Google 日前釋出 2022 年 2 月 Android 資安修補程式,修復多個漏洞,其中包括一個可讓駭侵者遠端提升執行權限,且危險程度為最高等級「嚴重」(Critical)的漏洞。
這個嚴重漏洞的 CVE 編號為 CVE-2021-39675,僅存於最新版本的 Android 12 中,可以在用戶不知情的情形下,遠端提升惡意軟體的執行權限。
這類漏洞通常會被用於手法純熟的惡意軟體發行者,不過 Google 表示並未見到該漏洞遭到大規模濫用於攻擊活動的跡象。
在這波漏洞修補中,還有另一個嚴重漏洞 CVE-2021-30317 也得到修補;該漏洞主要影響 Qualcomm 的封閉原始碼組件,也僅有使用 Qualcomm 零組件的 Android 裝置會受到影響。
另外,這次 Google 釋出的軟體修補包中,除了上述 2 個「嚴重」等級的漏洞之外,另外還有三十餘個屬於「高度」危險等級的漏洞,分別存於 Android system framework、media framework、系統組件、媒體播放系統,以及協力廠商 Amlogic、MTK、紫光、Qualcomm 等相關組件。
值得注意的是,由於市面上的 Android 裝置,其作業系統與資安更新,多半是由裝置製造商提供,無法直接套用 Google 推出的 Android 資安更新包(Google 自行推出的 Pixel 系列與少數第三方機種除外);因此用戶應密切注意裝置製造廠的更新情報,在對應的更新推出後立即套用。如果因裝置老舊,製造商已不提供更新服務的話,應淘汰老舊設備。CVE編號:CVE-2021-39675影響產品(版本):Android 10、11、12解決方案:密切注意裝置製造商的更新提供
twcert 發表在
痞客邦
留言(0)
人氣()
一個名為 Medusa 的 Android 金融特洛伊木馬,目前正在全球各地大幅感染 Android 行動裝置用戶;該惡意軟體會竊取用戶手機中的金融服務登入資訊,並用於金融詐騙攻擊,用戶應提高警覺。
Medusa (又稱 TangleBot)木馬並不是最近才發現的新惡意軟體,過去就曾在北美洲與歐洲肆虐;不過資安廠商 ThreatFabric 旗下的資安研究人員,在一份最近推出的研究報告中,詳細描述了新版 Medusa 的運作方式。
研究人員在報告中指出,這次 Medusa 仍然和之前一樣,使用相同的 FluBot 惡意軟體發送平台,來執行其簡訊釣魚攻擊活動。
報告也指出,Medusa 是利用 Android 系統中的「輔助使用」指令引擎來進行各種攻擊活動,包括在手機上執行特定操作或手勢、擅自擷取螢幕畫面、自行開啟通知、鎖定畫面、點按畫面上的元件等。
ThreatFabric 在報告中指出,Medusa 能夠以極高的效率,記錄用戶在手機上的鍵盤輸入、進行影音即時盜錄、也能遠端遙控手機,因此能用以竊取用戶手機中的各種金融服務登入資訊。
Medusa 主要是夾帶在遭到仿冒的熱門應用程式,例如 DHL、Purolator、Android Update、Flash Player、Amazon Locker 與各種影音播放程式等;用戶如果不在官方應用程式商店取得這些軟體,而是自不明來源自行下載安裝 APK 檔,就很容易成為這類惡意軟體的受害者。
twcert 發表在
痞客邦
留言(0)
人氣()
全球知名運動用品製造大廠 Puma,日前其北美地區的人資行政管理協力廠商 Kronos 遭到勒贖攻擊,造成該公司近半數員工相關資料遭到不當存取。
Puma 在北美地區用於員工與行政管理的雲端服務廠商 Kronos,於去(2021)年 12 月遭到不明來源的勒贖攻擊,造成 Puma 在北美地區近半數的數千名員工資料同時遭到駭侵者不當存取。
Puma 使用的 Kronos 服務,包括 Workforce Central、Workforce TeleStaff、Enterprise Archive、TeleTimeIP、Extensions for Healthcare 與 FMSI 環境等,都託管於 Kronos 的雲端伺服器。
據稍早的報導指出,在 Kronos 於去年底遭攻擊後,使用 Kronos 系統服務的客戶,其行政作業都大大受阻,甚至必須退回到紙本文書作業模式長達數周之久。
據受理 Puma 資安事件的美國緬因州總檢查署指出,在此次事件中個資遭竊的 Puma 員工,人數為 6,632 人;除了員工個人姓名外,遭到外洩的個資還包括員工的社會安全號碼(Social security number)。
Puma 本身尚未針對這起事故提供任何詳細情報,不過 Kronos 在寄發給可能受害員工的信件中表示,正在進行事件調查,該公司也將提供資料外洩員工兩年免費的 Experian IdentityWorks 個資濫用監測服務,以及高達 100 萬美元的個資外洩保險。
twcert 發表在
痞客邦
留言(0)
人氣()
可提供多種加密貨幣互換的跨鏈加密貨幣去中心化金融(Decentralized Finance, DeFi)交易平台 Wormhole 日前遭駭,損失包裝以太幣(wETH) 120,000 枚,現額高達 3.26 億美元;不過一家投資該平台的合作伙伴,已出資彌補用戶的損失。
該起駭侵事件發生於 2022 年 2 月 3 日,當時 Wormhole 的系統遭到不明來源的駭侵攻擊;駭侵者利用該平台智慧合約的漏洞,在其平台上的智慧合約,憑空鑄造出 120,000 枚「包裝以太幣 wETH」(即以 Solana 區塊鏈製作出的加密貨幣,價格鎖定以太幣),接著再換成 93,750 枚以太幣,並將其轉帳到自有的以太坊區塊鏈錢包內。
據區塊鏈相關媒體報導指出,這次攻擊的主因在於 Wormhole 的「保護帳號」(guardian accounts)並未進行驗證,因此導致駭侵者可利用這個漏洞,憑空鑄造出 120,000 枚 wETH,完全零成本。
Wormhole 在發現漏洞遭攻擊後,除了修補漏洞外,同時試圖和駭侵者談判;Wormhole 表示願意提供 1,000 萬美元當做獎金,要求駭客將竊走的 wETH 歸還給 Wormhole;不過截至目前為止,駭侵者竊走的 93,750 枚以太幣,仍然並未轉移到任何錢包之中,該在駭侵者的控制之下。
不過,Wormhole 的投資者之一 Jump Crypto 在事件發生後,立即對 Wormhole 補回 120,000 枚 wETH,因此在這次駭侵事件中,投資人的所有損失都得到彌補。
資安專家指出,Wormhole 使用的 Solana 區塊鏈相關程式碼版本過舊,可能是造成這次攻擊事件的主要破口;一月中旬在 GitHub 上就有針對該平台 Solana 程式碼更新的 Pull request,但程式碼遲到二月才見變更,數小時之後就發生了此次駭侵事件。
twcert 發表在
痞客邦
留言(0)
人氣()
英國大型休閒食品製造商 KP Snacks 遭 Conti 勒贖軟體攻擊,除了導致該公司產品生產受阻之外,受害災情也延燒到經銷其商品的多家大型超市。
KP Snacks 是英國的相當知名的休閒食品製造廠。這次針對該公司的攻擊行動,首先是在 2022 年 1 月 28 日發動的;當時 KP Snacks 公司旗下的多個 IT 設備發生異常,使得該公司的生產活動受到影響。
在該周周末時,KP Snacks 的 IT 人員會同第三方資安專家,開始針對事件進行調查與處理;當時即確認該公司部分資料已可能遭竊。
進入二月後,勒贖災情繼續擴大到與該公司產品相關的下游供應鍊;據資安媒體掌握的情報指出,KP Snacks 在發送給下游大型通路商 Nisa 超市的信中指出,該公司確認其 IT 系統因遭勒贖攻擊受到影響,因此無法處理該超市發送的訂單;該公司也表示,目前無法預期何時可以恢復正常。
資安廠商 DarkFeed 也掌握到 Conti 駭侵集團發給 KP Snacks 的勒贖信,要求該公司在 5 日之內支付不明數額的贖金,否則 Conti 就會公開竊自 KP Snacks 公司的各種機敏資訊。
據報導指出,Conti 公布了一部分竊得的資訊,當做該團體手上握有 KP Snacks 機敏資訊的證據;遭到公開的資訊包括信用卡刷卡單、附有員工住址與電話號碼的試算表、各種機密合約和文件等。
資安專家表示,Conti 勒贖團體近期的活動日益猖獗,近來的受害者包括印尼中央銀行、愛爾蘭衛生部、大型行銷公司 RR Donnelly 等,各廠商應加強資安防護能力並提高警覺。
twcert 發表在
痞客邦
留言(0)
人氣()
一波針對 QNAP NAS(Network Attached Storage)網路儲存裝置的全新勒贖攻擊,名為 Deadbolt,目前正在全球快速蔓延;QNAP 用戶應立即提高警覺,避免裝置內的檔案遭到加密。
據資安媒體 BleepingComputer 的報導指出,Deadbolt 是在今(2022)年 1 月 25 日開始針對全球各地的 QNAP NAS 發動勒贖攻擊;用戶的 NAS 裝置如果遭到入侵,不僅所有檔案都會被加密,副檔名會變成「.deadbolt」,且用戶會在登入頁面看到一個黑底的畫面,載明該裝置中的檔案均已遭到加密。
在被竄改的登入畫面中,駭侵者說這不是針對 QNAP NAS 裝置個人發動的攻擊,而是因為廠商的資安防護不適當。
用戶如果想要解鎖遭加密的檔案,必須依駭侵者的指示,支付 0.03 枚比特幣的贖金(約合新台幣 30,500 元);不過目前無法證實支付了贖金後,駭侵者真的會提供可資解密的金鑰。
BleepingComputer 的報導中指出,目前該刊掌握的受害者至少有 15 位,並不特定分布在某一地區;而所有遭 Dealbolt 攻擊的 QNAP NAS,都是直接與 Internet 連接,可由內網外部存取的。
此外,駭侵者也在上述的登入畫面中,放了一段「致 QNAP 重要訊息」段落;訊息中說該公司顧客之所以會遭到駭侵攻擊,是因為其產品存有一個不明 0-day 漏洞;如果 QNAP 支付 5 枚比特幣(約新台幣 510 萬元),駭侵者會提供該 0-day 漏洞的相關資訊與詳細分析報告;但如果 QNAP 支付 50 枚比特幣(約新台幣 5100 萬元),即可取得能為所有受害顧客解密的主要金鑰,以及上述的 0-day 漏洞資訊。
資安專家呼籲,各種 NAS 裝置用戶,應立即更新系統至最新版本,並且避免將 NAS 裝置直接連上 Internet,以免遭到攻擊。
QNAP 也表示,經過 QNAP PSIRT 調查,為防止 DeadBolt ransomware 與其他惡意程式攻擊,QNAP 建議使用者參考以下資安通報立即更新 QTS,
https://www.qnap.com/en/security-advisory/qsa-21-57
以下為推薦的 QTS 版本:-QTS 5.0.0.1891 build 20211221 and later
-QTS 4.5.4.1892 build 20211223 and later
-QuTS hero h5.0.0.1892 build 20211222 and later
-QuTScloud c5.0.0.1919 build 20220119 and later
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 日前修復兩個可用於駭入用戶 iOS 與 macOS 裝置的 0-day 漏洞,一個可以遠端執行任意程式碼,另一個可用於追蹤使用者。用戶應立即更新裝置,以避免相關資安攻擊風險。
第一個獲得修補的漏洞,其 CVE 編號為 CVE-2022-22587,是發生於 IOMobleFrameBuffer 的記憶體崩潰漏洞;受影響的裝置包括多種 iOS、iPadOS 與 macOS 裝置,如 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。
駭侵者可利用此漏洞,在受駭裝置以上 kernel 權限遠端執行任意程式碼。
Apple 公司在軟體更新說明中表示,該公司已知悉此漏洞可能已遭不肖分子積極利用於駭侵攻擊活動。
第二個獲得修補的漏洞為 CVE-2022-22594,存於 iOS 與 iPadOS 中的 Safari WebKit 的 IndexDB 組件中,Safari 在對輸入字串進行驗證時發生漏洞;駭侵者可利用此漏洞取得用戶的各種可識別資訊,對用戶的瀏覽行為進行即時追蹤。
受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代。
這兩個 0-day 均於日前 Apple 發行的 iOS 15.3 與 iPadOS 15.3 資安更新中獲得修補,各類 Apple 產品用戶,均應立即將作業系統更新至最新版本,以避免裝置因含有上述資安漏洞,因而曝露於高度駭侵攻擊風險之中。CVE編號:CVE-2022-22587、CVE-2022-22594影響產品(版本): iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。解決方案:更新至 iOS、iPadOS 15.3 與後續版本、macOS Monterey 12.2 與後續版本
twcert 發表在
痞客邦
留言(0)
人氣()
加拿大外交部(Global Affairs Canada)日前遭到不明來源的駭侵攻擊,使該部轄下的電腦系統服務遭到阻斷而無法使用。
據加拿大國庫委員會秘書處(Treasury Board of Canada Secretariat)、加拿大共同服務(Shared Services Canada)和加拿大通訊安全局(Communications Security Establishment)聯合指出,在上周某個時間點,加拿大外交部的系統遭到不明攻擊;在展開調查後,確認遭到攻擊的日期為今(2022)年 1 月 19 日。
相關單位指出,雖然加拿大外交部的部分網路服務系統,因遭到攻擊而中斷服務,但該部門的重要系統仍然運作如常。目前正在加緊調查事件原因,並且加快系統修復進度。
加拿大政府指出,這些系統均備有各種針對資安攻擊的監控、偵測與調查工具,可以快速分析攻擊活動並立即處理。
不過,由於調查工作仍在進行之中,加拿大官方並未針對駭侵攻擊事件的原因,以及攻擊來源等資訊提供詳細說明。加拿大國庫委員會秘書處也說,目前除了加拿大外交部外,尚未觀察到有其他加拿大政府機關遭到類似攻擊的跡象。
就在這次駭侵事件發生之前,加拿大資安主管機關 Canadian Centre for Cyber Security 才發布一則資安通報,指出有一個叫做 Wiper 的惡意軟體,正在針對烏克蘭相關公私單位發動攻擊,提醒加拿大所屬相關單位提高警覺。不過目前尚無法證實兩者之間是否直接相關。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cleafy 旗下的資安專家,近期發現 Android 惡意軟體 BRATA,最近推出最新版本,不但會竊取更多手機用戶的資訊,還會在竊取資訊後刪除手機內部的資料。
BRATA 的最初版本是由卡巴斯基是在 2019 年發現,當時主要以 WhatsApp 感染巴西的 Android 手機用戶,會竊取用戶手機中的各種資料,包括螢幕擷圖、各種裝置資訊、使用者輸入的內容,還具有串流功能,可以把用戶即時操作一五一十都傳回控制伺服器。
現今傳播的新版 BRATA,主要針對英國、波蘭、義大利、西班牙、中國與拉丁美洲諸國的手機用戶,竊取其裝置內的行動金融服務資訊;不同的變種病毒鎖定不同金融服務,甚至潛藏於不同的 app 中,針對特定用戶進行攻擊。
報告也說,這個版本的 BRATA 甚至會先掃瞄用戶手機中安裝的防毒防駭軟體,並加以刪除或停用,再進行資料竊取。
另一家資安廠商 Cleafy 旗下的資安研究人員,則發現新版 BRATA 可以取得手機的即時 GPS 地理座標資訊,換言之可用以追蹤受害用戶的移動軌跡。
Cleafy 也指出,BRATA 在成功入侵並竊得資料,或是發現自己是在虛擬環境中執行時,會將手機恢復到出廠設定;因此受害者手機中的所有資料,都會全部遭到刪除清空。
資安專家指出,避免受到這類惡意軟體感染的最佳方式,就是不安裝不明來源的 APK 檔案;只在具有較佳保護的應用程式商店,如 Google Play Store 安裝手機軟體,並在執行前先以防毒工具掃瞄。
twcert 發表在
痞客邦
留言(0)
人氣()
荷蘭資安主管機關 Nationaal Cyber Security Centrum (NCSC) 日前發出資安警訊,指出目前該機構仍偵測到許多利用 Log4j 漏洞進行的資安攻擊活動,各界仍需提高警覺。
NCSC 官員指出,雖然在去年年底發現 Log4j 漏洞及其嚴重威脅後,已有許多公私單位針對該漏洞進行防護與修補,但駭侵者仍然積極針對尚未採取行動的目標發動各種攻擊活動。
官員說,可以預期這些惡意分子,仍在大規模掃瞄任何可以發動攻擊的目標,並且發動攻擊。
NCSC 指出,該單位仍強烈建議所有公私單位,仔細檢查使用中的系統,是否仍然存有 Log4j 相關漏洞,並且立即進行修補。
此外,NCSC 也呼籲各單位仍應密切注意 Log4j 相關漏洞與攻擊情報,並仔細評估一旦遭到攻擊時,對其營業活動可能造成的衝擊程度,並預做準備,超前布署。
資安專家表示,荷蘭 NCSC 的呼籲相當適時,因為微軟在 1 月 19 日才發表資安情資,指出有一大型機構遭某驗侵團體,試圖以 SolarWinds Serv-U 的 0-day 漏洞侵入該單位的 LDAP 伺服器,並且利用 Log4j 漏洞發動攻擊;但由於該單位的 LDAP 伺服器並不存有 Log4j 漏洞,因此並未得逞。
此外,微軟與英國健保署(NHS)也曾在一周前分別發布同類事件的資安通報,指出有疑似 DEV-0401 駭侵團體,針對網路上的 VMware Horizon 伺服器的 Log4kj 漏洞,發動 Night Sky 勒贖攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
全球第四大加密貨幣交易所 Crypto.com,日前於官方部落格中發文證實,日前發生的駭侵事件中,共有 483 位用戶的數位錢包遭外力不當存取,損失達 3,400 萬美元,但已全數補回用戶帳戶內。
Crypto.com 執行長 Kris Marszalek 在接受 Bloomberg 專訪時承認,約有 400 名用戶的帳戶發生異常提領事件;隨後該公司在官方部落格中貼文說明,指出確切的受害用戶有 483 名,被竊資金分別有 4,836.26 枚以太幣(約合 15,132,516 美元)、443.93 枚比特幣(合 18,613,360 美元),以及其他加密貨幣約 66,200 美元,總計損失高達 33,812,346 美元。
在 Crypto.com 提出的報告中指出,不當存取事件發生於今(2022)年 1 月 17 日世界標準時間上午 12:46 分左右,當時該公司的資安監控系統偵測到一部分用戶的帳戶,出現未經授權的活動;這些用戶的資金未經過二階段登入驗證就被轉出。Crypto.com 表示,在發現異常活動後,該公司立即暫停所有用戶的提領權限,時間共計約 14 小時,在當天世界標準時間 17:46 恢復提款作業。
Crypto.com 在聲明中指出,該公司於事件發生後,立即導入加強資安措施,除了重置所有用戶的二階段登入驗證設定,用戶必須重新設定新的二階段登入驗證之外,也對新註冊帳戶的新增轉帳地址設定與首次轉帳設定 24 小時延遲,以避免發生攻擊事件時資金立即遭竊,並爭取調查所需時間。
該公司也強調,在這次事件中,所有受害用戶的資金都已補回,用戶沒有實質損失,但該公司並未透露這次攻擊事件的其他細節,例如攻擊者、攻擊手法等資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商卡巴斯基,近日發現最近多起針對製造業發動的間諜軟體駭侵攻擊;這些攻擊者意圖竊取各種登入資訊,用於進一步的駭侵攻擊,或是售出牟利。
卡巴斯基說,近來這些攻擊的特徵,是使用各種現成的間諜軟體工具,例如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等,來進行短時間的攻擊,以避免遭到發現。
卡巴斯基將這類攻擊稱為「anomalous」,以與一般較長期的攻擊活動區別;據其觀察報告指出,這波攻擊每次的持續時間,約為 25 日左右,而一般典型的間諜軟體駭侵攻擊,多半持續數月到數年之久。
報告也說,這波攻擊與其他間諜軟體的攻擊,有一個很大的不同,就是選擇使用 SMTP 而非 HTTPS,作為惡意軟體與控制伺服器連線的通訊協定。卡巴斯基說,採用 SMTP 是很特別的選擇,因為 SMTP 僅能進行單向傳輸,也只能傳送文字檔,無法傳送其他型態的二進位或非文字檔。但是 SMTP 可以輕易混在一般網路傳輸流量之中,不易遭到發現,而且使用簡便。
在駭侵技術分析中,卡巴斯基表示,駭侵者使用魚叉式釣魚攻擊,先竊得登入資訊,再以該登入資訊進一步入侵企業內網,而且駭侵者會將先前駭入企業的 Email 信箱,當做是控制伺服器使用,以發動新攻擊,這樣可以有效避免企業防毒防駭系統的偵測。
卡巴斯基的報告也指出,觀察到的製造業受害者相當多,約有 2,000 個企業 Email 帳號被當做控制伺服器;竊得的資訊也被放到暗上待價而沽,其中包括許多 Email RDP、SMTP、SSH、cPanel、VPN 帳號登入資訊。
twcert 發表在
痞客邦
留言(0)
人氣()