日本最大電化製品製造廠 Panasonic,日前發表資安通報,表示該公司發現長期遭到不明駭侵者入侵,造成部分資料可能遭竊。
日本最大電化製品製造廠 Panasonic,於 11 月 26 日發表資安通報,表示該公司發現內部網路系統長期遭到不明駭侵者入侵,造成部分資料可能遭竊。
據 Panasonic 發表的簡單聲明指出,該公司是在 11 月 11 日發現社內部網路遭到不明第三方的不當存取,隨即採取補救措施,阻止不明駭侵者進一步存取該公司內部網路資源;該公司也立即展開內部調查作業,並且向相關主管機關通報相關駭侵事件。
聲明中沒有具體說明這次駭侵事件的細節,該公司僅表示已配合外部資安廠商與專家,會同進行調查,以了解駭侵事件造成的實際損害,以及是否有危及社會基礎設施的情形。
根據日本放送協會(Nippon Housou Kyokai, NHK)報導指出,Panasonic 公司內部伺服器遭外界不當存取,是從 2021 年 6 月 22 日到 11 月 3 日之間多次發生,目前還無法確認是否有與社內工作人員或顧客,甚至是產品企畫、研發、製造、販售等相關機密資料遭竊。
報導也說,Panasonic 是以自行開發的技術來保護資料安全,目前正在會同資安專家調查損害情形,若有進一步的訊息,將會儘速向外界說明。
日本多家大型製造業者,近年來飽受各種駭侵攻擊之苦;包括川崎重工、日本電氣(NEC)、三菱電機、神戶製鋼、Pasco、Olympus 等企業,都曾遭到駭侵攻擊或勒贖攻擊,往往造成其日本本社與世界各國分社、工廠被迫停止作業。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現有駭侵者透過一個名為 KMSpico 的惡意軟體,意圖竊取 Windows 用戶電腦中的加密貨幣資產。
資安廠商 Red Canary 旗下的資安專家,最近發現有駭侵者透過一個名為 KMSpico 的惡意軟體發動大規模攻擊,意圖竊取 Windows 用戶電腦中的加密貨幣資產。
Red Canary 的資安專家指出,KMSpico 入侵 Windows 電腦的方式,是透過破解 Microsoft Windows 與 Office 的授權保護,讓用戶可以免費使用盜版的 Windows 和 Office,以此引誘用戶安裝執行 KMSpico。這種軟體即為俗稱的「註冊機」。
Red Canary 說,他們觀察到不少公司的 IT 人員,不願意購買足額的 Windows 與 Office 授權,反而利用 KMSpico 來非法啟用 Windows 與 Office 給企業內部員工,造成該惡意軟體的大量散布。
KMSpico 主要功能是破解各種軟體的啟動授權限制,但同時夾帶各種廣告軟體或惡意軟體,安裝到想使用盜版軟體的用戶 Windows 電腦中。若用「KMSpico」為關鍵字進行 Google 搜尋,就會看到許多相關連結,都試圖裝扮成 KMSpico 的官方網站,引誘用戶點按下載。
在這次 Red Canary 發現的案例中,駭侵者將加密貨幣相關惡意軟體 Crtpybot 利用 CypherIT 包裝得十分嚴密,再加入 KMSpico 的酬載中,以致多數掃毒軟體不易掃出;接著再執行一段同樣防護嚴密,能在偵測到防毒沙盒環境時自動停止執行的程式碼,以安裝 CryptBot。
用戶的 Windows 一旦感染 CryptBot,該惡意程式就會自各種瀏覽器和加密貨幣錢包中收集用戶的機敏資訊與加密資產資訊,並且自加密貨幣錢包中竊走加密資產。
資安專家表示,個人與公司行號都不應貪圖盜版的小利,使用這類破解工具,反而引狼入室,造成更大的損失。
twcert 發表在
痞客邦
留言(0)
人氣()
一個近期發現,可讓駭侵者用以提升本地端執行權限的 Windows 10 0-day 漏洞,得到非官方的修補方案;Windows 用戶可套用此解決方案,以暫時避免遭駭侵者以此漏洞發動攻擊。
一個近期發現,可讓駭侵者用以提升本地端執行權限的 Windows 10 0-day 漏洞 CVE-2021-24084,在最近得到非官方的修補方案;Windows 用戶可套用此解決方案,以暫時避免遭駭侵者以此漏洞發動攻擊。
這個編號為 CVE-2021-24084 的 0-day 漏洞,發生在 Windows 10 版本 1890 與其後版本的「行動裝置管理服務」( Mobile Device Management Service)子系統內。先前微軟已經於本年二月推出資安修補軟體,但最近資安專家 Abdelhamid Naceri 於六月時發表研究報告,指出微軟推出的修補工具,並不能完全解決此問題,駭侵者仍可利用其他方式跳過安全修補,將自己的本地端執行權限提升到管理員等級。
雖然微軟在六月時就接獲相關通報,但直到最新的 2021 年 11 月 Patch Tuesday 資安修補包中,仍然未能就此漏洞進行完整修補。
不過,一個名為 0patch micropatching service 的非官方組織,日前針對這個 0-day 漏洞推出了非正式版的修補程式,適用於以下 Windows 10 版本:Windows 10 v21 H1 (32 與 64 位元版);Windows 10 v20 H2 (32 與 64 位元版);Windows 10 v2004 (32 與 64 位元版);Windows 10 v1909 (32 與 64 位元版);Windows 10 v1903 (32 與 64 位元版);Windows 10 v1809 (32 與 64 位元版)。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家指出,近期新發現一個駭侵團體,利用 Windows 系統已知的一個 MSHTML 解析漏洞,針對全球對象發動攻擊,竊取其 Google 與 Instagram 的登入資訊。
資安廠商 SafeBreach Labs 旗下的研究人員,日前發布資安通報指出,近期新發現一個可能主要來自伊朗的駭侵團體,利用 Windows 系統已知的一個 MSHTML 解析漏洞,針對全球對象發動攻擊,竊取其 Google 與 Instagram 的登入資訊。
SafeBreach Labs 指出,該駭侵團體主要的攻擊手法,是利用魚叉式釣魚信件散布含有惡意程式碼的 Word 文件檔案,該文件檔案中的巨集程式碼,會利用一個 MSHTML 遠端執行任意程式碼漏洞 CVE-2021-40444 安裝惡意程式碼,並且透過植入的 PowerShell 指令檔收集受害者電腦中的各種機敏資訊,包括儲存資料與螢幕畫面等,送到駭侵者的控制伺服器中。
SafeBreach Labs 說,詃公司觀察到的攻擊活動,是從 2021 年七月開始發動,攻擊目標遍及全球各地;目前以美國的受害者最多,佔比達 45.8%,其次是荷蘭(12.5%)、俄羅斯、加拿大、德國(同為 8.3%)、中國、韓國、英國、印度(同 為 4.2%)。
SafeBreach Labs 的研究人員表示,釣魚信件夾帶的 Word 文件,其內容是以波斯文指控伊朗政府高層造成「肺炎疫情大屠殺」;推測這波攻擊的目標,多以旅居海外,且可能被伊朗政府視為國安威脅分子的伊朗人為主。
資安專家指出,雖然在 CVE-2021-40444 這個漏洞在 2021 年 8 月公開後不到一個月,微軟就推出兩波修補程式,但可能仍有相當數量的 Windows 系統未曾套用更新,導致許多駭侵攻擊活動均透過此漏洞來發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個新的惡意軟體攻擊行動,在社群平台 Discord 展開,目標鎖定 Discord 上廣大討論加密貨幣、去中心化金融、非同質代幣等社群散布名為 Babadeda 的惡意軟體,並且竊取用戶數位錢包中的加密貨幣資產。
資安廠商 Morphisec 旗下的研究人員,日前發現一個新的惡意軟體攻擊行動,在社群平台 Discord 展開;其攻擊目標鎖定 Discord 上眾多討論加密貨幣、去中心化金融(Decentralized Finance, DeFi)、非同質代幣(Non-Fungible Token, NFT)的群組成員,在社群中散布一個名為 Babadeda 的惡意軟體,並且竊取用戶數位錢包中的加密貨幣資產。
據 Morphisec 的報告指出,Babadeda 是一種可將惡意程式碼加密並植入看似無害應用程式安裝器或程式本身的加密工具,進入電腦後,可以進一步安裝各種駭侵用酬載。該公司自 2021 年 5 月起開始發現有駭侵者利用 Babadeda 植入惡意程式碼,並在 Discord 上以加密貨幣為討論主題的相關社群中散布這些惡意軟體。
駭侵者會先在相關討論群組中加入討論,然後發送私訊給群組成員,分享一個好玩的遊戲,但其中就植入了 Babadeda 惡意軟體;也有駭侵者假扮成某些區塊鏈專案的人員,邀請群組成員參與活動;一旦受害者點擊並進入駭侵者架設,以極相似網址設立的釣魚網站,下載安裝植入惡意軟體的遊戲或應用程式,就會感染 Babadeda。
Badadeda 在過去曾經用於在受害者的 Windows 電腦中安裝各種資訊竊取軟體、遠端存取木馬,甚至像是 LockBit 之類的勒贖軟體;不過這波針對加密貨幣社群的攻擊行動,主要酬載的惡意軟體是 Remos 和 BitRAT 等,可以遠端監控受害者的電腦,並且竊取各種登入資訊、瀏覽器 cookie 或安裝更多酬載。
資安專家指出,由於此波主要的攻擊對象,是加密貨幣相關社群成員,因此駭侵者的攻擊目的,很可能就是要竊取受害者數位錢包中的加密資產。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現華為自營的應用程式商店中,有超過 190 種不同的手機應用軟體遭植入 Cynos 木馬惡意程式碼,受害裝置數量可能高達近千萬台。
資安廠商 Dr.Web 近期指出,該公司發現手機大廠華為自營的應用程式商店中,有超過 190 種不同的手機應用軟體,遭駭侵者植入 Cynos 木馬惡意程式碼;據安裝次數統計,受害裝置數量可能高達近千萬台。
這次偵測到的 Cynos 木馬惡意程式為 Android.Cynos.7.origin,是一種修改過的 Cynos 特洛依木馬惡意軟體,主要功能為收集手機用戶的機敏資訊。
Dr.Web 的資安專家指出,Cynos 木馬程式最早的版本出現在 2014 年,至今不斷變種,某些版本的資料竊取功能十分強大,包括攔截簡訊、擅自發送高額付費簡訊、下載並安裝額外惡意軟體模組與其它軟體等。
至於這次發現的 Cynos 版本,則主要以竊取用戶與裝置資訊、顯示廣告為主;且會要求許多與遊戲無關的權限,例如撥打電話。
在華為應用程式商店中,遭發現內含 Cynos 木馬惡意軟體的 Android 手機應用程式,主要以遊戲為主,遍及各種受歡迎的熱門領域,包括各種射擊遊戲、即時策略遊戲、橫向捲軸遊戲、模擬遊戲等,針對俄語、中文和英文用戶發動攻擊,種類達到 190 種以上。
在這 190 種以上遊戲中,有一些的下載次數極高,例如一個稱為「快点躲起来 (Hurry up and hide)」的遊戲,下載安裝次數就高達 200 萬次;另一個名為「Cat Adventures」的遊戲,下載次數也達 427,000 次。
Dr.Web 已在第一時間通報華為,將這批含有惡意軟體的遊戲,自應用程式商店中下架;不過安裝過這些惡意 app 的用戶,則必須自行移除。在 Github 有一份完整列表可供參考。
twcert 發表在
痞客邦
留言(0)
人氣()
台灣的大型 IC 設計公司修復一系列存於其 Android 手機處理器內的漏洞,這些漏洞可能導致駭侵者竊聽手機通話、執行任意程式碼、提升執行權限等。
台灣的大型 IC 設計公司日前發表資安通報,修復一系列存於其 Andoird 手機處理器內的漏洞,這些漏洞可能導致駭侵者竊聽手機通話、執行任意程式碼、提升執行權限等。
這一系列漏洞最早是由資安廠商 Check Point 發現,其中有三個漏洞 CVE-2021-0662、CVE-2021-0663、CVE-2021-0664 已於 2021 年 10 月修復,另一個漏洞 CVE-2021-0673 將在下個月的更新中修復。
資安專家指出,該公司的手機處理器,在處理音訊的設計上,是交給一個獨立的「數位信號處理器」(Digital Signal Processor, DSP)來負責,以便提升音質,同時降低對 CPU 的負荷。
資安專家說,音訊驅動程式與 CUP,在將音訊處理工作交給 DSP 時,並非直接溝通,而是透過 IPI 訊息轉傳給系統控制處理器(System control processor, SCP);
這一系列漏洞就發生在這段過程,使得惡意程式碼可以在音訊晶片上執行其程式碼。
Check Point 的資安專家,利用逆向工程解析之後,指出駭侵者將可利用這一系列漏洞進行執行權限提升,甚至可以執行任意程式碼,並且竊取用戶的 Android 手機通話內容及各種機敏資訊。
資安專家表示,雖然該公司已經推出修復程式,但由於採用此處理器的 Android 手機數量非常龐大,許多機種又屬於較老舊或較小規模廠商的產品,可能早已停止其手機作業系統的更新,因此將會有許多用戶的手機無法修補這些漏洞。CVE編號:CVE-2021-0661 等
twcert 發表在
痞客邦
留言(0)
人氣()
英國 Sky 寬頻服務提供用戶使用的 600 萬台路由器,其中存有的資安漏洞,在 2020 年年底發現後,花了長達 17 個月才大致完成修補工作。
英國 Sky 寬頻服務(Sky Broadband)提供用戶使用的 600 萬台路由器,其中存有幾個資安漏洞,在 2020 年年底由資安廠商發現並提報後,Sky Broadband 並未立即處理,直到 2021 年 10 月底才完成 99% 受影響裝置的資安修補工作,用戶曝險期間長達 17 個月之久。
該漏洞是個「DNS 重新綁定」(DNS Rebinding)漏洞。駭侵者可以攻擊所有未曾變更預設管理介面登入帳密的 Sky Broadband 路由器,引誘用戶進入一個含有惡意程式碼的網站中,藉以利用此漏洞,入侵用戶內部網路中的各項裝置,包括竊取資料,或是攻擊用戶內網中的其他設備。
該漏洞是由資安廠商 Pen Test Partners 於 2020 年 5 月 11 日發出資安通報,並立即通報給 Sky Broadband;當時 Sky Broadband 表示已獲悉該漏洞的存在,並計畫於 2020 年 11 月時修復此漏洞。
然而該公司卻因為忙於 COVID-19 肺炎疫情之下,英國各地封城造成的寬頻服務需求暴增,因而沒有及時於計畫明定的 2020 年 11 月推送更新修補程式。Sky Broadband 過了幾個月後才推出修補程式,直到 2021 年 5 月時,修補完成比例僅有 50%。
資安廠商 Pen Test Partners 發現 Sky Broadband 怠於進行漏洞修補,於是在今年 8 月時對媒體公開其發現,希望透過輿論的力量,來壓迫 Sky Broadband 加速漏洞更新腳步。最後在本年 10 月 22 日時,Sky Broadband 才對外表示已經更新了 99% 存有此漏洞的裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
美國猶他州的猶他影像協會日前發表資安通報,指出該單位遭到駭侵攻擊,超過 58 萬病患的多項個資遭到外洩。
美國猶他州的猶他影像協會(Utah Imaging Associates, UIA)日前發表資安通報,指出該單位遭到駭侵攻擊,超過 58 萬病患的多項個資遭到外洩。
據猶他影像協會發表的通報指出,該單位是在 2021 年 9 月 4 日發現資料外洩事件,並在當天立即採取行動修正錯誤;然而駭侵者的攻擊發動日期早在 8 月 29 日,因此有將近一星期的時間,駭侵者可以在猶他影像協會的系統中任意存取各項資料。
在第三方資安公司的協助之下,該單位已展開對這次駭侵攻擊的事件調查;目前已知資料可能遭竊的病患人數,共有 582,170 人,遭到不當存取的資料欄位與項目如下:病患姓名;郵寄地址;出生年月日;社會安全號碼(Social Security Number);健康保險編號(Health Insurance Policy Number);各種醫療資訊,包括醫師處置、診斷與處方記錄。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家近日發現一個名為 BrazKing 的 Android 特洛伊木馬惡意軟體捲土重來,大規模感染巴西的 Android 手機金融服務使用者,竊取其金融相關資訊。
IBM 旗下的資安專家,近日發現一個名為 BrazKing 的 Android 特洛伊木馬惡意軟體,最近捲土重來,大規模感染巴西的 Android 手機金融服務使用者,竊取其金融相關資訊。
值得注意的是,為了規避愈來愈嚴格的作業系統資安防護功能,以及 Play Store 的惡意軟體防堵機制,這個 BrazKing 惡意軟體,採用了一些前所未見的全新技巧,來規避各種偵測與防堵。
IBM 指出,BrazKing 以發送釣魚簡訊的方式,把受害者導向到一個 https 網站,看起來就比較安全;而這個 https 網站的內容,是假冒 Google 的安全功能,指稱用戶的手機使用老舊的 Android 版本,存有嚴重安全漏洞,必須下載一個 APK 檔加以修補。BrazKing 就是用這種方法,不在 Google Play Store 上架,以規避應用程式商店中的惡意程式碼掃瞄機制。
當用戶下載了假冒為資安修補軟體的惡意程式後,BrazKing 接著又會假冒 Google 的系統通知,要求用戶開啟輔助使用權限;和一般會要求許多權限(例如讀取簡訊內容、螢幕擷取等)的其他「傳統」惡意軟體來看,BrazKing 只要求一項權限,看起來也顯得比較安全。
但透過這項輔助使用權限的開啟,BrazKing 仍可做到許多資料竊取功能,例如它會「拆解」用戶螢幕上顯示的資訊,送到控制伺服器中判斷畫面內容與用途,而不需實際擷取畫面;此外 BrazKing 也能記錄用戶鍵盤輸入、竊取用戶在各金融網站或 App 的登入資訊、讀取簡訊內容,以便攔截二階段登入驗證碼等等。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一起針對 TikTok 網紅、品牌等知名帳號的釣魚攻擊活動,駭侵者假扮為 TikTok 工作人員發送釣魚信件給知名帳號,可能意圖騙取帳號權限,或發動進一步攻擊。
資安廠商 Abnormal Security 日前在其官方部落格中發文,指出該公司旗下的資安研究人員,近日發現一起針對 TikTok 網紅、品牌等知名帳號的釣魚攻擊活動;駭侵者假扮為 TikTok 工作人員發送釣魚信件給知名帳號,可能意圖騙取帳號權限,或發動進一步攻擊。
Abnormal Security 的研究人員指出,在 2021 年 10 月 2 日和 11 月 1 日時,偵到兩波針對 TikTok 上知名帳號的釣魚郵件攻擊活動;駭侵者發送釣魚郵件的對象,以 TikTok 上頗具知名度的網紅、名人、知名品牌、製作公司、經紀人等為主。
在 Abnormal Security 截獲的釣魚攻擊信件共有兩類,都是由駭侵者假扮為 TikTok 的客服人員,分別對潛在受害者發送假冒的客服信件;其中一類是指稱收信人的帳號涉嫌盜用其他人創作的版權作品;如不在 48 小時內回覆「Confirm my account」,就會刪除受害者的 TikTok 帳號,藉以讓受害人因害怕帳號被刪除而回信。
另一類信件則是假冒為 TikTok 帳號認證(即俗稱的「小藍勾」)通過的通知信件;信件假稱該帳號在 TikTok 有許多深受用戶喜愛的原創作品,官方因而決定主動頒給帳號認證標誌(verification badge),要求用戶回覆信件以確認。
在這兩類釣魚信中,駭侵者都放置一個看似用以確認的連結,受害者點按後,會開啟一個 WhatsApp 聊天室;此時駭侵者會要求受害者提供其註冊 TikTok 使用的 Email 地址、手機號碼,以及 TikTok 系統提供的帳號重設二階段登入驗證碼;受害者如果真的提供這些資料,其登入密碼就會被駭侵者竄改,導致帳號存取權被盜。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商近期發表統計報告,指出 2020 - 2021 年全球遭到勒索攻擊最嚴重的行業,包括營建業、製造業、金融業、醫療業、教育業、科技與 IT、汽車業、政府單位、法律業等。資安廠商 NordLocker 近期發表統計報告,指出在 2020 - 2021 年全球遭到勒索攻擊最嚴重的 35 種行業,排名依序為營建業、製造業、金融業、醫療業、教育業、科技與 IT、汽車業、政府單位、法律業等。
twcert 發表在
痞客邦
留言(0)
人氣()
