導指出,這兩個漏洞若遭到駭侵者用於攻擊,將可能導致駭侵者獲得在桌面或行動裝制上執行任意 JavaScript 的權限;受此漏洞影響的 Mozilla 旗下產品,包括 Firefox、Firefox ESR、Firefox for Android、Thunderbird 等。
第一個在 Pwn2Own 大會上發現的 0-day 漏洞 CVE-2022-1802,是一個在頂級等待實作上的原型污染漏洞(prototype pollution in Top-Level Await implementation),駭侵者可藉以在有此漏洞的平台上執行任意 JavaScript 程式碼。
另一個 0-day 漏洞則是藉用濫用 Java 物件索引,給予特定的不正確輸入驗證,同樣可透過原型污染注入攻擊手法,來控制 JavaScript 的執行緒。
Mozilla 在獲悉這兩個漏洞後,很快就在兩天後推出了更新版本;美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也在近日呼籲相關用戶更新此漏洞。
建議所有 Mozilla Firefox 與 Thunderbird 各版本用戶,應立即更新至最新版本,以避免駭侵者利用這兩個 0-day 漏洞發動攻擊。CVE編號:CVE-2022-1802、CVE-2022-1529影響產品(版本):Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 之前版本。解決方案:更新至 Mozilla Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3、Thunderbird 91.9.1 與後續版本。
twcert 發表在
痞客邦
留言(0)
人氣()
近來發現有加密貨幣詐騙者,以 Deep Fake 深偽技術偽造多位名人談話的影片,以高利收益騙取受害者的加密貨幣存款。
遭到駭侵者利用深偽技術偽裝的名人,包括 Tesla、SpaceX 執行長 Elon Musk、方舟基金投資長 Cathie Wood、瑞波幣(Ripple Labs)執行長 Brad Garlinghouse、MicroStrategy 創辦人 Michael Saylor、Cardano 區塊鏈發明人 Charles Hoskinson 等。
駭侵者設立一個詐騙專用的加密貨幣交易平台 BitVex,號稱該平台為 Elon Musk 所擁有;並利用上述名人的 deep fake 影片,以高達 30% 的質押利率,誘騙受害者將其加密貨幣資產存入該詐騙平台的錢包位址。
所有用來詐騙的影片,原本都是真實的訪問錄影,但遭到駭侵者利用 deep fake 技術變造內容;例如在一段 TED 訪問影片中,遭到 deep fake 變造的假 Elon Musk 宣稱自己在該加密貨幣平台已投資 5 億美元。
目前尚未釐清駭侵者的真實身分;不過駭侵者係利用自己註冊或盜取來的 YouTube 帳號來散布這些假影片,並且要求用戶以比特幣、比特幣現金、以太幣、泰達幣、狗狗幣、Polkadot 等幣種質押。目前為止觀察到的詐騙所得並不多,僅約 1,700 美元左右。
建議若投資加密貨幣,請務必使用信譽卓著,設有投資人保護基金,資安防護也較完善的大型交易所;切勿貪圖高利,誤信社群平台上詐騙帳號發布的假消息,以免資金遭竊。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 旗下資安團隊 Threat Analysis Group (TAG),日前發現有駭侵團體利用 5 種不同的 0-day 漏洞發動資安攻擊,在受害者手機中植入一種名為 Predator 間諜惡意軟體。
Predator 間諜軟體是由商業監控軟體公司 Cytrox 所開發的。Google 的資安專家發現近來至少有三波相關攻擊活動,發生時間介於 2021 年 8 月到 10 月間,駭侵團體利用 5 個 0-day 資安漏洞,攻擊最新版本的 Android 裝置。
Google TAG 團隊指出,遭到利用的 5 個 0-day 漏洞如下:CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003,這四個漏洞在於 Googel Chrome 內;CVE-2021-1048 存於 Android 系統內。
twcert 發表在
痞客邦
留言(0)
人氣()
西班牙警方日前發表新聞稿,宣布破獲一個專門透過釣魚攻擊,以竊取受害者銀行登入資訊的駭侵團體;警方表示除了繼續追查本案之外,同時也正在加緊追緝在逃嫌犯。
遭到逮捕的駭侵團體,主要犯行是透過釣魚電子郵件來欺騙受害者,讓受害者收到偽造的銀行通知信,並且連到假網站進行登入手續,藉以竊取受害者登入網路銀行所使用的登入資訊。
一旦取得受害者的銀行登入資訊,駭侵者便會立即登入該帳戶,將登錄在銀行端的手機門號,變更為由駭侵者控制的手機門號,以便接收二階段登入簡訊驗證碼,同時更改密碼,讓原用戶無法再次存取自己的帳戶;接著便會利用不法所得進行網路購物、直接轉帳到人頭帳戶內,或是用以申請個人信貸,取得更多不法所得。
據西班牙警方表示,針對這個駭侵團體的調查,是由 2018 年警方開始接獲報案起,自 2019 年 1 月到今(2022)年 4 月,共分成數波行動;截至目前為止一共逮捕 17 名駭侵攻擊分子,另外有 7 名嫌犯仍然在逃。
西班牙警方說,這個駭侵團體在作案時,大量使用各種不同的 VPN 服務,因此看起來像是自摩洛哥、法國、德國、美國等境外地區犯案;報案受害者的銀行存款,最常被用來進行跨國網購,特別是自法國電商購買。
建議收到這類釣魚郵件時,切勿直接點按信中按鈕,或下載執行信中附寄的任何檔案。應先檢視郵件寄送者詳細資訊,如非銀行官方網域信箱所寄,應特別提高警覺;即使是由銀行官方信箱,也應透過官方客服電話確認信件內容為真。如果發現是釣魚信件,應立即歸入垃圾信件匣,或是向相關單位檢舉,並通報銀行處理。
twcert 發表在
痞客邦
留言(0)
人氣()
資安團體 MalwareHunterTeam 近來發現有一個偽造的 Pixelmon NFT 網站,以投放免費加密貨幣與 NFT 收藏品為餌,誘使用戶連入後,再植入會竊取用戶密碼的惡意軟體,以竊取用戶加密貨幣錢包中的資產。
Pixelmon 是一個相當受到歡迎的 NFT 專案,其開發目標是要創造一個多人共同使用的線上 metaverse 遊戲,玩家可在內收集、訓練 Pixelmon 寵物,並且與其他玩家對戰。
該專案的 Twitter 追蹤者有 20 萬人以上,Discord 頻道也有 25,000 位以上社群成員,因此有相當多的相關用戶。
目前身分仍然不明的駭侵者,基本上複製了 Pixelmon 的網站,架設另一個幾可亂真的詐騙網站,並且提供遊戲下載連結;但用戶下載到的可執行檔,內部含有惡意軟體 PowerShell 指令碼;用戶執行該指令碼後,就會從駭侵者架設的詐騙網站內,下載一個叫做 system32.hta 的檔案,接著會在用戶的系統上安裝一個 Vidar 惡意軟體。
Vidar 在執行後,又會連到一個 Telegram 頻道;Vidar 會自此頻道取得惡意軟體指令與控制伺服器網址,接著進一步下載更多惡意軟體模組,用來竊取受害裝置上的資訊,包括受害者電腦上的加密貨幣錢包登入帳密。
建議用戶收到任何號稱提供高額贈品或獎金的網站連結時,應先多加確認該網址確實是官方網址,勿直接點按連入;下載任何軟體安裝之前,也應先透過防毒防駭軟體掃瞄無異常,才進行安裝。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 於日前推出的五月 Patch Tuesday 資安更新修補包,已經證實安裝於 Windows Server Domain Controller 網域控制器上時會發生相容性問題,因此美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)提出警示,呼籲暫勿在網域控制器上安裝該更新。
出現相容問題的修補程式,是針對一個已遭外界駭侵者濫用於資安攻擊的 WIndows LSA 詐騙 0-day 漏洞 CVE-2022-2692,該漏洞已確認是最近發的 PetitPotam Windows NTLM 中繼攻擊活動所使用的弱點;未經授權的攻擊者可藉由這個漏洞,強制透過 Windows NT LAN Manager 的資安協定,來取得 Domain Controller 給予權限,進而控制整個系統。
微軟雖然在 2022 年 5 月 Patch Tuesday 中針對此一漏洞予以修補,但後續傳出安裝了這次資安更新修補包的 Windows Server Domain Controller 發生服務驗證錯誤問題(service authentication problems),導致功能失常。
不過 CISA 也指出,這個問題只會出現在 Windows Server Domain Controller 上,一般人員使用的 Windows 裝置,以及非 Domain Controller 的 Windows Server 不會出現問題,所以還是應該安裝此更新。
建議 Windows Server Domain Controller 的系統管理者,應依照 Microsoft 提供的暫時解決方案,來處理 Domain Controller 無法正常運作的問題;其餘非 Domain Controller 的 Windows 裝置,均應安裝更新。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 SpyCloud 近日發表「 2022 年財星 1000 大公司個資外洩報告」(2022 SpyCloud Fortune 1000 Identity Exposure Report」;報告指出去年共觀測到高達 6.87 億次財星 1000 大公司員工登入資訊與個資遭竊事件,較 2021 年增加多達 26%。
在這些資料竊取案件中,有 64% 的員工在不同服務重覆使用相同、易記易破解的密碼;另外各種裝置遭惡意軟體植入的比例也突破過去記錄。
該報告也指出,在觀測對象的財星 1000 大企業被駭記錄中,發現有超過 70,000 名員工的相關機敏資訊;這些員工很可能是因為使用了遭到惡意軟體植入的裝置,導致即使使用複雜密碼與多重登入驗證,仍無法避免資料遭竊。
報告說,被竊取的資料,以登入密碼、系統資訊、瀏覽器足跡、網頁工作階段 cookie 為主;一年間共觀測到超過 2,900 萬台受惡意軟體感染的個人使用裝置,用以登入財星 1000 大公司的外部網站,造成更多個資與登入資訊遭竊。
報告也指出許多公司的資訊架構與駭侵防範能力相當薄弱,包括航太、國防、化學、製造業與能源產業等,有許多公司將公司名稱設定為登入密碼的前三到五碼。
而在財星 1000 大公司中,針對科技產業的駭侵活動最為嚴重,占總量的 21%;個資竊取攻擊事件高達 2,600 萬件,被竊的機敏資訊筆數高達 1.39 億筆;在所有財星 1000 大公司中,科技業員工的個人裝置遭植入惡意軟體的數量也最多,共 2,060 萬台,占比高達 70%。建議企業應加強資安防護能力與資安維護準則,員工應注意避免以個人裝置連入企業內部網路。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Check Point 近日發表研究報告,指出該公司的資安專家,近期發現德國汽車製造業與相關產業,長期以來遭到釣魚攻擊;駭侵者意圖透過釣魚信件誘使汽車廠員工遭駭,藉機植入密碼竊取惡意軟體,以阻擾汽車生產線運作。
報告指出,該駭侵攻擊活動主要鎖定德國的大型車廠與旗下的經銷體系;駭侵者並且註冊了多個與這些德國汽車廠牌看來十分雷同的網域名稱,製作多個外觀看起來一模一樣的釣魚網站,用於進行釣魚攻擊;但主要用以放置惡意軟體的網站係架設在愛爾蘭。
Check Point 的報告說,駭侵者會精選目標受眾,並在釣魚電子郵件中附上收據與合約,以降低攻擊目標的戒心;信件中夾帶的 .ISO 檔號稱是交車收據,受害者點開後,實際掛載到系統上後會開啟一個 .HTA (HTML Application)檔案。
該 .ISO 檔案運用一種未知的特別技術,可以跳過 NTFS 檔案系統內建的 MOTW 資安防護措施,在執行 .HTA 檔案時,就能執行其中夾帶的 JavaScript 或 VBScript 指令檔。
Check Point 的追蹤結果顯示,觀測到的攻擊活動持續約一年左右,自 2021 年 7 月底到 2022 年 3 月間,且至少有 14 家德國汽車製造商與經銷商遭到攻擊;但該報告沒有明確指出是哪些廠家遭到攻擊。建議措施:
twcert 發表在
痞客邦
留言(0)
人氣()
