全球虛擬資幣交易額排行第四的知名加密貨幣交易所 Crypto.com,日前傳出疑似嚴重駭侵事件,初步估計損失金額達 4,600 枚以太幣,以當時價值估計,高達 1,500 萬美元。
Crypto.com 於 1 月 17 日突然宣布「因一小部分用戶帳戶遭到未授權的存取」,因而暫時凍結所有提款服務;該公司同時要求用戶重新登入帳號,並且重置原先的二階段登入驗證。
雖然 Crypto.com 當時強調「所有用戶資金均安全無虞」,但仍有用戶發現自己在 Crypto.com 的錢包中資金被竊;另一方面,Dogecoin「狗狗幣」創辦人 Billy Markus 也指出自己在 Crypto.com 的以太幣錢包「有不明活動」。
另外也有資深加密貨幣投資者表示,自己帳戶內的以太幣被竊走 4.28 枚,損失相當於 15,000 美元;他說他有啟用二階段登入驗噔,因此 Crypto.com 的部分資安防護想必遭到駭侵者的突破。
資安廠商 Peckshield 在深入追究這起事件後,在 Twitter 上發文指出 Crypto.com 的資金損失高達 4,600 枚以太幣,約合 1,500 萬美元;這些損失金額中有一半被匯到 Tornado Cash。
在回應媒體訪問時,Peckshield 強調,目前的數字只是暫時的預估,實際損失一定更加嚴重;不過 Crypto.com 的執行長 Kris Marszalek 表示,所有的用戶資金都沒有任何損失,另外 Crypto.com 交易所也強化了基礎設施的資安防護能力,並積極展開事件調查,將在調查告一段落後對外公開。
也有 Crypto.com 的用戶表示,一度遭竊的帳戶錢包內資金,之後也返回其帳戶之內。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Cybersixgill 旗下的研究人員最近指出,具備端對端加密,匿名且隱密性相當高的 Telegram 通訊軟體,現已成為網路罪犯用以販賣不法金融資料的熱門管道。
由於 Telegram 目前全球用戶高達五億,再加上平台或聊天頻道的管理多半較為鬆散,只會刪除極端主義者的言論,因此近來成為資安犯罪分子用來販賣竊得金融資訊的熱門入口。
專家說,架設一個用來販賣資料的暗網網站,比起在 Telegram 設立群組的難度要高很多,觸及潛在用戶的能力也比較差,因此在 Telegram 上比較容易快速找到願意出錢購買不法金融資訊的買家。
再者,Telegram 群組在銷售完成後可以輕易放棄或刪除,比起暗網網站的處理上要方便不少,也能讓這類不法交易更不容易遭到追蹤,交易更加安全,因而大行其道。
Cybersixgill 的專家,在 Telegram 分析各種和金融資料或洗錢相關的關鍵字,發現 PayPal 帳號是在各種遭竊金融資訊中占比最高的一㮔,接下來依序是大通銀行(Chase)、西聯匯款(Western Union)、富國銀行(Wells Fargo)、花旗銀行(CITI)、美國銀行(Bank of America)、美國運通(American Express)、匯豐銀行(HSBC)、VISA、MasterCard 等金融服務的信用卡/帳戶資訊。
專家指出,PayPal 最受這些人頭帳戶買家的青睞,是因為相較於其他銀行或匯款服務來說,PayPal 用來購買一些不易追蹤的貨幣用以進行洗錢,是較為方便的。
另外,透過 Telegram 販賣的金融資訊中,信用卡資訊的比例依然很高,特別是附有 CVV/CVV2 驗證碼的資訊更為搶手,每張信用卡的價格可以從 10 美元到 1500 美元之譜。
twcert 發表在
痞客邦
留言(0)
人氣()
總部位於德國的大型跨國國防工業製造廠 Hensoldt,在英國的數個旗下事業單位的電腦系統,日前遭到勒贖軟體 Lorenz 的攻擊。
該公司專門生產各種軍用、航太、安全等應用領域的各型感測器;也是美軍各種武器系統的合約生產製造商。該公司生產的雷達陣列、航空電子設備、雷射測距儀等各種裝置,廣泛搭載於美國陸軍、海軍陸戰隊、國民兵等單位使用的各型戰車、船艦、直升機等武器系統之上。
該公司發言人於 1 月 12 日 對資安媒體 BleepingComuter 證實,其設於英國的附屬單位電腦系統遭到 Lorenz 勒贖軟體駭入,但未透露關於這起駭侵事件進一步的資訊。
資安專家表示,Lorenz 駭侵團體設於暗網上,專門用以公開竊得資訊的「勒贖官網」,已將 Hensoldt 列入「已成功駭入」名單之中,且標示為「已支付贖款」;這表示該公司或其他人已經按照勒贖不法分子的要求支付不明數額的贖金,以避免該公司的各種攸關多國國防機密的相關資料遭到公開。
不過,Lorenz 已在其暗網中的「勒贖官網」中列出許多疑似竊取自 Hensoldt 的資料加密壓縮檔;該組織聲稱已經上傳近 95% 自 Hensoldt 竊得的檔案。
據資安專家表示,Lorenz 與其他勒贖駭侵組織類似,都會以公布竊取資料作為要脅,以提高收到贖金的比例;而 Lorenz 要求的贖金相當高,約在 50 萬美元到 70 萬美元之間。
資安專家說,Lorenz 勒贖團體是從去(2021)年 4 月時開始活躍,針對全世界大型公司進行勒贖活動,已有多家大小規模不等的公司受害。
twcert 發表在
痞客邦
留言(0)
人氣()
去年曾針對台灣網路儲存大廠 QNAP 各型網路儲存裝(Network Attached Storage, NAS) 裝置,發動大規模攻擊的 Qlocker 勒贖軟體,近期據報又開始進行世界性的攻擊。
據資安專業媒體 BleepingComputer 報導指出,該媒體是在今(2022)年 1 月 6 日起觀測到 Qlocker 再次開始攻擊行為;受到攻擊的 QNAP NAS 裝置,如同去年的攻擊行動,裝置內儲存的檔案,會遭到駭侵者以 .7z 壓縮軟體加密壓縮,且每個資料夾內都會被新增一個 !!!READ_ME.txt 勒贖信檔案,表示受害者所有的檔案均已遭加密。
勒贖信中也要脅,受害者若不到指定的 Tor 暗網網址 gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion 中,依指示支付 0.02 到 0.03 枚比特幣的贖金,就無法取得解密用的密碼。
BleepingComputer 統計指出,去年 Qlocker 發動的攻擊中,一個月內就取得超過 35 萬美元的不法獲利;當時的贖款是 0.01 比特幣,依當時幣價約為 500 美元。
據 QNAP 針對 Qlocker 新攻勢發布的資安通報指出,未感染的用戶,應立即使用內建的 Security Conselor 檢查 NAS 裝置是否曝露於外網,如檢查結果出現「The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」的文字,表示該裝置可由外網直接透過未加密的 http 連線連入,風險較高,應儘速依該通報指示,關閉路由器的 Port Forwarding 功能,關閉對外的 Port 80 與 443,並且關閉 NAS 的 UPnP 功能,並升級至最新版作業系統與應用程式,以避免外網直接連入。QNAP 也提醒用戶,QNAP 確認惡意程式使用近期已修補的漏洞進行攻擊,建議各位用戶盡快進行更新。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 近日推出針對所謂「doorLock」DoS (Denial of Service,即服務阻斷攻擊)漏洞的資安更新;該漏洞可能導致用戶的 iPhone 與 iPad 無法使用,用戶應立即更新。
該漏洞的 CVE 編號為 CVE-2022-22588,存於 iOS、iPadOS 14.7 與之後版本的 HomeKit 智慧家庭延伸核心組件之中。資安專家先前發現,攻擊者可利用這個漏洞,以特製(超過 50 萬字元)的 HomeKit 智慧裝置名稱誘發漏洞,造成服務阻斷效果,使得用戶的 iPhone 與 iPad 陷入無法使用的狀態。
遭此攻擊的 iPhone 和 iPad ,即使重新開機,只要一登入用戶的 iCloud 帳號,就會再次載入惡意 HomeKit 裝置的資訊,再次造成當機。用戶設備必須完全重置為出廠狀態,並刪除機內所有資料與設定,才能恢復正常;如果用戶沒有備份資料,就會遭到資料滅失的損害。HomeKit 是 Apple 推出的智慧家庭框架,可讓 iOS、iPadOS 用戶發現、連接並使用各種家用聯網智慧裝置。
受此漏洞影響的 iOS 與 iPadOS 裝置,包括 iPhone 6s 與後續機種、iPad Pro 全機種、iPad Air 第 2 代與後續機種、iPad 第 5 代與後續機種、iPad mini 第 4 代與後續機種,以及 iPod Touch(第 7 代)。
Apple 於新推出的 iOS 15.2.1 與 iPadOS 15.2.1 中修復這個漏洞,用戶應立即更新,以避免裝置遭駭侵者利用此漏洞發動攻擊而無法使用。
twcert 發表在
痞客邦
留言(0)
人氣()
俄羅斯資安廠商 Kaspersky 旗下的研究人員,日前發現駭侵團體 BlueNoroff,近來針對世界各國的加密貨幣相關新創發動攻擊,竊取其加密貨幣資產。
Kaspersky 發現,BlueNoroff 的攻擊手法,是先設法入侵受害目標企業的人員通訊之中,以社交工程的手法,誘使目標下載含有惡意程式碼的檔案;該檔案中的惡意程式碼,會利用一個十分老舊的遠端遙控指令漏洞 CVE-2017-1099,來植入第一階段的惡意程式碼,之後駭侵者會再寄送一個假冒需以密碼開啟的檔案給受害者,內含第二階段的惡意程式碼,以在受害者電腦中植入後門。
Kaspersky 說,BlueNoroff 會先以數周時間觀察受害者的使用行為,並且收集用戶電腦上和加密貨幣相關的各種設定檔,以及觀察期間中的按鍵記錄,找出可趁之機。之後再以植入電腦中的惡意程式碼,替換掉如 MetaMask 這類瀏覽器外掛加密貨幣錢包的核心程式碼,以竊取受害者的加密貨幣資產。
BlueNoroff 的駭侵者,會假冒成許多知名加密貨幣相關企業的人員或合作伙伴,並且使用這些企業的商標,以降低目標對象的戒心。
Kaspersky 說,遭到 BlueNoroff 攻擊的加密貨幣新創公司受害者遍布世界各國,包括美國、俄羅斯、中國、印度、英國、烏克蘭、波蘭、捷克、阿拉伯聯合大公國、新加坡、愛沙尼亞、越南、馬爾他、德國、香港等。
資安專家表示,BlueNoroff 雖然過去就曾有多年活動記錄,但外界對其了解甚少;在這次攻擊活動中有明確跡象顯示,該駭侵團體極可能為 APT 團體 Lazarus 的外圍組織。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟公司日前推出例行資安更新的 2022 年一月「Patch Tuesday」資安修補包,一共修復多達 97 個漏洞,其中更有 6 個 0-day 漏洞;資安專家呼籲微軟各種產品用戶應立即更新。
在這 97 個得到更新的漏洞中,有 9 個列為「嚴重」等級,另有 88 個列為「重要等級」;依其屬性列表如下:41 個漏洞屬於執行權限提升漏洞;9 個漏洞屬於跳過資安防護功能漏洞;29 個遠端執行任意程式碼漏洞;6 個資訊外洩漏洞;9 個服務阻斷漏洞;3 個詐騙假冒漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 SentinelOne 旗下的資安專家,近日發現包括 Netgear、TP-Link、Tenda、Western Digital、D-Link、Edimax 在內的多款家用路由器,內含一個 NetUSB 嚴重資安漏洞,可導致駭侵者用於遠端執行任意程式碼。
該漏洞發生在這些路由器使用的 KCodes NetUSB 核心模組;該功能用於路由器上附帶的 USB 插槽,讓網內用戶可以透過網路共享該 USB 裝置的資源。
SentinelOne 發現,KCodes NetUSB 核心模組的程式碼中,並不會驗證核心記憶體分配呼叫的大小值,因此很容易造成整數溢位錯誤;駭侵者可以利用這個漏洞進行越界資料寫入,並且遠端執行任意程式碼。
SentinelOne 指出,他們發現來自 Netgear、Tenda、Western Digital、D-Link、Edimax 的部分市售暢銷家用路由器,都同樣含有這個漏洞;不過由於這些廠牌推出的路由器款式甚為多樣,且多數都附有 USB 插孔,因此該報告並未明確指出是哪些機種受到 CVE-2021-45388 的影響。
SentinelOne 說,他們在去年 9 月發現此漏洞後,立即向該程式模組開發廠商 KCodes 提報,去年 11 月時 KCodes 將修復漏洞的程式碼提供給各路由器廠商,供其更新產品韌體之用。
在 SentinelOne 對外公開此漏洞前,Netgear 已針對旗下三款路由器產品 D7800、R6400v2、R6700v3 推出含有修復版本的新版韌體。
資安專家呼籲上述廠牌家用路由器用戶,務必經常注意並更新至最新版韌體;未來若有必要更換產品時,也盡可能選擇更新頻繁,且支援周期較長的產品與品牌。CVE編號:CVE-2021-45388影響產品: Netgear、Tenda、Western Digital、D-Link、Edimax 附有 USB 插孔的部分市售暢銷家用路由器(機種不明)解決方案:多數廠牌暫無,用戶應隨時升級至最新版韌體
twcert 發表在
痞客邦
留言(0)
人氣()
網路基礎建設廠商 Cloudflare 日前發表研究報告,指出去年(2021)發生的附帶勒贖條件的分散式服務阻斷攻擊(Extortion Distributed Denial of Service),不論在次數或強度上,都較往年明顯增加許多。
Cloudflare 指出,在去年第四季,約有 22% 的 Cloudflare 用戶曾遭到附帶勒贖要求的 DDoS 攻擊;駭侵者要求受害者必須支付要求的贖款,否則不會停止 DDoS 攻擊行動。而在前三季,該公司客戶遭到勒贖 DDoS 攻擊的比例,分別為 14%、9%、8%。
如果以月份來統計,Cloudflare 的報告中指出,去年 12 月該公司客戶遭到勒贖 DDoS 攻擊的比例高達 32%,比前一個月成長了一倍,也是全年發生次數最高的一個月。
Cloudflare 的報告也說,和 2020 年相比,2021 年的勒贖攻擊發生次數,也成長了 29%,同季比則大增了 175%。
在攻擊強度方面,Cloudflare 的報告指出,在二月時多半為 200Gbps,到了九月中則加強到 500Gbps;另一家網路基礎設施業者 Akamai 也曾觀測到強度高度 800Gbps 的 DDoS 攻擊。CloudFlare 更曾觀測到強度高度 2Tbps 的攻擊。
Cloudflare 也說,製造業是去年 HTTP DDoS 攻擊受害最嚴重的業類,去年第四季和第三季相比,製造業遭攻擊的次數增到 641%。
如以攻擊事件發生地來看,這類 DDoS 攻擊來源最多的國家依序為中國、美國、巴西、印度。
twcert 發表在
痞客邦
留言(0)
人氣()
WordPress 開發團隊近日推出最新的 WordPress 5.8.3 版本,一共修復四個漏洞,其中有三個的危險評分較高,請用戶立即更新至最新版本。
得到更新的四個 WordPress 資安漏洞如下:CVE-2022-21661:本漏洞屬於 SQL 指令注入漏洞,駭侵者可透過惡意外掛程式或佈景主題,利用 WP-Query 來注入惡意指令;本漏洞的 CVSS 危險程度評分高達 8 分(滿分為 10 分)。 CVE-2022-21662:本漏洞屬於 XSS 跨站指令碼漏洞,低權限的用戶(如文章作者)可以在文章網址代稱(post slug) 欄位中植入惡意後門程式碼,取得網站控制權;本漏洞的 CVSS 危險程度評分高達 8 分。 CVE-2022-21664:本漏洞屬於 SQL 指令注入漏洞,駭侵者可透過 WP_Meta_Query 核心類別來注入惡意程式碼;本漏洞的 CVSS 危險程度評分高達 7.4 分。 CVE-2022-21663:本漏洞屬於物件注入漏洞,駭侵者必須先取得管理者帳號權限,才能利用此漏洞發動攻擊,因此本漏洞的 CVSS 危險程度評分較低,為 6.6 分。
twcert 發表在
痞客邦
留言(0)
人氣()
瑞士軍方日前發布公告,宣布禁止官兵使用外國製作的即時通訊軟體,如 Signal、Telegram、WhatsApp 等,並要求官兵使用瑞士自製的 Threema 作為替代。
瑞士軍方指出,經過審慎的資安評估作業後,作出這項禁用各種外國即時通訊軟體的決定;軍方表示,Threema 不含廣告,且支援端對端加密通訊,安全程度較高,且不會留下任何數位足跡。
由於 Threema 是付費訂閱制服務,瑞士軍方也表示將為全體官兵支付 Threema 的使用費,單一使用者的年費約當 4.4 美元。
資安專家指出,雖然包括 WhatsApp、iMessage、LINE、Signal、Telegram、Facebook Messenger 等知名即時通訊軟體,均有支援端對端加密,但平台仍可能會留存用戶與通訊相關的後設資料(metadata);而這些資料有可能遭各國政府要求取得。
不同的通訊軟體保留的後設資料不同,有些可能只有用戶註冊日期,但有些可能會包括用戶的 IP 位址、Email 地址、電話號碼,甚至部分通訊內容在內。
另外,雖然有些通訊軟體本身是開源的,但其伺服器端的程式碼仍然不透明,因此仍可能有未知的資訊洩漏風險。
瑞士軍方指出,Threema 的註冊除了不需要手機門號或 Email 地址之外,更重要的是它不受美國雲端服務法的規範,因此美國政府無法要求取得 Threema 的任何資訊,資安專家認為這可能才是瑞士軍方選擇 Threema 的主因。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 ZecOps 旗下的資安專家,近來發現一種特殊方法,可以在不知不覺間啟用 iPhone 的照相機和麥克風,進行惡意盜錄與監控;甚至還可誤導用戶誤以為 iOS 裝置已關機,實際上繼續進行暗中監控。
ZecOps 的資安專家發展出的概念證實實作(Proof of Concept, PoC)特洛依木馬程式,證實了惡意軟體可以在用戶嘗試關機以結束惡意軟體運作時,攔截用戶的關機動作(同時按下休眠與音量放大按鈕),播放一段以假亂真的關機動畫,讓用戶誤以為手機已關機,實際上照相鏡頭與麥克風仍在暗中運作,而且不會顯示任何 iOS 作業系統預設的相機/麥克風運作中警示。
另外,這個概念證實程式也能透過各種方式,阻止用戶深度重置手機,讓惡意程式本身可以持續執行,而用戶也會誤以為手機已經關機並重置。
而當用戶進行手機開機動作時,該木馬也會顯示假冒的開機流程動畫,讓用戶誤以為手機已經重新開機;事實上用戶手機從來沒有真正進入關機模式,因此惡意軟體得以持續進行影像與聲音的暗中監控。
資安專家指出,Apple 於 iOS 15 推出的手機尋找功能,讓 iPhone 即使處在關機狀態下,藍牙晶片也還是處在低功率運作狀態下,因此才能回應來自網路或其他方式的搜尋需求,包括發出聲音、傳送所在地資訊等。
twcert 發表在
痞客邦
留言(0)
人氣()
