Google 修復 Android 系統遠端權限提升漏洞

Google 日前釋出 2022 年 2 月 Android 資安修補程式,修復多個漏洞,其中包括一個可讓駭侵者遠端提升執行權限,且危險程度為最高等級「嚴重」(Critical)的漏洞。
這個嚴重漏洞的 CVE 編號為 CVE-2021-39675,僅存於最新版本的 Android 12 中,可以在用戶不知情的情形下,遠端提升惡意軟體的執行權限。
這類漏洞通常會被用於手法純熟的惡意軟體發行者,不過 Google 表示並未見到該漏洞遭到大規模濫用於攻擊活動的跡象。
在這波漏洞修補中,還有另一個嚴重漏洞 CVE-2021-30317 也得到修補;該漏洞主要影響 Qualcomm 的封閉原始碼組件,也僅有使用 Qualcomm 零組件的 Android 裝置會受到影響。
另外,這次 Google 釋出的軟體修補包中,除了上述 2 個「嚴重」等級的漏洞之外,另外還有三十餘個屬於「高度」危險等級的漏洞,分別存於 Android system framework、media framework、系統組件、媒體播放系統,以及協力廠商 Amlogic、MTK、紫光、Qualcomm 等相關組件。
值得注意的是,由於市面上的 Android 裝置,其作業系統與資安更新,多半是由裝置製造商提供,無法直接套用 Google 推出的 Android 資安更新包(Google 自行推出的 Pixel 系列與少數第三方機種除外);因此用戶應密切注意裝置製造廠的更新情報,在對應的更新推出後立即套用。如果因裝置老舊,製造商已不提供更新服務的話,應淘汰老舊設備。

CVE編號:CVE-2021-39675
影響產品(版本):Android 10、11、12
解決方案:密切注意裝置製造商的更新提供

twcert 發表在 痞客邦 留言(0) 人氣()

會竊取各種資訊並發動金融詐騙攻擊的 Android 惡意軟體 Medusa 正在大舉感染中

一個名為 Medusa 的 Android 金融特洛伊木馬,目前正在全球各地大幅感染 Android 行動裝置用戶;該惡意軟體會竊取用戶手機中的金融服務登入資訊,並用於金融詐騙攻擊,用戶應提高警覺。
Medusa (又稱 TangleBot)木馬並不是最近才發現的新惡意軟體,過去就曾在北美洲與歐洲肆虐;不過資安廠商 ThreatFabric 旗下的資安研究人員,在一份最近推出的研究報告中,詳細描述了新版 Medusa 的運作方式。
研究人員在報告中指出,這次 Medusa 仍然和之前一樣,使用相同的 FluBot 惡意軟體發送平台,來執行其簡訊釣魚攻擊活動。
報告也指出,Medusa 是利用 Android 系統中的「輔助使用」指令引擎來進行各種攻擊活動,包括在手機上執行特定操作或手勢、擅自擷取螢幕畫面、自行開啟通知、鎖定畫面、點按畫面上的元件等。
ThreatFabric 在報告中指出,Medusa 能夠以極高的效率,記錄用戶在手機上的鍵盤輸入、進行影音即時盜錄、也能遠端遙控手機,因此能用以竊取用戶手機中的各種金融服務登入資訊。
Medusa 主要是夾帶在遭到仿冒的熱門應用程式,例如 DHL、Purolator、Android Update、Flash Player、Amazon Locker 與各種影音播放程式等;用戶如果不在官方應用程式商店取得這些軟體,而是自不明來源自行下載安裝 APK 檔,就很容易成為這類惡意軟體的受害者。


twcert 發表在 痞客邦 留言(0) 人氣()

運動用品大廠 Puma 因協力廠商遭勒贖攻擊,近半員工機敏資料外洩

全球知名運動用品製造大廠 Puma,日前其北美地區的人資行政管理協力廠商 Kronos 遭到勒贖攻擊,造成該公司近半數員工相關資料遭到不當存取。
Puma 在北美地區用於員工與行政管理的雲端服務廠商 Kronos,於去(2021)年 12 月遭到不明來源的勒贖攻擊,造成 Puma 在北美地區近半數的數千名員工資料同時遭到駭侵者不當存取。
Puma 使用的 Kronos 服務,包括 Workforce Central、Workforce TeleStaff、Enterprise Archive、TeleTimeIP、Extensions for Healthcare 與 FMSI 環境等,都託管於 Kronos 的雲端伺服器。
據稍早的報導指出,在 Kronos 於去年底遭攻擊後,使用 Kronos 系統服務的客戶,其行政作業都大大受阻,甚至必須退回到紙本文書作業模式長達數周之久。
據受理 Puma 資安事件的美國緬因州總檢查署指出,在此次事件中個資遭竊的 Puma 員工,人數為 6,632 人;除了員工個人姓名外,遭到外洩的個資還包括員工的社會安全號碼(Social security number)。
Puma 本身尚未針對這起事故提供任何詳細情報,不過 Kronos 在寄發給可能受害員工的信件中表示,正在進行事件調查,該公司也將提供資料外洩員工兩年免費的 Experian IdentityWorks 個資濫用監測服務,以及高達 100 萬美元的個資外洩保險。


twcert 發表在 痞客邦 留言(0) 人氣()

加密貨幣平台 Wormhole 遭駭,損失達 3.26 億美元,現已補回

可提供多種加密貨幣互換的跨鏈加密貨幣去中心化金融(Decentralized Finance, DeFi)交易平台 Wormhole 日前遭駭,損失包裝以太幣(wETH) 120,000 枚,現額高達 3.26 億美元;不過一家投資該平台的合作伙伴,已出資彌補用戶的損失。
該起駭侵事件發生於 2022 年 2 月 3 日,當時 Wormhole 的系統遭到不明來源的駭侵攻擊;駭侵者利用該平台智慧合約的漏洞,在其平台上的智慧合約,憑空鑄造出 120,000 枚「包裝以太幣 wETH」(即以 Solana 區塊鏈製作出的加密貨幣,價格鎖定以太幣),接著再換成 93,750 枚以太幣,並將其轉帳到自有的以太坊區塊鏈錢包內。
據區塊鏈相關媒體報導指出,這次攻擊的主因在於 Wormhole 的「保護帳號」(guardian accounts)並未進行驗證,因此導致駭侵者可利用這個漏洞,憑空鑄造出 120,000 枚 wETH,完全零成本。
Wormhole 在發現漏洞遭攻擊後,除了修補漏洞外,同時試圖和駭侵者談判;Wormhole 表示願意提供 1,000 萬美元當做獎金,要求駭客將竊走的 wETH 歸還給 Wormhole;不過截至目前為止,駭侵者竊走的 93,750 枚以太幣,仍然並未轉移到任何錢包之中,該在駭侵者的控制之下。
不過,Wormhole 的投資者之一 Jump Crypto 在事件發生後,立即對 Wormhole 補回 120,000 枚 wETH,因此在這次駭侵事件中,投資人的所有損失都得到彌補。
資安專家指出,Wormhole 使用的 Solana 區塊鏈相關程式碼版本過舊,可能是造成這次攻擊事件的主要破口;一月中旬在 GitHub 上就有針對該平台 Solana 程式碼更新的 Pull request,但程式碼遲到二月才見變更,數小時之後就發生了此次駭侵事件。


twcert 發表在 痞客邦 留言(0) 人氣()

英國休閒食品公司 KP Snacks 遭 Conti 勒贖攻擊,且延燒至供應鏈

英國大型休閒食品製造商 KP Snacks 遭 Conti 勒贖軟體攻擊,除了導致該公司產品生產受阻之外,受害災情也延燒到經銷其商品的多家大型超市。
KP Snacks 是英國的相當知名的休閒食品製造廠。這次針對該公司的攻擊行動,首先是在 2022 年 1 月 28 日發動的;當時 KP Snacks 公司旗下的多個 IT 設備發生異常,使得該公司的生產活動受到影響。
在該周周末時,KP Snacks 的 IT 人員會同第三方資安專家,開始針對事件進行調查與處理;當時即確認該公司部分資料已可能遭竊。
進入二月後,勒贖災情繼續擴大到與該公司產品相關的下游供應鍊;據資安媒體掌握的情報指出,KP Snacks 在發送給下游大型通路商 Nisa 超市的信中指出,該公司確認其 IT 系統因遭勒贖攻擊受到影響,因此無法處理該超市發送的訂單;該公司也表示,目前無法預期何時可以恢復正常。
資安廠商 DarkFeed 也掌握到 Conti 駭侵集團發給 KP Snacks 的勒贖信,要求該公司在 5 日之內支付不明數額的贖金,否則 Conti 就會公開竊自 KP Snacks 公司的各種機敏資訊。
據報導指出,Conti 公布了一部分竊得的資訊,當做該團體手上握有 KP Snacks 機敏資訊的證據;遭到公開的資訊包括信用卡刷卡單、附有員工住址與電話號碼的試算表、各種機密合約和文件等。
資安專家表示,Conti 勒贖團體近期的活動日益猖獗,近來的受害者包括印尼中央銀行、愛爾蘭衛生部、大型行銷公司 RR Donnelly 等,各廠商應加強資安防護能力並提高警覺。


twcert 發表在 痞客邦 留言(0) 人氣()

新一波針對QNAP裝置的 DeadBolt勒贖攻擊正在全球蔓延,建議用戶立即更新

一波針對 QNAP NAS(Network Attached Storage)網路儲存裝置的全新勒贖攻擊,名為 Deadbolt,目前正在全球快速蔓延;QNAP 用戶應立即提高警覺,避免裝置內的檔案遭到加密。
據資安媒體 BleepingComputer 的報導指出,Deadbolt 是在今(2022)年 1 月 25 日開始針對全球各地的 QNAP NAS 發動勒贖攻擊;用戶的 NAS 裝置如果遭到入侵,不僅所有檔案都會被加密,副檔名會變成「.deadbolt」,且用戶會在登入頁面看到一個黑底的畫面,載明該裝置中的檔案均已遭到加密。
在被竄改的登入畫面中,駭侵者說這不是針對 QNAP NAS 裝置個人發動的攻擊,而是因為廠商的資安防護不適當。
用戶如果想要解鎖遭加密的檔案,必須依駭侵者的指示,支付 0.03 枚比特幣的贖金(約合新台幣 30,500 元);不過目前無法證實支付了贖金後,駭侵者真的會提供可資解密的金鑰。
BleepingComputer 的報導中指出,目前該刊掌握的受害者至少有 15 位,並不特定分布在某一地區;而所有遭 Dealbolt 攻擊的 QNAP NAS,都是直接與 Internet 連接,可由內網外部存取的。
此外,駭侵者也在上述的登入畫面中,放了一段「致 QNAP 重要訊息」段落;訊息中說該公司顧客之所以會遭到駭侵攻擊,是因為其產品存有一個不明 0-day 漏洞;如果 QNAP 支付 5 枚比特幣(約新台幣 510 萬元),駭侵者會提供該 0-day 漏洞的相關資訊與詳細分析報告;但如果 QNAP 支付 50 枚比特幣(約新台幣 5100 萬元),即可取得能為所有受害顧客解密的主要金鑰,以及上述的 0-day 漏洞資訊。
資安專家呼籲,各種 NAS 裝置用戶,應立即更新系統至最新版本,並且避免將 NAS 裝置直接連上 Internet,以免遭到攻擊。
QNAP 也表示,經過 QNAP PSIRT 調查,為防止 DeadBolt ransomware 與其他惡意程式攻擊,QNAP 建議使用者參考以下資安通報立即更新 QTS,

https://www.qnap.com/en/security-advisory/qsa-21-57
以下為推薦的 QTS 版本:

-QTS 5.0.0.1891 build 20211221 and later
-QTS 4.5.4.1892 build 20211223 and later
-QuTS hero h5.0.0.1892 build 20211222 and later
-QuTScloud c5.0.0.1919 build 20220119 and later

twcert 發表在 痞客邦 留言(0) 人氣()

Apple 修復兩個可用於駭侵 iOS、iPadOS 與 macOS 裝置的 0-day 漏洞

Apple 日前修復兩個可用於駭入用戶 iOS 與 macOS 裝置的 0-day 漏洞,一個可以遠端執行任意程式碼,另一個可用於追蹤使用者。用戶應立即更新裝置,以避免相關資安攻擊風險。
第一個獲得修補的漏洞,其 CVE 編號為 CVE-2022-22587,是發生於 IOMobleFrameBuffer 的記憶體崩潰漏洞;受影響的裝置包括多種 iOS、iPadOS 與 macOS 裝置,如 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。
駭侵者可利用此漏洞,在受駭裝置以上 kernel 權限遠端執行任意程式碼。
Apple 公司在軟體更新說明中表示,該公司已知悉此漏洞可能已遭不肖分子積極利用於駭侵攻擊活動。
第二個獲得修補的漏洞為 CVE-2022-22594,存於 iOS 與 iPadOS 中的 Safari WebKit 的 IndexDB 組件中,Safari 在對輸入字串進行驗證時發生漏洞;駭侵者可利用此漏洞取得用戶的各種可識別資訊,對用戶的瀏覽行為進行即時追蹤。
受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代。
這兩個 0-day 均於日前 Apple 發行的 iOS 15.3 與 iPadOS 15.3 資安更新中獲得修補,各類 Apple 產品用戶,均應立即將作業系統更新至最新版本,以避免裝置因含有上述資安漏洞,因而曝露於高度駭侵攻擊風險之中。

CVE編號:CVE-2022-22587、CVE-2022-22594
影響產品(版本): iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 2 與後續機種、iPad 第 5 代與後續機種、iPad mini 4 與後續機種、iPod Touch 第七代、執行 macOS Monterey 的所有 Mac 機種。
解決方案:更新至 iOS、iPadOS 15.3 與後續版本、macOS Monterey 12.2 與後續版本

twcert 發表在 痞客邦 留言(0) 人氣()

加拿大外交部遭駭侵攻擊,部分服務無法運作

加拿大外交部(Global Affairs Canada)日前遭到不明來源的駭侵攻擊,使該部轄下的電腦系統服務遭到阻斷而無法使用。
據加拿大國庫委員會秘書處(Treasury Board of Canada Secretariat)、加拿大共同服務(Shared Services Canada)和加拿大通訊安全局(Communications Security Establishment)聯合指出,在上周某個時間點,加拿大外交部的系統遭到不明攻擊;在展開調查後,確認遭到攻擊的日期為今(2022)年 1 月 19 日。
相關單位指出,雖然加拿大外交部的部分網路服務系統,因遭到攻擊而中斷服務,但該部門的重要系統仍然運作如常。目前正在加緊調查事件原因,並且加快系統修復進度。
加拿大政府指出,這些系統均備有各種針對資安攻擊的監控、偵測與調查工具,可以快速分析攻擊活動並立即處理。
不過,由於調查工作仍在進行之中,加拿大官方並未針對駭侵攻擊事件的原因,以及攻擊來源等資訊提供詳細說明。加拿大國庫委員會秘書處也說,目前除了加拿大外交部外,尚未觀察到有其他加拿大政府機關遭到類似攻擊的跡象。
就在這次駭侵事件發生之前,加拿大資安主管機關 Canadian Centre for Cyber Security 才發布一則資安通報,指出有一個叫做 Wiper 的惡意軟體,正在針對烏克蘭相關公私單位發動攻擊,提醒加拿大所屬相關單位提高警覺。不過目前尚無法證實兩者之間是否直接相關。


twcert 發表在 痞客邦 留言(0) 人氣()

新版 Android 惡意軟體 BRATA 會先竊取手機資訊,接著清空手機

資安廠商 Cleafy 旗下的資安專家,近期發現 Android 惡意軟體 BRATA,最近推出最新版本,不但會竊取更多手機用戶的資訊,還會在竊取資訊後刪除手機內部的資料。
BRATA 的最初版本是由卡巴斯基是在 2019 年發現,當時主要以 WhatsApp 感染巴西的 Android 手機用戶,會竊取用戶手機中的各種資料,包括螢幕擷圖、各種裝置資訊、使用者輸入的內容,還具有串流功能,可以把用戶即時操作一五一十都傳回控制伺服器。
現今傳播的新版 BRATA,主要針對英國、波蘭、義大利、西班牙、中國與拉丁美洲諸國的手機用戶,竊取其裝置內的行動金融服務資訊;不同的變種病毒鎖定不同金融服務,甚至潛藏於不同的 app 中,針對特定用戶進行攻擊。
報告也說,這個版本的 BRATA 甚至會先掃瞄用戶手機中安裝的防毒防駭軟體,並加以刪除或停用,再進行資料竊取。
另一家資安廠商 Cleafy 旗下的資安研究人員,則發現新版 BRATA 可以取得手機的即時 GPS 地理座標資訊,換言之可用以追蹤受害用戶的移動軌跡。
Cleafy 也指出,BRATA 在成功入侵並竊得資料,或是發現自己是在虛擬環境中執行時,會將手機恢復到出廠設定;因此受害者手機中的所有資料,都會全部遭到刪除清空。
資安專家指出,避免受到這類惡意軟體感染的最佳方式,就是不安裝不明來源的 APK 檔案;只在具有較佳保護的應用程式商店,如 Google Play Store 安裝手機軟體,並在執行前先以防毒工具掃瞄。


twcert 發表在 痞客邦 留言(0) 人氣()

荷蘭資安主管機關警示,仍應提防 Log4j 漏洞資安風險

荷蘭資安主管機關 Nationaal Cyber Security Centrum (NCSC) 日前發出資安警訊,指出目前該機構仍偵測到許多利用 Log4j 漏洞進行的資安攻擊活動,各界仍需提高警覺。
NCSC 官員指出,雖然在去年年底發現 Log4j 漏洞及其嚴重威脅後,已有許多公私單位針對該漏洞進行防護與修補,但駭侵者仍然積極針對尚未採取行動的目標發動各種攻擊活動。
官員說,可以預期這些惡意分子,仍在大規模掃瞄任何可以發動攻擊的目標,並且發動攻擊。
NCSC 指出,該單位仍強烈建議所有公私單位,仔細檢查使用中的系統,是否仍然存有 Log4j 相關漏洞,並且立即進行修補。
此外,NCSC 也呼籲各單位仍應密切注意 Log4j 相關漏洞與攻擊情報,並仔細評估一旦遭到攻擊時,對其營業活動可能造成的衝擊程度,並預做準備,超前布署。
資安專家表示,荷蘭 NCSC 的呼籲相當適時,因為微軟在 1 月 19 日才發表資安情資,指出有一大型機構遭某驗侵團體,試圖以 SolarWinds Serv-U 的 0-day 漏洞侵入該單位的 LDAP 伺服器,並且利用 Log4j 漏洞發動攻擊;但由於該單位的 LDAP 伺服器並不存有 Log4j 漏洞,因此並未得逞。
此外,微軟與英國健保署(NHS)也曾在一周前分別發布同類事件的資安通報,指出有疑似 DEV-0401 駭侵團體,針對網路上的 VMware Horizon 伺服器的 Log4kj 漏洞,發動 Night Sky 勒贖攻擊。


twcert 發表在 痞客邦 留言(0) 人氣()

Crypto.com 證實 483 名用戶加密貨幣資金遭不當存取,損失達 3,400 萬美元

全球第四大加密貨幣交易所 Crypto.com,日前於官方部落格中發文證實,日前發生的駭侵事件中,共有 483 位用戶的數位錢包遭外力不當存取,損失達 3,400 萬美元,但已全數補回用戶帳戶內。
Crypto.com 執行長 Kris Marszalek 在接受 Bloomberg 專訪時承認,約有 400 名用戶的帳戶發生異常提領事件;隨後該公司在官方部落格中貼文說明,指出確切的受害用戶有 483 名,被竊資金分別有 4,836.26 枚以太幣(約合 15,132,516 美元)、443.93 枚比特幣(合 18,613,360 美元),以及其他加密貨幣約 66,200 美元,總計損失高達 33,812,346 美元。
在 Crypto.com 提出的報告中指出,不當存取事件發生於今(2022)年 1 月 17 日世界標準時間上午 12:46 分左右,當時該公司的資安監控系統偵測到一部分用戶的帳戶,出現未經授權的活動;這些用戶的資金未經過二階段登入驗證就被轉出。

Crypto.com 表示,在發現異常活動後,該公司立即暫停所有用戶的提領權限,時間共計約 14 小時,在當天世界標準時間 17:46 恢復提款作業。
Crypto.com 在聲明中指出,該公司於事件發生後,立即導入加強資安措施,除了重置所有用戶的二階段登入驗證設定,用戶必須重新設定新的二階段登入驗證之外,也對新註冊帳戶的新增轉帳地址設定與首次轉帳設定 24 小時延遲,以避免發生攻擊事件時資金立即遭竊,並爭取調查所需時間。
該公司也強調,在這次事件中,所有受害用戶的資金都已補回,用戶沒有實質損失,但該公司並未透露這次攻擊事件的其他細節,例如攻擊者、攻擊手法等資訊。

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商發現多起間諜軟體攻擊,針對大型製造業竊取各種登入資訊

資安廠商卡巴斯基,近日發現最近多起針對製造業發動的間諜軟體駭侵攻擊;這些攻擊者意圖竊取各種登入資訊,用於進一步的駭侵攻擊,或是售出牟利。
卡巴斯基說,近來這些攻擊的特徵,是使用各種現成的間諜軟體工具,例如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等,來進行短時間的攻擊,以避免遭到發現。
卡巴斯基將這類攻擊稱為「anomalous」,以與一般較長期的攻擊活動區別;據其觀察報告指出,這波攻擊每次的持續時間,約為 25 日左右,而一般典型的間諜軟體駭侵攻擊,多半持續數月到數年之久。
報告也說,這波攻擊與其他間諜軟體的攻擊,有一個很大的不同,就是選擇使用 SMTP 而非 HTTPS,作為惡意軟體與控制伺服器連線的通訊協定。卡巴斯基說,採用 SMTP 是很特別的選擇,因為 SMTP 僅能進行單向傳輸,也只能傳送文字檔,無法傳送其他型態的二進位或非文字檔。但是 SMTP 可以輕易混在一般網路傳輸流量之中,不易遭到發現,而且使用簡便。
在駭侵技術分析中,卡巴斯基表示,駭侵者使用魚叉式釣魚攻擊,先竊得登入資訊,再以該登入資訊進一步入侵企業內網,而且駭侵者會將先前駭入企業的 Email 信箱,當做是控制伺服器使用,以發動新攻擊,這樣可以有效避免企業防毒防駭系統的偵測。
卡巴斯基的報告也指出,觀察到的製造業受害者相當多,約有 2,000 個企業 Email 帳號被當做控制伺服器;竊得的資訊也被放到暗上待價而沽,其中包括許多 Email RDP、SMTP、SSH、cPanel、VPN 帳號登入資訊。


twcert 發表在 痞客邦 留言(0) 人氣()

Blog Stats
⚠️

成人內容提醒

本部落格內容僅限年滿十八歲者瀏覽。
若您未滿十八歲,請立即離開。

已滿十八歲者,亦請勿將內容提供給未成年人士。