資安廠商 Vade 日前發表釣魚攻擊相關統計報告,在報告中指出,針對社群媒體發動的釣魚攻擊,在去(2021)年時超過其他管道,在攻擊量上達到史上最高記錄。
在這份報告中,自 2021 年 1 月 1 日至 12 月 31 日之間,Vade 一共觀察到多達 184,997 個釣魚攻擊用的詐騙頁面,統計出 20 大最常遭到釣魚攻擊者假冒的品牌;其中假冒社群媒體的比例首次比其他類別品牌要多。
前 20 名最常遭到駭侵者假冒,用以發動釣魚攻擊的品牌,與其類別如下:Facebook(社群媒體)Microsoft(軟體與雲端服務)Crédit Agricole(金融服務)WhatsApp(社群媒體)La Banque Postale(金融服務)Orange(電信服務)Amazon(電子商務)Chase(金融服務)Comcast(電信服務)PayPal(金融服務)DHL(電子商務/物流)Netflix(雲端服務)Wells Fargo(金融服務)Rakuten(電子商務)Adobe(雲端服務)OVH(電信服務)LinkedIn(社群媒體)MTB(金融服務)Apple(電子商務)Yahoo(網路服務)
twcert 發表在
痞客邦
留言(0)
人氣()
華碩旗下多個路由器產品受到Cyclops Blink惡意軟體發動駭侵攻擊,廠商日前已發布緩解措施。Cyclops Blink的特性使駭客能遠端存取受感染的網路,此惡意軟體與Sandworm駭客組織有關,該組織以往的目標都是WatchGuard Firebox以及其他SOHO網路設備。
twcert 發表在
痞客邦
留言(0)
人氣()
OpenSSL於2022年3月15日發布安全公告,宣布修補了與憑證解析有相關的嚴重阻斷服務攻擊(Denial of Service, DoS)資安漏洞,建議用戶立即進行更新。該漏洞的編號為CVE-2022-0778,由Google的研究人員Tavis Ormandy提報給OpenSSL。據OpenSSL官方公告,由於解析憑證時用到的BN_mod_sqrt()函數存在一個問題,在某些情況下駭客可以製作惡意憑證,利用該漏洞使目標系統無法提供服務。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 NCC Group 日前發現一個名為 SharkBot 的金融惡意軟體,近日被發現藏身在假扮為 Android 防毒工具的 App 中,出現在 Google Play Store 內,意圖魚目混珠,誘使用戶安裝下載。
NCC Groups 在其發表的研究報告中指出,自去年(2021)以來該公司與全球資安研究人員,陸續發現愈來愈多的 Android 惡意軟體,特別是與金融相關的惡意軟體大量增加。
NCC Groups 指出,這次發現的 SharkBot 就是近年來新出現的金融相關惡意軟體,最早由資安廠商 Cleafy 發現於 2021 年 10 月;其主要攻擊方式為自動化轉帳系統(Automatic Transfer Systems)。
該惡意軟體除了和其他常見金融惡意軟體一樣,可以藉由螢幕截圖、記錄用戶按鍵輸入、攔截簡訊內容並進行遠端遙控外,還會自動開啟用戶手機上安裝的金融服務 App,自動輸入各個欄位,並且自動將用戶帳戶內的資金,轉帳到駭侵者控制下的人頭戶內,造成用戶資金損失。
NCC Groups 指出,在去年首次發現 SharkBot 後,該惡意軟體似乎出現新版,並且隱藏在一個看似沒有問題的 Android 防毒工具軟體「Antivirus, Super Cleaner」中,且成功上架到 Google Play Store 內。
雖然 NCC Groups 已在第一時間通報 Google,但在資安媒體 BleepingComupter 報導此事時,含有 SharkBot 惡意軟體的 Antivirus, Super Cleaner app 仍然未從 Google Play Store 中下架。
資安專家指出,為避免感染這類新興惡意軟體,用戶即使是在 Google Play Store 中,也應小心謹慎,盡量選擇知名大廠推出的應用軟體,勿隨意安裝不明開發者推出的 App。
twcert 發表在
痞客邦
留言(0)
人氣()
以色列政府在3月14日受到大規模的分散式阻斷服務攻擊(distributed denial-of-service attack, DDoS),導致多個以色列政府網站無法提供服務,包括衛生部、司法部、福利部以及總理辦公室都受到影響。駭客攻擊使用.GOV.IL網域名稱的網站,適用於除國防相關以外的所有政府網站,該國政府資料庫也使用此網域名稱。
twcert 發表在
痞客邦
留言(0)
人氣()
用戶眾多的 Mozilla Firefox 瀏覽器,日前推出最新 97.0.2 版本,修復兩個目前確知已遭用於駭侵攻擊的兩個 0-day 漏洞;各用戶應立即更新至最新版本。
這兩個漏洞的 CVE 編號為 CVE-2022-26485 與 CVE-2022-26486,都是屬於「使用已釋放記憶體」的錯誤;駭侵者可利用這兩個錯誤誘發程式崩潰,從而遠端執行任意程式碼,無需取得任何權限。
CVE-2022-26485 存於 XSLT 參數處理過程中,在執行時移除需給定的參數,即可誘發此漏洞;而 CVE-2022-26486 則存於 WebGPU IPC Framework 之中,可由一個預期之外的訊息誘發此錯誤,甚至可在沙盒以外執行程式碼。
這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.4,危險程度評級為「嚴重」(critical)等級,且根據 Mozilla 發表的資安通報指出,該公司已得知這兩個 0-day 已遭駭侵者大規模濫用於攻擊行動中。
這兩個漏洞是由資安公司奇虎 360 ATA 旗下的資安研究人員發現的,並立即通報 Mozilla 進行漏洞修補。
受此漏洞影響的 Mozilla 產品,包括 Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 等;上述各軟體的最新版本,均已修復這兩個漏洞。
各作業系統版本,包括 Windows、macOS、Linux 的 Mozilla Firefox 暨相關產品用戶,應立即更新至最新版本(97.0.2),以免遭到駭侵者以這兩個 0-day 漏洞發動攻擊,造成損失。CVE編號:CVE-2022-26485、CVE-2022-26486 影響產品(版本):Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 各作業系統版本 97.0.2 先前版本。 解決方案:升級至 Mozilla Firefox 97.0.2 與後續版本。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現,對 NVIDIA 發動駭侵攻擊的駭侵團體 Lapsus$,開始利用竊得的程式碼,來對藏有惡意軟體程式碼的驅動程式進行簽署,以便安裝並散布於受害者的 Windows 系統中。
資安專家說,在 Lapsus$ 駭侵團體竊取自 NVIDIA 高達 1TB 的資料中,含有 2 個可以用於簽署程式碼安全性的憑證;這些憑證過去是提供給開發者,用於簽署經官方認證的合法程式碼,如今卻被 Lapsus$ 駭侵團體濫用。
資安專家指出,Windows 為了確保各種軟體的安全性與來源,在用戶安裝各種應用程式、驅動程式或核心組件時,都會檢查是否具有合法的憑證簽署;如果沒有簽署的話,Windows 將不會安裝。
資安專家表示,已經觀察到惡意軟體內含 NVIDIA 被竊的簽署憑證,包括可用以遠端監控受害裝置的 Cobalt Strike beacon、Mimikatz,以及多種後門惡意程式與遠端監控木馬等等。
雖然這兩組被竊的簽署憑證已經設定為逾期,但資安專家仍發現 Windows 作業系統仍然可以讓內含此兩組憑證的驅動程式,載入到系統中執行。
雖然 Microsoft 資安專家已經公布方法,讓系統管理員可以透過設定 Windows Defender Application Control Policies 的方法,來設定哪些憑證可以通過驗證,但這種設定方法有其難度,一般 Windows 使用者難以操作。
資安專家呼籲,Windows 一般用戶應避免自不明的網站、Email 或其他不安全管道,下載安裝任何軟體,以避免遭到駭侵者以這種方式植入惡意程式。
twcert 發表在
痞客邦
留言(0)
人氣()
俄羅斯政府日前公布一批涉及對該國各個公私網站進行分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)的 IP 清單,共有多達 17,576 個 IP。
這批 IP 清單是由俄羅斯聯邦特別勤務局(FSB)旗下的國家資安事件處理協調中心(NKTsKI)所發表的,除了一份只含有 IP 的清單外,另外也發表了一份含有網域名稱的攻擊來源清單。
這兩份攻擊者清單中只含有攻擊來源的 IP 與對應的網域名稱,並未包含幕後攻擊者的相關資訊,而且在網域清單中赫然出現多個歐盟與美國政府官方單位的網域名稱(例如美國聯邦調查局與美國中央情報局);但資安專家也提醒,攻擊者可以透過更改封包推薦連結表頭資訊的簡單技巧,輕易將攻擊來源改為任何特定目標。
另外,這份清單中也包括一個網址,指向一個 Google 文件檔案,內容是教導用戶如何利用開源的「低軌道離子砲」(Low Orbit Ion Cannon, LOIC)駭侵工具,對俄羅斯境內的網站發動 DDoS 攻擊,加入聲援烏克蘭「IT 軍種」資訊作戰的行列。該工具廣泛支援多種作業系統,包括 Windows、macOS、iOS、Android。
NKTsKI 針對日漸嚴重的 DDoS 攻擊,呼籲俄羅斯網站應採行以下四個方式,加強己身對抗 DDoS 等資安攻擊的防護能力,包括使用 DDoS 防護服務、將上述表單中的攻擊來源設為連線黑名單、停用各種用來進行流量統計或其他功能的網站外掛程式,以及僅使用設於俄羅斯境內的 DNS 伺服器等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 JFrog 日前發表研究報告,指出該公司發現經常用於各種 VOIP 服務的開源程式庫 PJSIP 多媒體溝通程式庫,內含 5 個嚴重資安漏洞,可能導致駭侵者遠端執行任意程式碼。
在使用 PJSIP 程式庫的 VOIP 開源軟體中,最著名的就是 Asterisk;有許多企業級的 VOIP 軟體或服務,都使用 Asterisk 的開源 PBX(Private Branch Exchange)工具,數量十分龐大。
根據 Asterisk 的官方網站, Asterisk PBX Toolkit 的下載次數高達每年 200 萬次,共在 170 國境內的 100 萬台伺服器上執行;用戶包括各國公家機關、話務中心、大型企業與中小企業等,甚為廣泛。
在這 5 個漏洞中,有 3 個漏洞屬於遠端執行任意程式碼漏洞,主要是在電話呼叫過程中誘發 PJSUA API 中的錯誤,以造成堆疊溢位;另 2 個漏洞分別是在電話呼叫過程中誘發 PJSUA API 的資料越界讀取與緩衝區溢位錯誤,可以用來發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)。
JFrog 的資安研究團隊,在發現這 5 個漏洞後,立刻向 PJSIP 的開發者提報漏洞;目前 PJSIP 已在最新版本的 2.12 版中予以修復;各個使用內含 Asterisk VOIP 解決方案的系統管理者,應立即將系統內使用的 PJSIP 程式庫升級到最新的 2.12 或後續版本,以修補這 5 個漏洞。CVE編號:CVE-2021-43299、CVE-2021-43300、CVE-2021-43301、CVE-2021-43302、CVE-2021-43303 影響產品(版本):PJSIP 2.12 之前版本。 解決方案:升級至 PJSIP 2.12 與後續版本。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Check Point 日前發表研究報告,指出該公司發現在俄羅斯發動對烏克蘭的入侵作戰後,有許多駭侵者與網路犯罪分子,開始大量利用端對端加密的即時傳訊服務 Telegram,用以進行各種不法資安活動,用戶應特別提高警覺。
Check Point 在報告中指出,在 2022 年 2 月 24 日至今,在 Telegram 上的聊天群組數量暴增達 6 倍之多。
此外,某些特定主題的聊天群組,其參加人數也有大量增加的情形;某些聊天群組的成員數甚至多達 250,000 人以上。Check Point 觀察到以下三種主題的聊天群組,在俄羅斯入侵烏克蘭後,參與人數成長最快:志願參與協助烏克蘭進行網路作戰,對俄國各公私網站進行 DDoS 與其他類型的駭侵攻擊;宣稱為金援烏克蘭而進行的加密貨幣募捐;各種宣稱提供可信賴前線作戰訊息的「新聞頻道」。
twcert 發表在
痞客邦
留言(0)
人氣()
美國繪圖暨人工智慧運算晶片大廠 NVIDIA,日前遭一名為 Lapsus$ 的駭侵團體攻擊後,目前資安專家已證實,該公司有多達 71,000 名以上員工的各種個資遭竊。
根據知名資料外洩追蹤網站「Have I been Pwned?」統計指出,在這次 NVIDIA 遭駭侵攻擊事件中,目前已有 71,355 名員工的帳號與資料遭駭;該網站也已收集到這些遭駭的資料,並整合進其資料庫中。
據 Have I been Pwned? 網站指出,這批外洩的員工個資,包括 Email 地址、NTML 密碼雜湊值等。
駭侵者 Lapsus$ 入侵 NVIDIA 內部網路後,宣稱已經取得該公司內部高達 1TB 的資敏資料,並且公布其中的 20GB,以此要脅 NVIDIA「必須解除其繪圖處理器晶片(Graphics Processor Unit, GPU) GeForce RTX 30 系列的雜湊算力上限」,同時必須在 3 月 4 日前,將其繪圖處理器晶片的 Windows、macOS、Linux 驅動程式加以開源化,否則將公開自該公司竊得的各種 GPU,包括最近推出的 RTX 3090Ti 晶片等的細部設計資訊。
NVIDIA 公司在回應媒體採訪時指出,該公司目前沒有發現任何此次駭侵攻擊為勒贖攻擊的跡象,但證實該公司的員工相關資料確實遭到駭侵者不當存取;該公司也認為這次駭侵事件不致於對公司營運與客戶造成任何影響。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Barracuda 日前發表研究報告,指出去(2021)年年底發現的 Log4Shell 漏洞,目前仍有駭侵者大量用於發動各式攻擊;其中最大宗的攻擊手法是用於建置可發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)的僵屍網路(botnet),以及植入加密貨幣惡意挖礦程式。
據 Barracuda 報告,該公司觀察到數個月以來透過 Log4Shell 漏洞的攻擊中,來源 IP 最多的是美國,高達 83%,其次是日本(10%)、德國與荷蘭(3%)、俄羅斯(1%)。
儘管在去(2021)年年底爆發 CVE-2021-44228「Log4j」漏洞時,負責開發 Log4j 的 Apache 基金會,一連推出了多個修正版本,直到 2.17.1 版本後就徹底解決了 Log4Shell 漏洞,但全球仍有大量裝置仍在執行存有漏洞的舊版 Log4j 軟體,導致利用此漏洞發動的資安攻擊,次數仍然居高不下。
據 Barracuda 報告指出,在眾多仍然透過 Log4Shell 漏洞發動攻擊的惡意軟體中,Mirai 僵屍網路佔的數量比例最高,其次是 BillGates malware(DDoS)、Kinsing(挖礦軟體)、XMRig(挖礦軟體)、Muhstik(DDoS)等。
另外,在 Apache 推出資安修補後,Barracuda 仍然觀察到相當多的駭侵行動透過 Log4Shell 發動,其次數並未在修補軟體推出後呈現下降趨勢。
Barracuda 指出,雖然大型駭侵團體使用 Log4Shell 漏洞的比例有降低的趨勢,但仍有許多透過該漏洞的攻擊行動,表示仍有許多中小型的駭侵團體,持續鎖定尚未修補 Log4Shell 的目標發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
