三家德國風電產業相關廠商,疑遭駭侵團體攻擊

三家位於德國的風力發電產業相關廠商,近日疑似遭到駭侵團體發動駭侵攻擊,造成公司運作和生產受阻。
被攻擊的德國風電產業相關公司,其中的 Deutsche Windtechnik AG 是專精於風力發電機風扇葉片檢修的公司;該公司的遠端控制系統於四月初開始遭到攻擊,造成近 2,000 組德國境內的風力發電機組無法運作。
風力發電機組製造廠 Nordex SE 則在三月底起遭駭侵攻擊,迫使該公司關閉 IT 系統。
另一家風力發電機組製造廠 Enercon GmbH 則對外表示,該公司的衛星公司自二月開始遭到駭侵攻擊;攻擊造成該公司共 5,800 組風電機組無法順利控制,僅能在自動操作模式下運作。
據華爾街日報報導指出,在烏克蘭遭俄羅斯入侵之後,親俄羅斯駭侵團體,針對西歐各國的攻擊活動就開始升高;該報也表示,由於德國與其他西歐國家,在戰事開始後,準備在各方面降低對俄國進口石油與天然氣的依賴,因此這批針對風力發電產業的攻擊活動,很可能是為了阻礙各國尋求替代能源的努力。
據位於布魯塞爾的歐洲風力發電產業組織 WindEurope 發言人表示,由於攻擊發生的時機敏感,因此該攻擊很可能與烏俄戰爭事件有關。
受害廠商 Deutsche Windtechnik AG 的高層則表示,該產業需要更高的 IT 資安防護標準,因為對可再生能源的需求不斷提高,該產業遭到駭侵攻擊的可能性也日益增加。


twcert 發表在 痞客邦 留言(0) 人氣()

NFT 巨擘 Bored Ape 的 Instagram 帳號遭盜,價值 280 萬美元 NFT 被竊

NFT 大發行商「無聊猿遊艇俱樂部」(Bored Ape Yacht Club, BAYC),日前發生官方 Instagram 帳號遭駭侵者盜取事件;駭侵者隨即透過該帳號,發布詐騙 NFT 空投活動,並且成功竊走參與用戶共 91 枚 NFT,總價值高達 280 萬美元。
BAYC 在事件發生後,在 Twitter 發表聲明,要求用戶不要遞交任何作品,不要鑄造 NFT 代幣、不要點按任何連結,也不要連結加密貨幣錢包。
據區塊鏈專業媒體 The Block 指出,當 BAYC 的 Instagram 官方帳號遭挾持後,駭侵者透過該帳號,發布了一個假訊息,詐稱要舉辦一場 LAND 空投;用戶如果想要免費接收空投的 NFT,必須要連結用戶的加密貨幣錢包。許多用戶不疑有他,連結了錢包後,存於錢包內的 NFT 就遭到駭侵者盜領了。
根據區塊鏈掃瞄網站 Etherscan 的資料指出,駭侵者用以接收釣魚盜領 NFT 的加密貨幣錢包,內有 91 個 NFT 代幣,換算其價值,高達 280 萬美元。
BAYC 的共同創辦人也在推特上表示,他們將會接觸受害用戶,進行事後調查;他也強調 BAYC 的官方 Instagram 有開啟二階段登入驗證。
關於 BAYC 的官方 Instagram 帳號存取權是如何遭竊的,目前尚無具體資訊。
在四月上旬,BAYC 也曾發生過其官方 Discord 頻道遭駭,駭侵者也利用該頻道發動釣魚攻擊;不過該次攻擊中,駭侵者只得手了一枚 NFT。


twcert 發表在 痞客邦 留言(0) 人氣()

部分 Android 裝置內 ALAC 音訊解碼器,內含遠端執行任意程式碼漏洞

資安廠商 Check Point 旗下的資安專家,日前發現採用 Qualcomm 與 MediaTek 處理器的 Android 裝置,內建的 Apple Lossless Audio Codec (ALAC)音訊解碼器實作方案含有資安漏洞,駭侵者可藉以遠端執行任意程式碼。
Apple Lossless Audio Codec 是由 Apple 開發的無損音訊壓縮格式,在 2011 年開放源碼;專家指出,雖然 Apple 經常針對 ALAC 推出更新與資安修補,但並非所有採用 ALAC 的廠商,都會立即套用這些更新。
這次 Check Point 資安專家發現的漏洞,即出在世界最大的兩家 Android 晶片供應商 Qualcomm 與 MediaTek 上;駭侵者可以利用特製的音訊檔案,來誘發採用 Qualcomm 與 MediaTek 的 Android 裝置發生錯誤。駭侵者可以讀寫邊界外的記憶體內容,並且用戶不知情的情形下,遠端執行任意程式碼。
這三個資安漏洞的 CVE 編號與 CVSS 危險程度評分,分別為 CVE-2021-0674(5.5 分)、CVE-2021-0675(7.8 分),以及 CVE-2021-30351(9.8分)。
Qualcomm 與 MediaTek 已於去(2021)年 12 月修復這批漏洞,但由於 Android 手機的更新,往往必須等到手機品牌原廠推出更新才能進行,更有許多中低價位手機,在上市一兩年後,原廠就停止提供韌體更新服務,因此用戶必須提高警覺;除了一有更新就須立即套用外,也應避免在 Google Play Store 以外處下載安裝任何手機應用程式。


twcert 發表在 痞客邦 留言(0) 人氣()

駭侵者鎖定攻擊 Microsoft Exchange Server 以散布 Hive 勒贖軟體

資安廠商 Varonis 旗下的研究人員,近來發現 Hive 勒贖軟體相關駭侵團體,鎖定未曾修補 ProxyShell 漏洞的 Microsoft Exchange Server 發動攻擊,用以自我散布,並植入各種惡意軟體,例如 Cobalt Srtike 等。
Varonis 也指出,該駭侵者也會竊取 Microsoft Exchange Server 上的管理者登入資訊與有價值的資料,最後再發動檔案加密的勒贖攻擊。
Hive 惡意軟體本身屬於一種「勒贖即服務」(Ransomware-as-a-service)駭侵活動,有意發動勒贖攻擊者,可以「租用」Hive 來發動攻擊。最早發現於去(2021)年 6 月,當時主要的攻擊對象,以全球範圍的醫療單位、非營利組織、零售商、能源供應商等為主。
據 Varonis 的報告指出,Hive 會先尋找未曾修補 ProxyShell 相關漏洞的 Microsoft Exchange Server 進行,成功入侵之後就在 Exchange Server 可共用存取的資料夾中放置惡意後門指令檔;該指令檔可以利用系統權限來執行惡意 PowerShell 程式碼。
接著,Hive 使用該 PowerShell 程式碼,自遠端控制侵服器下載 Cobalt Strike 程式碼,並在受感染的電腦記憶體中執行;然後利用系統權限開始掃瞄內網中的機敏資料,特別是檔名中含有「password」的檔案內容。
已知被利用的漏洞為
CVE-2021-34473、CVE-2021-34523CVE-2021-31207,這些漏洞 Microsoft 於 2021 年皆已修補完成。
資安專家呼籲所有 Microsoft Exchange Server 管理者,
應立即更新至最新版本,修復 ProxyShell 及各種已知漏洞,以免伺服器與內網裝置遭類似攻擊。


twcert 發表在 痞客邦 留言(0) 人氣()

超過百款聯想筆電內含UEFI漏洞,建議立即更新

全球市佔率相當高的 PC 大廠 Lenovo(聯想),日前針對旗下一百款以上的筆記型電腦推出資安更新,修復 3 個存於 UEFI 韌體驅動程式內的資安漏洞,用戶應立即更新。
這三個漏洞是於去(2021)年由資安廠商 ESET 旗下的資安研究人員發現,並於該年 10 月通報給原廠;含有這三個漏洞的筆電款式甚多,包括 Lenovo IdeaPad 3、Legion 5 Pro-16ACH6 H 與 Yoga Slim 9-14IYL05 等系列,全球使用者人數可能多達數百萬人。
三個漏洞中,有兩個(CVE-2021-3971 和 CVE-2021-3972)漏洞,可讓駭侵者關閉針對 SPI 快閃記憶體的機制,而 SPI 快閃記憶體係用以儲存 UEFI 韌體程式碼;這樣駭侵者即可在電腦啟動(boot)期間執行非由原始製造廠(Original Equipment Manufacturer, OEM)提供簽署的程式碼。
另一個漏洞 CVE-2021-3970 則可讓本地端的駭侵者,利用此漏洞提升執行權限,並且於本土端執行任意程式碼。
聯想除了於近日提供新版韌體,修復上述三個漏洞外,也在官網提供所有含有上述漏洞的筆記型電腦形號清單;所有使用 Lenovo 品牌筆記型電腦的用戶,應立即核對自己使用的產品是否列名於清單內,同時立即升級至最新版本韌體,以免遭駭侵者利用這三種已知漏洞發動攻擊。

CVE編號:CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972
影響產品(版本):詳見聯想官網清單
解決方案:依指示更新至最新版本韌體。

twcert 發表在 痞客邦 留言(0) 人氣()

去中心化金融交易平台遭駭侵攻擊情況日益嚴重

資安廠商 Chainalysis 日前發表研究報告指出,各種針對加密貨幣的去中心化金融服務(Decentralized Finance, DeFi)平台所發動的駭侵攻擊,近年不但日益增加,在今年第一季財損甚至達到史上最高記錄。
以損失金額來說,各種針對加密貨幣平台發動的駭侵攻擊,於去(2011)年達到史上最高記錄,全年的總損失高達 32 億美元,其中針對去中心化金融平台的全年攻擊損失,達到 25.1 億美元。
然而光是在今(2022)年第一季,針對加密貨幣相關服務的攻擊總損失,已來到 13 億美元,而針對去中心化金融平台的單季攻擊損失,就高達 4.3 億美元。
若以各平台的攻擊占比來看,針對去中心化金融平台的全年攻擊損失占比,2020 年約為 30%,2021 年大幅成長到 72%,到了今年第一季更高達 99%。
該報告也指出,在針對加密貨幣相關的攻擊形態上,近年來也發生相當大的變化。在 2020 年時,駭侵者主要是以取得平台或用戶持有的登入資訊來發動攻擊,這種攻擊的比例在 2020 到 2022 年之間占所有攻擊損失額的 35%;但是針對去中心化金融服務平台的攻擊,主要是透過攻擊去中心化金融交易協定所使用的智慧合約,在程式設計上的邏輯漏洞,例如所謂的「閃電貸款」。這種攻擊比例自 2020 年的 10% 左右,上升到 2022 年的近50%。
報告分析指出,駭侵者主要是攻擊去中心化平台為取得加密貨幣正確價格資料所需的「預測機」(Oracle)機制,最近發生的多起去中心化交易所遭駭事件,都是駭侵者利用預測機的程式邏輯漏洞,進而竊起鉅資。


twcert 發表在 痞客邦 留言(0) 人氣()

風力發電大廠Nordex遭Conti勒贖攻擊,IT系統與風機管理系統停擺

全球最大的德國風力發電設備製造大廠,在全球擁有 8,500 名員工的 Nordex,日前證實遭到惡名昭彰,曾涉入多起重大勒贖攻擊的 Conti 駭侵團體勒贖攻擊,造成其 IT 系統與遠端風機管理系統無法運作。
Nordex 是在本月 2 日對外證實,該公司正遭到嚴重的資安攻擊,並在偵測到攻擊行動的第一時間關閉 IT 系統,以避免災情擴大。
該公司在對外發表的聲明中指出,在遭到攻擊的初期就立即採取行動,且為防範攻擊範圍擴大,該公司主動關閉跨越多地分公司、多單位使用的 IT 系統。
不過資安專業媒體 BleepingComupter 則指出,該刊於 3 月 31 日時即接獲情資指出,Nordex 因為遭到 Conti 勒贖攻擊,因此造成公司所有系統被迫離線;該情資也指出 Nordex 當時雖然啟動調查,但是並不知道攻擊來自何方。
BleepingComputer 指出,Conti 勒贖團體於 4 月 14 日宣示,該團體主導了此次對 Nordex 的攻擊。該刊也說,目前尚未發現該團體洩漏任何來自 Nordex 的機敏資料,該刊推測 Nordex 可能正在私下和 Conti 進行談判。
在 Nordex 最近發表的聲明中指出,該公司進一步的調查指出,所有本次資安攻擊,影響的都是該公司內部的設備,並無任何客戶的資料遭到外洩,攻擊也沒有影響到客戶擁有的資產。
Nordex 也說,該公司已和相關主管機關暨內外部資安專家合作,詳細調查整起攻擊事件。


twcert 發表在 痞客邦 留言(0) 人氣()

Google Chrome緊急修復已遭濫用於攻擊的0-day高危險漏洞

Google 日前緊急推出新版 Google Chrome 瀏覽器版本 100.0.4896.127,修復一個證實已遭駭侵者濫用於資安攻擊的 0-day 漏洞 CVE-2022-1364;廣大 Google Chrome 用戶應立即升級至最新版本。
目前關於 CVE-2022-1364 這個漏洞的公開資訊並不多,僅知該漏洞存於 Google Chrome 的 V8 JavaScript 引擎內,屬於一種「類型混淆」(type confusion)漏洞;這種漏洞一旦發生,通常會導致瀏覽器崩潰,駭侵者進而可以讀寫超出緩衝區漏洞的記憶體內容,並且進一步執行任意程式碼。
該漏洞的 CVSS 危險程度評分為 8.8 分(滿分為 10 分),危險程度評級為「高」(high);本漏洞是由 Google 旗下的威脅分析小組資安專家 Clément Lecigne 發現並提報至 Google Chrome 團隊,該團隊在一天以內即推出了漏洞修復新版。
雖然 Google 在更新通報中指出,該公司已獲悉有駭侵團體使用此漏洞進行攻擊的情報,但 Google 認為應該要等多數用戶都完成更新後,再對外透露更詳細的資訊,因此目前對於此類攻擊的泛濫程度尚不得而知。
本 0-day 漏洞也是今(2022)年至今 Google Chrome 修復的第 3 個 0-day 漏洞。
鑑於 Google Chrome 是世界上占有率最高的瀏覽器,用戶數量眾多且跨及多個作業系統平台,因此用戶恐處於極大風險之下。包括 Windows、macOS、Linux 作業系統的 Google Chrome 用戶,都應立即更新至最新版本,以避免潛在的資安攻擊風險。

CVE編號:CVE-2022-1364
影響產品(版本):Google Chrome 100.0.4896.127 之前各作業系統(Windows、macOS、Linux)版本。
解決方案:更新至 Google Chrome 100.0.4896.127 或其後續版本。

twcert 發表在 痞客邦 留言(0) 人氣()

美國資安主管機關聯合警告,駭侵者正鎖定工業製造控制系統發動攻擊

多個美國資安主管機關,包括網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、國家安全局(National Security Agency, NSA)、聯邦調查局(Federal Bureau of Investigation, FBI)與能源部(Department of Energy),日前聯合發表資安通報,警告駭侵者已有能力利用新型惡意軟體工具,針對多種工業設備發動駭侵攻擊並予以挾持。
該聯合通報指出,已經掌握確切情資,顯示已有與部分國家政府相關的 APT 駭侵團體,利用全新的客製模組化惡意軟體,針對工業控制系統(ICS)與資料取得監控系統(SCADA)發動攻擊並取得控制權。
聯合通報說,這些由 APT 駭侵團體用於攻擊的模組,其架構可以讓駭侵者執行自動化攻擊,而其攻擊模組可直接與目標設備互動,因此即使是低技術水準的駭侵者,亦可操作過去僅有高階駭侵者可進行的攻擊操作。
通報指出,目前已有包括德國施耐德電機(Schneider Electric)生產的 MODICON、MODICON Nano 可程式邏輯控制器(PLC)、日本歐姆龍(Omron)生產的 Sysmac NJ 與 NX 系列 PLC,以及 Open Platform Communications Unified Architecture 伺服器已有遭駭侵者挾持的攻擊記錄。
四個單位也在資安通報中說,這些有國家勢力支持的駭侵者,同時也擁有能鎖定執行 Windows 系統的 ASRock 主機板的 CVE-2020-15368 漏洞,針對採用上述軟硬體組合的 IT 或 OT 環境,發動遠端執行任意程式碼攻擊。
通報建議系統管理者立即針對系統用戶套用多重登入驗證(MFA)流程,務必更改預設密碼,並且強化資安防護。


twcert 發表在 痞客邦 留言(0) 人氣()

Microsoft 發布 2022 年 4 月份資安更新包 Patch Tuesday,共修復 119 個資安漏洞,包含 2 個 0-day 漏洞

Microsoft 日前發布 2022 年 4 月份的例行性資安更新包(Patch Tuesday);在這次發表的資安更新包中,一共修復多達 119 個資安漏洞,包含 2 個 0-day 漏洞,更有 10 個漏洞屬於嚴重(Critical)等級。
各種 Microsoft 軟體產品的用戶與系統管理員,應立即按照指南進行更新,以減少遭駭侵者利用已知漏洞發動資安攻擊的風險。
這次 Microsoft Patch Tuesday 更新修復的漏洞,依漏洞類型區分如下:

執行權限提升漏洞:47 個;
遠端執行任意程式碼漏洞:47 個;
資訊洩露漏洞:13 個;
分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)漏洞:4 個;
詐騙(Spoofing)漏洞:3 個;
Edge(Chromium)瀏覽器組件漏洞:26 個。

twcert 發表在 痞客邦 留言(0) 人氣()

統計指出,勒贖 DDoS 攻擊比例降至近年新低,但應用層 DDoS 攻擊暴增

全球最大網路基礎建設廠商 Cloudflare 的資安部門,近日發表統計數字指出,過去十分猖獗的「勒贖 DDoS」(Ransom Distributed Denial of Service, RDDoS) 攻擊,自今(2022)年以來持續大幅下降;至今年三月時,RDDoS 攻擊占所有 DDoS 攻擊次數的比例,已降到兩年來的新低水準。
RDDoS 攻擊,是指駭侵者對特定組織或企業發動大規模 DDoS 攻擊,癱瘓其內外網路連線與服務後,向廠商要求贖款或滿足特定要求以解除攻擊,否則持續攻勢的一種資安攻擊方式。有些駭侵者會同時結合傳統的勒贖攻擊,包括竊取企業內部機敏資訊,再加上強力 DDoS 攻擊,以加強攻擊力,逼迫受害單位支付贖款。
根據 Cloudflare 旗下資安單位的統計指出,該公司觀察到的 RDDoS 占所有 DDoS 攻擊次數的比例,在 2021 年 12 月達到高峰(28%)後便一路大幅下降:2022 年 1 月降至 17%,二月降至 6%,三月更降至近兩年最低水準的 3%;和去年相比,降幅多達 52%。
目前 Cloudflare 無法確定今年以來 RDDoS 大幅下降的確實原因。
但是 Cloudflare 也指出,自 2022 年以來,發生在應用層(Application Layer)的 DDoS 攻擊次數卻較往年大增 164%;如以季來看,2022 年第 1 季發生在應用層,針對消費級網通產品發動的 DDoS 攻擊,較上一季暴增 5,086%,針對網路媒體公司發動的 DDoS 攻擊也暴增 2,131%。


twcert 發表在 痞客邦 留言(0) 人氣()

美國資安主管機關下令修補 WatchGuard 網通設備漏洞

美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前命令美國政府各民事單位,應立即處理 WatchGuard Firebox 與 XTM 防火牆漏洞,因該漏洞已遭駭侵團體利用於大規模攻擊。
在 CISA 發出的資安通報與命令中指出,駭侵團體 Sandworm 日前利用 Watchguard 家用暨中小企業網通設備中的一個漏洞 CVE-2022-23176,發展出一個名為 Cyclops Blink 的僵屍網路。
CISA 的命令,要求美國聯邦政府各民事單位,必須於命令發布 3 星期內(即 2022 年 5 月 2 日)之前,針對單位使用的 WatchGuard Firebox 與 XTM 網通設備進行資安修補;CISA 同時也強烈建議美國各公私單位,亦應按照該局發布的指引以更新該漏洞。
此外,美國政府也在稍早的今(2022)年 4 月 6 日宣布,成功阻擾了 Cyclops Blink 所設立的僵屍網路,以避免該駭侵團體持續擴大攻擊。
資安專家指出,Cyclops Blink 不只利用 WatchGuard 裝置漏洞進行駭侵攻擊,部分 ASUS 的網通產品也含有同類漏洞,同樣會遭到 Cyclops Blink 感染,成為其僵屍網路的一分子;ASUS 網通產品用戶亦應提高警覺,立即更新至最新韌體版本,以修補可遭 Cyclops Blink 攻擊的漏洞。


twcert 發表在 痞客邦 留言(0) 人氣()

Blog Stats
⚠️

成人內容提醒

本部落格內容僅限年滿十八歲者瀏覽。
若您未滿十八歲,請立即離開。

已滿十八歲者,亦請勿將內容提供給未成年人士。