資安廠商 ZeroFox 旗下的研究人員,近來發現一個新的僵屍網路 Kraken。這個僵屍網路會利用一個稱為 SmokeLoader 的後門木馬軟體,在入侵 Windows 裝置後,竊取用戶電腦上各種資訊,還會將用戶加密貨幣錢包中的資產盜領一空。
該公司是在去(2021)年 10 月起開始觀察到 Kraken 的活動;每一次 Kraken 設立一台新的控制伺服器(Command and control server),就會觀察到數百台 Windows 裝置遭駭。
在報告中,研究人員指出這個版本的 Kraken,除了會修改遭駭 Windows 電腦的登錄檔,確保該惡意軟體可以阻擋 Windows Defender 偵測並在電腦中持續常駐執行外,也能收集電腦上的各種資訊、下載並執行軟體、執行 shell 命令、截取畫面,並且竊取用戶加密貨幣錢包中的資金。
在 ZeroFox 觀察到的案例中,受害 Windows 電腦中的 Kraken 惡意軟體,在感染後多半會下載另一個叫做 RedLine Stealer 的惡意軟體,可以用來竊取用戶的密碼、瀏覽器 cookie、信用卡資訊與加密貨幣錢包資訊。
不過 ZeroFox 也指出,光是 Kraken 本身就具備竊取加密貨幣的能力,包括 Zcash、Armory、Bytecoin、Electrum、Ethereum、Exodus、Guarda、Atomic、Jaxx Library 等多種加密貨幣錢包,Kraken 都可竊取其中存放的加密貨幣。
據 ZeroFox 觀察,屬於 Kraken 駭侵者的主要錢包,每個月都約有 3,000 美金的轉入。而這些駭侵者也經常「轉移陣地」,關閉運作一段時間的控制伺服器,轉而以全新 IP 設立全新的控制伺服器,以避免遭到鎖定。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Avanan 旗下的資安研究人員,近日發現有駭侵者滲入全球眾多企業廣泛採用的工作討論群組服務 Microsoft Teams,並在群組討論中散布惡意軟體,誘使企業員工安裝。
Microsoft Teams 的使用者相當多,據統計全球活躍用戶多達 2.7 億人,因此成為駭侵者眼中極佳的釣魚攻擊目標。
Avanan 指出,該公司的研究人員自今(2022)年起觀察到數千次採用類似手法的 Microsoft Teams 攻擊事件。駭侵者以先前釣魚攻擊或其他手法,取得目標企業員工的 Microsoft 365 或電子郵件登入資訊,即可進入目標企業的 Microsoft Teams 討論群組。
進入群組討論後,駭侵者會在討論群組中分享一個名為「User Centric」的執行檔,實際上內含特洛伊木馬惡意軟體;一旦有企業員工不查,安裝該惡意軟體於電腦上,該惡意軟體即可常駐於系統中,攔截使用者的輸入資訊,並竊取各種機敏資料。
Avanan 在報告分析中表示,由於 Microsoft Teams 本身的資安保護設施有缺陷,惡意連結與檔案的掃瞄不夠徹底,再加上各種防毒防駭軟體,儘管對 Email 等傳統通訊方式有相當程度的保護措施,但對 Microsoft Teams 之類的通訊工具並未提供足夠的防護能力。
Avanan 也說,一般企業員工對於 Email 的資安意識比較牢固,但對於 Micrisoft Teams 之類的群組討論工具,就往往失去戒心;該公司過去針對醫療院所的研究,就發現醫護人員對於在 Email 中分享機密資訊的資安風險較為理解,但對於 Microsoft Teams 之類平台中可能發生的資安風險,其理解程度欠佳,導致駭侵者可輕易受邀入群,甚至在其中散布惡意連結與軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
美國三大資安主管機關聯邦調查局(Federal Bureau of Investigation, FBI)、國家安全局(National Security Agency, NSA)、網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA),日前聯合發布資安通報,指出多家美國國防部承包廠商,自前 2020 年 1 月起,開始遭疑似有幕後資助指揮的相關駭侵者發動長期攻擊。
這些美國國防部的承包廠商(U.S. Cleared defense contractors, CDCs),主要負責生產或提供服務的範圍,包括指令、控制、通訊與戰鬥系統;情報、監控、偵搜、定位;武器與飛彈研製;車輛與飛行器設計製造,以及軟體開發、資料分析、電腦系統與物流等等。
通報指出,這些針對多家國防部承包商的駭侵攻擊行動,有些持續長達六個月,且定期竊取數百份機密文件、郵件與其他類型資料。
通報表示,在這波駭侵攻擊中,駭侵者主要嘗試駭入各該承包商使用的軟體與雲端服務,特別是廣為使用的 Microsoft 365 環境。
通報也指出,這些遭駭的承包廠商服務對象遍及美國軍方各單位,包括美國陸軍、空軍、海軍、太空軍、國防部,以及各情治單位。
通報說,敵對勢力取得這些文件、郵件和資料後,將可據以調整其軍事計畫與重點,加速相關技術開發進程,並且與其盟友分享資料,對美國國家利益影響至鉅。
twcert 發表在
痞客邦
留言(0)
人氣()
國際紅十字會(The International Committee of the Red Cross)日前表示,自上個月起,該組織所屬的伺服器,開始遭到疑似由國家幕後支持的駭侵團體攻擊。
在是次攻擊中,駭侵者不僅成功入侵紅十字會所屬的伺服器,也竊走多種個人機敏資料;被竊的資料包括個人姓名、所在地、連絡方式,受害者則是參與「重建家庭連繫」(Restoring Family Links)計畫的成員,人數多達 515,000。
資安專家調查事件後指出,駭侵者係利用一種名為「資安攻擊專用」(Designed for offensive security)的客製化駭侵工具,這種工具通常與「進階持續性資安威脅」(Advanced Persistent Threat, APT)相關。
資安專家說,駭侵攻擊發生於去(2021)年 11 月 9 日,直到 70 天後才遭發現;而駭侵者是利用紅十字會伺服器中一個尚未修補的嚴重資安漏洞「Zoho」(CVE-2021-40539)來發動攻擊。該漏洞存於 Zoho 的 ManageEngine ADSelfService Plus 企業用密碼管理系統解決方案中,駭侵者無需通過登入驗證,即可利用此漏洞,遠端執行任意程式碼。
紅十字會也說,駭侵者利用此漏洞滲透後,即可偽裝成合法的系統使用者或管理者,布署各種後續駭侵工具,並且竊取各種資料,甚至包括加密過後的資料在內。
網路設備大廠 Palo Alto Networks 旗下的資安研究人員指出,在過往的駭侵攻擊記錄中,曾經利用 Zoho 漏洞發動駭侵攻擊的 APT 團體是 APT27;而德國國內調查機關也曾發現該團體利用同一漏洞,攻擊德國的商業組織。
twcert 發表在
痞客邦
留言(0)
人氣()
烏克蘭國防部與兩間烏克蘭國營銀行,近日遭到嚴重的分散式服務阻斷(Distributed Denial of Service, DDoS) 攻擊,導致正常業務活動受阻。
在烏克蘭國防部方面,該部表示其網站可能因遭受 DDoS 攻擊而無法順利運作。烏克蘭資安主管機關「國家特種通訊與資訊保護局」(State Service of Special Communications and Information Protection)指出,攻擊活動自今(2022)年 2 月 15 日開始,該局並且記錄到數量極為龐大的同時發生連線要求。
而在遭到攻擊的國營銀行方面,受害對象是烏克蘭最大的銀行 Privatbank 以及國營儲蓄銀行 Oschadbank;這兩家銀行的官方網站雖然仍可存取,但用戶無法登入自己在這兩家銀行的帳號,以使用線上金融服務;另外也有部分存戶雖然可以登入帳戶,但帳戶內的餘額與近期交易活動清單資訊均不正確。
該國的另一資安相關單位「烏克蘭安全局」(Security Service of Ukraine),曾在本周稍早時指出該國正在遭逢「大規模混合作戰」的打擊。該局指出,攻擊者的目的在於引發烏克蘭國內的混亂與人心浮動,而該局已成功阻止某些攻擊活動,並且緝獲數個僵屍網路農場;這些僵屍網路針對烏克蘭公民散布炸彈攻擊訊息和各式假訊息,以試圖在烏克蘭境內製造恐慌。
烏克蘭政府旗下的電腦事件緊急反應小組,也指出這些針對該國的多起網路攻擊活動,都由一個名為 Gamaredon 的駭侵團體策畫發動。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前緊急推出 Google Chrome 瀏覽器最新版本 98.0.4758.102,修復一個已經遭到外部駭侵者廣泛濫用以發動攻擊的 0-day 漏洞 CVE-2022-6069。
這次推出的新版 Google Chrome,包括 Windows、Mac 與 Linux 全作業系統版本,使用舊版 Google Chrome 的用戶,應立即透過 Chrome 內建的更新機制,儘速更新至最新版本。
在 Google 發表的資安通報中,並未詳細說明該 0-day 漏洞的運作方式與細節,僅說明該漏洞為一種「釋放後使用」(use after free)型漏洞。
該漏發生於 Google Chrome 的動畫(Amination)組件中,其 CVSS 危險程度評分為 6.0 分(滿分為 10 分),危險程度分級為「高」(high)等級。
據 vuldb.com 網站指出,駭侵者可以利用未知的輸入,誘發此漏洞並產生記憶體崩潰;該網站也估計使用此漏洞進行駭侵攻擊的價碼,約在 5,000 美元到 25,000 美元之間。
據資安專家指出,這類「釋放後使用」的漏洞,多半是用來未曾更新的 Chrome 瀏覽器上執行任意程式碼,或是讓惡意程式碼有機會突破沙箱(Sandbox)的封鎖,以取用外部資源,或攻擊外部的組件。
這個漏洞是 Google 在今(2022)年首次修復的 0-day 漏洞,然而在 2011 年 Google Chrome 一共修復多達 16 個 0-day 漏洞,其中許多都遭駭侵者大規模用於攻擊。
由於未修補的舊版 Chrome 很容易成為駭侵者的攻擊目標,建議所有 Google Chrome 用戶,一定要勤於更新,才能避免成為受駭者。CVE編號:CVE-2022-0609影響產品(版本):Google Chrome 98.0.04758.102 之前各作業系統版本,包括 Windows、Mac、Linux。解決方案:升級至 Google Chrome 98.0.04758.102 與所有後續版本。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局(Federal Bureau of Investigation, FBI)日前發布資安通報,指出一個名為 BlackByte 的勒贖團體,過去三個月來已入侵至少三個美國關鍵基礎設施機關的內部網路。
這份由 FBI 與美國特勤局(U.S. Secret Services)共同發表的資安通報中指出,截至去(2021)年 11 月止,BlackByte 攻擊至少三個美國關鍵基礎設施,包括政府機關、財政,以及食物暨農產品機關,以及多家外國企業。
報告也指出,BlackByte 勒贖團體是個「勒贖即服務」(Ransomware as a Service, RaaS)平台,專門攻擊各種實體或虛擬的 Windows host 系統。
報告中也提供「駭侵攻擊指標」(Indicators of Compromise),供系統管理者評估,及早發現遭駭跡象,並立即應對防範。這些跡象包括在某些指定目錄內出現的特定資料夾及檔案,這些是 BlackByte 駭入後會新增的檔案與資料夾。
報告內也詳列上述新增檔案的 MD5 雜湊值列表,供系統管理員比對之用。
報告建議所有系統管理者,應對系統實施定期完整的備份措施,包括異地備份、離線並以密碼保護備份檔案,且在原系統更新、修改或受攻擊時亦應確保備份檔不受影響。
此外,也應確保系統之間的相互隔離,無法直接存取,並定期在所有裝置上安裝並更新必要的防毒防駭軟體與作業系統;也應密集檢查網域、目錄伺服器或各裝置上是否出現不明新帳號。未使用的 RDP 與遠端遙控界面也應全數關閉,並禁止在 Email 中顯示可點按的連結等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ESET 發表年度資安威脅報告 ESET Threat Report T3 2021;報告總結指出 2021 年最大的資安威脅來源,是來自各種被發現的軟硬體嚴重資安漏洞。
在報告中指出,2021 年各種重大資安威脅中,有許多源於各種軟硬體的研究漏洞,如年初有超過 10 個以上的 APT 駭侵團體,利用 Microsoft Exchange Server 中的 ProxyLogon 嚴重漏洞,對全球目標發動大規模駭侵攻擊;而 Microsoft Exchange Server 中的另一個嚴重漏洞 ProxyShell,則在 2021 年 8 月引發另一波各個駭侵體的全球性攻擊活動。
在 2011 年 12 月底發現的 Log4j 漏洞,則是去年度另一個引發大規模資安危機的軟體漏洞。該漏洞的 CVSS 危險程度評分高度滿分 10 分,且駭侵者可利用此漏洞挾持整個網站,因此也引來各個駭侵團體的大規模濫用。據 ESET 的監控資料指出,Log4j 漏洞攻擊在 2012 年的最後三周內快速暴增,成為全年第 5 大資安攻擊主因,可見其嚴重程度。
ESET 在報告中也指出,RDP 遠端桌面攻擊,延續自 2020 年因肺炎疫情導致的全球封城與在家工作潮,而在 2021 年仍然大幅成長;據該公司的監控資料指出,2021 年全年遭到資安防護軟體阻擋的 RDP 攻擊次數,較 2020 年大幅成長 897%。
另外,透過 Android 平台上的惡意軟體進行的金融詐騙相關攻擊,2021 年的發生次數,也較 2020 年大增 428%。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 日前釋出新版 iOS、iPadOS、macOS,修復一個可能已遭駭侵者廣為利用的 0-day 漏洞 CVE-2022-22620,用戶應立即更新各裝置作業系統至最新版本。
這個漏洞存於上述各種作業系統的內建瀏覽器核心 WebKit 內,屬於使用已釋放之記憶體的資安漏洞;駭侵者可利用特製的網頁內容誘發此漏洞,造成作業系統崩潰,並且在受害裝置上遠端執行任意程式碼。
Apple 在產品更新說明中也指出,該公司已接獲此漏洞可能已遭駭侵者大規模濫用於駭侵攻擊的報告。
受此漏洞影響的 Apple 產品如下:iPhone 6s 與後續各型機種;iPad Pro 全機種;iPad Air 2 與後續各型機種;iPad 第 5 代與後續各型機種;iPad mini 第 4 代與後續各型機種;iPod Touch 第 7 代;執行 macOS Monterey 的 Mac 電腦全機種。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Wordfence 旗下的研究人員,日前發現一個在 WordPress 中廣為使用的外掛程式 PHP Everywhere,內含三個嚴重漏洞,可導致駭侵者遠端執行任意程式碼。
PHP Everywhere 是一個相當實用的 WordPress 外掛程式,可以在網站的部落格文章與頁面的內文、邊欄、區塊編輯器中的任何區塊中插入 PHP 程式碼,以便動態顯示所需的內容。
這三個被發現的漏洞都是遠端執行任意程式碼漏洞,分述如下:CVE-2022-24663:這個漏洞可讓任何 WordPress 的訂閱者,只要發送一段含有「shortcode」參數的連線要求給 PHP Everywhere,即可遠端執行任意 php 程式碼。 CVE-2022-24664:這個漏洞可讓 WordPress 網站擁有作者(contributor)權限的用戶,在新增的文章中插入 PHP 程式碼方塊並且預覽,以執行該程式碼。 CVE-2020-24665:這個漏洞可讓 WordPress 網站擁有作者(contributor)且具有編輯文章權限的用戶,利用區塊編輯器新增 PHP Everywhere 的區塊;該權限應設為僅有系統管理者可使用此功能,但並未如此設定。
twcert 發表在
痞客邦
留言(0)
人氣()
前身為 Facebook 的 Meta 公司,日前與金融科技業者 Chime 聯合控告兩名奈及利亞籍駭侵者,指控他們在 Facebook 與 Instagram 上假冒 Chime,對用戶進行釣魚攻擊。
兩名遭到控告的駭侵者,涉嫌利用至少 5 個 Facebook 假帳號、800 個以上 Instagram 假帳號,假冒 Chime 公司的人員,試圖騙取用戶的 Chime 帳號控制權。
用戶一旦上當受騙,就會被導向至兩名駭侵詐騙者設立的 Chime 詐騙登入頁面;該頁面會要求用戶輸入 Chime 帳號登入所需的 Email 與密碼,以及電話號碼、社會安全號碼等個資。
用戶如果輸入正確的帳號密碼,其存在 Chime 內的存款,即會遭到兩名駭侵者盜領一空。
在 Meta 與 Chime 聯合控告該兩名駭侵者的起訴書中指出,該兩名嫌犯於 2020 年 3 月至 2021 年 10 月之間,長期以上述的詐騙釣魚手法來進行詐騙攻擊活動;Meta 公司旗下的 Facebook 於 2020 年 6 月 5 日起開始針對該詐騙行動進行防範,包括移除嫌犯使用的 Facebook 與 Instagram 假帳號、在 Facebook 與 Instagram 中阻擋假冒 Chime 公司服務使用的網域,並且對假帳號發送警告信。
但這些手法並沒有辦法遏阻嫌犯繼續利用 Facebook 和 Instagram 設立假帳號繼續進行詐騙攻擊活動,嫌犯在 2021 年 10 月時仍能繼續利用上述服務發動釣魚攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 近日推出 2022 年 2 月 Patch Tuesday 資安修補包,一共修補 48 個資安漏洞;各種 Microsoft 產品用戶,應立即套用更新。
本次的資安修補包修復的 48 個資安漏洞之中,並無列為「嚴重」等級的漏洞;各漏洞的類型如下:16 個執行權限提升漏洞;3 個資安防護功能跳過漏洞;16 個遠端執行任意程式碼漏洞;5 個資訊洩露漏洞;5 個服務阻斷漏洞;3 個詐騙假冒漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
