資安廠商趨勢科技 (Trend Micro) 日前發表研究表告,指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞,可能造成駭侵者藉以遠端執行任意程式碼,或竊取設備上的機敏資訊。
該公司在發現這批漏洞的 2023 年 9 月初,就立即向 Microsoft 通報這批 0-day 漏洞,這 4 個 0-day 漏洞目前暫無 CVE 編號,但有 Trend Micro 自有的編號 ZDI,分列如下:
- 11月 17 週五 202316:00
Microsoft Exchange 新發現 4 個可導致 RCE 與資料竊取的 0-day 漏洞
資安廠商趨勢科技 (Trend Micro) 日前發表研究表告,指出該公司發現 4 個存於 Microsoft Exchange 的 0-day 漏洞,可能造成駭侵者藉以遠端執行任意程式碼,或竊取設備上的機敏資訊。
該公司在發現這批漏洞的 2023 年 9 月初,就立即向 Microsoft 通報這批 0-day 漏洞,這 4 個 0-day 漏洞目前暫無 CVE 編號,但有 Trend Micro 自有的編號 ZDI,分列如下:
- 11月 17 週五 202315:57
Mozi 僵屍網路因不明原因全面停擺
資安廠商 ESET 日前發表研究報告指出,一個名為 Mozi 的惡意軟體僵屍網路,在今年 8 月時突然大幅減少惡意攻擊活動;在 9 月底時更有一不明酬載上傳,因而全面停擺。
Mozi 是一個知名的分散式阻斷服務攻擊(Distributed Denial of Service, DDoS)惡意軟體僵屍網路,2019 年開始其攻擊行動,主要攻擊目標是各種 IoT 裝置,例如網路路由器、數位攝影機等各種聯網裝置。
Mozi 的典型進攻方式,是利用各種 IoT 設備的資安弱點,例如使用預設登入帳號密碼、未經修補的已知資安漏洞等等,來植入惡意軟體,使裝置成為點對點(peer to peer)僵屍網路的節點之一,再透過 BitTorrent 的 DHT 協定來協同,對特定目標發動 DDoS 攻擊用封包。
據 ESET 的報告指出,Mozi 的活動於 2023 年 8 月 8 日起開始大幅減少,首先是停止了其在印度的所有攻擊活動,之後於 8 月 16 日也停止了在中國的所有攻擊活動;最後在 9 月 27 日時,有一個 UDP 訊息發送給所有的 Mozi 僵屍網路節點,要求節點透過 HTTP 下載一個更新檔,結果造成整個 Mozi 惡意軟體活動的全面停止。
該更新檔甚至也停用了部分受植入裝置的系統服務、阻擋部分連接埠等。
ESET 分析該更新檔後指出,更新檔雖然停止了 Mozi 的攻擊活動,但並沒有完全刪除該惡意軟體,而且遭感染的裝置仍可對遠端伺服器執行 ping,以確認裝置中的 Mozi 惡意軟體仍可接受操控;這表示本次停止活動是受到刻意監控下進行的。
建議各種 IoT 設備的使用者與管理人員,應在有資安更新可用時立即套用更新,並且避免使用預設登入帳號密碼;未使用的連接埠也應全面關閉。
- 11月 17 週五 202315:50
全球 40 國將共同簽署協定,共同拒付勒贖贖金
全球 40 國將於華盛頓召開的第三屆國際反勒贖大會(International Counter-Ransomware Initiative Summit)上簽署協定,共同拒付贖金給勒贖團體,以扼止日益猖獗的勒贖攻擊。
本次大會將於 2023 年 10 月 31 日起在華盛頓舉辦,共有全球共 48 個國家與會,包括歐盟與國際刑警組織 (INTERPOL) 在內。會中將聚焦討論如何阻擋勒贖團體的資金流向,並發展出全球共同合作的架構,以阻擋勒贖團體資金的跨境流動。
- 11月 17 週五 202315:46
LastPass 遭竊資訊導致 440 萬美元加密貨幣被盜
區塊鏈專家 ZachXBT 與區塊鏈錢包 MetaMask 的開發者 Taylor Monahan,近期發現日前密碼儲存工具服務 LastPass 於 2022 年發生駭侵事件中外洩的資訊,疑已遭駭侵者用以竊取受害者的加密貨幣資產,損失達 440 萬美元。
該起加密貨幣竊案發生於 2023 年 10 月 25 日,共有 25 名受害者,其加密貨幣錢包中合計約 440 萬美元的各種加密貨幣資產,同時遭駭侵者盜領一空。
ZachXBT 指近期頻繁接獲用戶回報,表示自己的加密資產遭到竊取;在深入追蹤多個案例後,發現這些受害者的共同點,就是都使用了 LastPass 服務。
ZachXBT 表示,如果使用者將自己加密貨幣錢包的復原短語或密碼存在 LastPass 中,而又未曾於 LastPass 遭駭後更改復原短語與密碼,錢包內的數位資產就極可能在一瞬間遭到駭侵者盜領一空。
LastPass 是一個使用者眾多的密碼儲存管理服務,在 2022 年曾兩度發生駭侵事件,當時該服務的程式原始碼、顧客資料、經過加密的使用者儲存密碼、正式版網站備份等資訊都遭到駭侵者竊取。
LastPass 當時指出,雖然使用者儲存在該服務的密碼資訊經過加密儲存,且只有使用者本人擁有可解密的密碼,但如果使用者密碼本身強度不足,或使用與其他服務相同的密碼,就還是有被駭侵者破解的高度風險。
ZachXBT 指出,現在既然已經發生 LastPass 使用者加密資產遭竊的案例,即表示駭侵者已有能力破解經加密的使用者密碼。加密貨幣投資人應立即把資金撤回冷錢包,並且立即修改熱錢包的密碼或復原短語。
建議加密貨幣投資人應避免將錢包復原短語或密碼存於線上密碼管理平台,資金最好存在離線的冷錢包內,如需存於線上熱錢包,應經常修改熱錢包的密碼或復原短語。
- 11月 16 週四 202313:43
近期偽冒旅遊訂房網站業者發送之詐騙訊息
大型旅遊訂房網站 Booking.com 近日在全球各地都傳出遭駭侵者發動詐騙攻擊的事件,許多客戶在訂房後收到詐騙信件或訊息,然後被導至釣魚網站,導致個人與付款相關資訊遭竊。
據新加坡媒體報導,自今年 1 月起至少已有 30 名受害者,遭詐騙的總額達 41,000 新幣;而在英國、愛爾蘭、紐西蘭、日本、台灣等多國有使用者受害。媒體指出,旅客在 Booking.com 上預訂房間後,會收到由該網站的 App 內聊天室發出的訊息,或以該站網域署名的 email,內容是詐騙者假冒旅館人員,要求消費者在規定時間內「確認」信用卡資訊,否則將取消其訂位。
消費者一旦信以為真,點按了訊息中的釣魚連結,就會被帶到詐騙者設立的假網站,並會被要求輸入個人資訊、銀行帳號或信用卡資訊,以及由金融業者發送的單次有效密碼,隨即其信用卡或帳號就會遭到盜刷或盜領。
資安廠商 Perception Point 指出,駭侵者先利用假稱訂房或社交工程等攻擊手法,入侵各飯店的內部系統後加以控制,因此能取得客戶訂房資訊,也能假冒飯店人員進入其在 Booking.com 的後台,利用 App 內的即時通訊和 email 發送機制,來發送釣魚連結給訂房旅客。
由於訊息是來自 Booking.com 的站內即時通訊或該網域的 email,因此旅客很難在第一時間發現異狀;不過資安專家也表示,駭侵者發送的釣魚連結,並非使用 Booking.com 網域,而是其他試圖魚目混珠的網域,用戶如能仔細觀察,依然可發現異狀。
建議用戶在進行各種電子交易時,對於任何發送給消費者的連結,都必須提高警覺,仔細確認連結所屬網域正確無誤,可大幅降低遭釣魚攻擊的成功機率。
- 10月 31 週二 202315:47
奧地利警方破獲網路電視影片盜播網
奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路,該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開,除了逮捕 20 人之外,也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。
奧地利警方指出,該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務;奧國警方是在接獲德國方面的報案後開始進行調查,終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團,嫌犯全數為土耳其國籍。
警方指出,該盜版集團成員中有負責破解加密電視訊號的內容提供者,也有負責招募訂戶的經銷商;經銷商以一年 50 美元的價格購買盜播網會員資格後,再以一年 200 美元的價格販售給想看盜版電視節目的網友。
警方說,每名經銷商手上約有 300 到 2,500 名訂戶,經銷商雖然會使用 Facebook 廣告進行宣傳,但主要的客戶來源以口耳相傳為主。
警方破獲的設備,包括 35 台用於訊號解碼與 IPTV 廣播的伺服器,以及 55 台電腦、硬碟、智慧型手機等,甚至還包括一台 Audi A7 豪華轎車。
警方說,主要的嫌犯靠盜版生意賺取大筆不法收入,除了擁有多輛豪華轎跑車外,也擁有多筆豪宅、多家公司、俱樂部等。
警方表示遭到逮捕的嫌犯,包括 3 名內容提供者與 15 名經銷商,都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴,尚未落網的嫌犯主要都在德國境內,目前也已掌握其犯罪地點的相關情報。
建議使用網路影音的觀眾,不應安裝來路不明的盜版影音機上盒或加入盜版網站會員,以免同時吃上侵害著作權的官司,面臨鉅額罰款。
- 10月 30 週一 202317:55
資安專家發現 Android 木馬惡意軟體,可盜錄通話內容
資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來,再度展開大規模攻擊,竊取使用者通訊內容中的金融資訊,以竊取受害者帳戶中的資金。
這個名為 SpyNote 的 Android 木馬惡意軟體,首次發現是在 2022 年;據資安廠商的報告指出,這次 SpyNote 仍透過「Smishing」方式感染,即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在,使用者如果點按該連結,並在自己的 Android 手機上安裝該 apk 檔案,就會遭到該惡意軟體的感染。
接下來 SpyNote 會要求使用者給予各種權限,甚至會自己產生點按動作,代替使用者授予全部系統服務存取權限,接著就會在使用者的 Android 手機中建立背景服務,開始將使用者手機中的各項資訊,包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等,並將這些資訊傳送到駭侵者設立的控制伺服器。
此外,如同多種 Android 惡意軟體,SpyNote 也有多種設計以防遭使用者移除;除了隱藏該 App 的 icon,讓使用者難以發現之外,也會利用 Android 的內部系統服務來混淆其存在,使得 SpyNote 極難移除;如想完全移除,使用者只能將 Android 手機重置為出廠狀態。
建議 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案,例如即時通訊、網路討論區、不明人士傳來的簡訊等,以避免遭惡意軟體潛入裝置。
- 10月 30 週一 202317:50
多個 Android 惡意軟體上架 Google Play Store,下載達 200 萬次
資安廠商 Doctor Web 旗下的資安研究人員,近來發現有多個惡意 Android 應用軟體成功上架到官方應用程式商店 Google Play Store 內,假扮成各種遊戲來誤導使用者下載安裝;其總下載安裝次數突破 200 萬次。
研究人員指出,這些 App 內含的多半是 FakeApp、Joker、HiddenAds 的惡意軟體,其中 FakeApp 會將使用者導向投資詐騙網站或是網路賭場、Joker 會擅自訂閱高價服務,騙取訂閱費用分潤,而 HiddenAds 則是廣告惡意軟體,會不斷在使用者手機上顯示大量廣告。
據 Doctor Web 的報告指出,含有 FakeWeb 的惡意 Android 應用軟體,下載次數最多的如下:Eternal Maze (50,000 次)、Jungle Jewels (10,000 次)、Stellar Secrets (10,000 次)、Fire Fruits (10,000 次)、Cowboy’s Frontier (10,000 次)、Enchanted Elixir (10,000 次)。
內含 Joker 的惡意 Android App,下載次數較多的則有:Love Emoji Messenger (50,000 次)、Beauty WallPaper HD (1,000 次)。
內含 HiddenAds 惡意軟體的 Android App 下載次數則遠多於上述二者,包括 Super Skibydi Killer (1,000,000 次)、Agent Shooter (500,000 次)、Rainbow Stretch (50,000 次)、Rubber Punch 3D (500,000 次)。
建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體前,都應提高警覺,仔細閱讀其他使用者評價,再決定是否下載安裝。
- 10月 30 週一 202317:49
詐騙集團利用以巴戰爭人道救援騙取加密貨幣捐款
近日在以巴戰爭造成眾多死傷與破壞時,資安專業媒體 BleepingComputer 的資安專家,發現有多組詐騙者利用各種社群管道發起詐騙募捐,誑騙網友以加密貨幣轉帳並侵吞愛心捐款。
BleepingCoumpter 報導指出,該社的資安專家發現在 X(舊名 Twitter)、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動;駭侵者假冒各種公益慈善團體,要求網友以加密貨幣進行捐款轉帳,以做為戰爭受害者的人道救援之用;但其中有許多錢包位址都並非所宣稱的公益團體所擁有,明顯屬於詐騙。
其中一個假冒為「Gaza Relief Aid」(加薩救援協助)的所謂公益團體,在 Telegram 和 Instagram 上都開設了捐款帳號,並且列出其捐款錢包位址;但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成,且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網,而其「最新消息」中的內容也盜自其他新聞網站,網站中放置了許多來自新聞媒體的戰地照片,且網站中也沒有附上該組織的地址、聯絡資訊等訊息。
據 BleepingComputer 追蹤其接受捐款的三個錢包位址,目前都沒有任何轉帳記錄。
另外,也有詐騙分子假冒為以色列方的人道救援組織,以類似手法企圖騙取愛心捐款;所幸到目前為止均無任何人捐款。
資安廠商 Kaspersky 也指出,該公司的資安研究人員截獲 500 封以上的詐騙電子郵件,同樣以搧動性的文字和圖片,企圖騙取收信人的愛心捐款;且有多個詐騙活動都使用同樣的錢包位址,顯見是同一詐騙集團所為。
建議在網路上進行愛心捐款時,捐款人務必多方查證,確認募款者為真,且募款方提供可查證的資訊,捐款才不致落入詐騙分子手中。
- 10月 30 週一 202317:47
印度發動全國執法行動,查緝網路與加密貨幣詐騙分子
印度中央調查局(Central Bureau of Investigation, CBI)日前指揮多個印度執法單位,同步於全印度 76 個地點展開全國網路犯罪大型查緝活動,以扼止各種網路詐騙活動。
這波大規模查緝的行動代號為 Operation Chakra-II,主要目標是要阻斷各種透過網路進行的金融犯罪集團運作。CBI 會同多個國際、國內執法單位和 Microsoft、Amazon 等跨國科技巨頭,共同展開這次執法行動。
這次展開掃蕩活動的地點多達 76 處,分別位於印度 Tamil Nadu、Pubjab、Bihar、Delhi、West Bengal 等省分;執法人員一共緝獲 32 部行動電話、48 部筆記型電腦與硬碟,以及 33 張 SIM 卡。
據 CBI 指出,這次執行行動也破獲 2 個涉嫌假冒 Microsoft 和 Amazon 客服支援中心的攻擊活動。該攻擊活動已進行長達 5 年以上,受害者多達 2,000 人以上,且分布遍及美國、加拿大、德國、澳洲、西班牙、英國等。
這批駭侵者會利用惡意軟體,在訪客電腦中顯示詐騙支援訊息,謊稱客戶的系統發生問題,需要撥打免費客服專線電話。當受害者撥打該電話後,由駭侵者假冒的客服人員,就會謊稱客戶的電腦系統發生嚴重問題,藉以收取高額維護費用。
根據美國聯邦調查局在 2022 年的網路犯罪調查報告指出,假冒客服人員的詐騙案件,在 2018 年到 2022 年間高居各式網路犯罪的前五大類型之一。單在 2022 年一年之間,這類詐騙造成的財務損失就高達 8 億美元。
建議各公私單位應隨時加強資安防護,如遇疑似詐騙客服,要求高額維修費用,應立即洽詢原廠管道進行確認。
資安宣導 (2)