資安廠商發現一個號稱提供端對端加密安全聊天功能的 Android App,內含惡意程式碼,會竊取用戶的機敏資訊。
資安廠商 Cyble 旗下的研究人員,最近發現一個號稱提供端對端加密安全聊天功能的 Android App,名為 SoSafe Chat,內含惡意程式碼 GravityRAT,會竊取用戶的機敏資訊。
這個 GravityRAT 惡意軟體是一種遠端存取木馬程式,主要是由巴基斯坦的駭侵者發動攻擊,目標對象是鎖定印度用戶;資安廠商分析其獲得的攻擊目標資訊,發現 GravityRAT 會集中攻擊印度的知名人士,特別是印度軍方的軍官與高階將領等。
受害用戶一旦安裝了 SoSafe Chat,其中的 GravityRAT 就會竊取用戶手機中的各種機敏資訊,包括讀取用戶的簡訊內容、通話記錄、通訊錄、竄改手機系統設定、手機在基地台的註冊資訊、電話號碼、手機序號、手機內的檔案、盜錄對話、傳回手機所在地資料等。
事實上,這並不是 GravityRAT 首次出現。資安專家指出,2020 年時 GravityRAT 就曾透過另一個名為 Travel Mate Pro 的旅遊相關軟體散布,但因肺炎疫情造成旅遊人數銳減,對旅遊 App 的需求不再,因此這次捲土重來時,就改隱身於即時訊息聊天這類社群 App 之中。
此外,GravityRAT 在 2020 年之前只感染執行 Windows 作業系統的裝置,但之後擴及到 Android 平台上;這表示其幕後的開發者和駭侵團體十分活躍。
目前 SoSafe Chat 的網站仍然還在線上運作,但 App 下載連結已經失效;資安專家提醒用戶,下載 Android App 前一定要提高警覺,除了不在可疑之處下載任何軟體外,也應仔細查閱 Google Play Store 中的評價與用戶意見,確認安全後再安裝。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現一個新的僵屍網路惡意軟體 BotenaGo,利用 33 個已知的老舊資安漏洞,鎖定數百萬台 IoT 設備發動攻擊。
大型電信業者 AT&T 旗下的資安專家,近日發現一個新的僵屍網路惡意軟體 BotenaGo,利用 33 個已知但並未全面獲得修補的老舊資安漏洞,鎖定數百萬台 IoT 設備發動攻擊。
資安專家指出,BotenaGo 主要鎖定的對象,包括各種網路路由器、數據機(Modem)、網路儲存裝置(Network Attached Storage,NAS)等,其中有一些裝置是由台灣廠商生產製造。
BotenaGo 主要利用的漏洞編號,和存有這些漏洞的裝置分別如下:CVE-2015-2051、CVE-2020-9377、CVE-2016-11021: D-Link 路由器;CVE-2016-1555、CVE-2017-6077、CVE-2016-6277、CVE-2017-6334: Netgear 裝置;CVE-2019-19824:採用 Realtek SDK 的各廠牌路由器CVE-2017-18368、CVE-2020-9054: Zyxel 路由器與 NAS 裝置;CVE-2020-10987: Tenda 產品; CVE-2014-2321: ZTE 數據機;CVE-2020-8958: Guangzhou 1GE 光纖網路終端單元。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家日前發現全新的 Android 系統惡意軟體,會利用假造的登入頁面,竊取 Netflix、Instagram、Twitter 用戶的信用卡資訊。
資安專家日前發現一個全新的 Android 系統惡意軟體,名為「MasterFred」;這個惡意軟體會利用假造的登入頁面,竊取 Netflix、Instagram、Twitter 用戶的信用卡資訊。
MasterFred 是在 2021 年 6 月時首次有取樣送到 VirusTotal 資料庫,而資安專家也在 11 月初提報了另一個取樣,主要攻擊對象是位於波蘭和土耳其的 Android 用戶。
資安廠商 Avast 分析 MasterFred 後,發現 MasterFred 會利用 Android 系統內的輔助使用 API (Application Accessibility toolkit)來顯示內含詐騙登入頁面的畫面覆疊,以欺騙用戶輸入信用卡資訊。
資安專家指出,利用 Android 系統內的輔助使用 API 來顯示詐騙覆疊畫面,並不是全新的攻擊手法;過去有相當多的惡意軟體,也會利用這種技巧來欺騙用戶。
不過 MasterFred 特別之處,在於同時還夾帶 HTML 覆疊,內含多國語言的詐騙登入頁面;MasterFred 以此來騙取用戶的金融資訊,然後再使用 Onion.ws 暗網閘道器,把竊取的資訊傳送給駭侵攻擊者。
Avast 的資安專家也說,該單位認為在 Google Play Store 中至少有一個 app 含有 MasterFred 惡意軟體;駭侵者很可能也會使用其他 Android 平台上的非 Google 應用程式商店,來散布其惡意軟體。
資安專家呼籲 Android 裝置用戶,在下載任何應用軟體前,應盡量詳加查閱該軟體在 Google Play Store 的用戶評價,負評多的軟體應該避開;並避免從不明來源處安裝應用程式,以降低遭到駭侵者植入惡意程式碼的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 推出 2021 年 11 月的例行性軟體更新包 Patch Tuesday,一共修復多達 55 個資安漏洞,更包括 6 個 0-day 漏洞;各種 Microsoft 軟體系統的使用者與管理者,應立即套用相關更新。
Microsoft 推出 2021 年 11 月的例行性軟體更新包 Patch Tuesday,一共修復多達 55 個資安漏洞,更包括 6 個 0-day 漏洞。
以漏洞的嚴重程度來說,在這 55 個此次獲得修補的漏洞中,共有 6 個漏洞列為嚴重(Critical)等級,其於 49 個列為重要(Important)等級。若以漏洞類型來分,各類資安漏洞的數量如下:權限提升漏洞:20 個;資安防護功能跳過漏洞:2 個;遠端執行任意程式碼漏洞:15 個;資訊洩露漏洞:10 個;服務阻斷漏洞:3 個;假冒詐騙漏洞:4 個。
twcert 發表在
痞客邦
留言(0)
人氣()
美國的線上證券交易平台 Robinhood 日前公開一起資料外洩事件;該公司系統遭到駭侵攻擊,約有 700 萬名用戶的個資遭竊。
美國知名且用戶眾多的線上證券交易平台 Robinhood,日前發布資安通報,公開一起發生於 2021年 11 月月初的資料外洩事件;該公司系統遭到駭侵攻擊,約有 700 萬名用戶的個資遭竊。
攻擊事件發生在 2021 年 11 月 3 日,有一位 Robinhood 客戶服務部的員工,接到駭侵攻擊者的電話;該攻擊者以社交工程(social engineering)手法,取得 Robinhood 客服系統的存取權限。
駭侵者隨後利用取得的存取權限,取得大批 Robinhood 線上券商的用戶資料,資料欄位包括用戶全名、Email 地址等,有一部分用戶的出生年月日與郵遞區號等機敏資訊也同時遭竊。
據 Robinhood 發布的公告指出,詳細的資料遭竊與受害者數量情形如下:Email 外洩(500 萬人)、真實姓名(200 萬人)、姓名+生日+郵遞區號(300 人)、更多個資(10人)。
Robinhood 說,該公司目前正在針對整個資料外洩事件展開詳細調查工作,目前沒有跡象顯示包括用戶的社會安全號碼、銀行帳號、金融卡卡號等金融相關資料在這次事件中遭竊。
雖然這次外洩事件中流出的用戶資料種類有限,但資安專家指出,這些資料以足夠讓駭侵者據以發動各種進一步的資安攻擊,例如釣魚攻擊或社交工程攻擊等。
專家呼籲 Robinhood 用戶,近期應對各種形式的釣魚攻擊提高警覺,因為駭侵者可能會假冒 Robinhood 或其他機構發送釣魚信件,假稱用戶帳號出現問題,藉以騙取用戶輸入帳號登入資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
又有兩個使用十分頻繁的公用程式庫,遭駭侵惡意分子植入惡意程式碼,意圖竊取用戶的登入密碼。
又有兩個使用十分頻繁的公用程式庫 Npm COA 與 Npm RC,被開發者發現遭駭侵惡意分子植入惡意程式碼,意圖竊取用戶的登入密碼。
COA 程式庫之名是 Command-Option-Argument 的縮寫,在 Npm 網站上每周下載量高達 9 百萬次,在 GitHub 上有接近 5 百萬個開放源碼軟體使用了這個公用程式庫。這個程式庫在 Node.js 專案中,是用來爬梳命令列的輸入指令。
開發者會注意到 COA 被注入惡意程式碼,是因為這個程式庫在多年未經更新後(上個版本更新於 2018 年 12 月),突然出現了數個新版本,同時造成許多使用了這個程式庫的 React 開發專案出現問題所致。
經過資安專家分析新版本的 COA 程式碼後,發現 COA 遭到注入惡意程式碼,被注入的惡意程式碼內容和上個月同樣遭到注入的另一 Npm 程式庫 ua-parser-js 大致相同,都是用來竊取使用者的登入密碼。
在開發者與資安專家發現 COA 遭注入惡意程式碼後不久,也發現另一個 Npm 程式庫 RC 也出現了奇怪的新版本;分析後發現 RC 也被注入了相同的惡意程式碼。
如果開發專案使用了含有這些惡意程式碼的公用程式庫,用戶在使用各種瀏覽器如 Chrome、Firefox、Opera、Internet Explorer、Safari 時輸入的密碼將會遭竊;除此之外,用戶使用如 VNC、FTP 連線程式、Email 軟體或線上賭場軟體時的密碼、儲存在電腦中的信用卡資訊也會被竊。
該惡意程式同時也會私下擷取螢幕畫面,並記錄用戶的鍵盤輸入。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現近來有駭侵團體,在 Google 搜尋頁面購買廣告,宣傳詐騙加密貨幣錢包和去中心化交易所,以竊取受害者的加密貨幣資產。
資安廠商 Check Point 日前發表研究報告,指出該公司旗下的資安研究人員,近來發現有駭侵團體在 Google 搜尋頁面購買搜尋關鍵字廣告,藉以宣傳詐騙加密貨幣錢包和去中心化交易所(Decentralized Exchange, DEX),用來竊取受害者的加密貨幣資產。
專家說,這些駭侵者在廣告中放置假的 Phantom 和 MetaMask 錢包軟體,宣稱可以用於儲存、交易近日十分熱門的 Solana(SOL)加密貨幣與以太幣;駭侵者也透過廣告來宣傳假的去中心化交易所,如 PancakeSwap 和 UniSwap。
駭侵者在廣告中放置的連結,其網域名稱和真實的 Phantom 錢包的真正網域Phantom.app 非常接近,例如Phanton.app、Phantonn.pw,用這種障眼法來魚目混珠,降低潛在受害者的戒心。
潛在受害者一旦點擊這些廣告,導向到詐騙網站後,網站會要求用戶新增一個錢包,並且寫下駭侵者設定好,顯示在網頁上的錢包取回回復詞組;當受害者做完這些動作後,馬上會被導向到真正的 Phantom 錢包頁面。
接著用戶會輸入剛才由駭侵者提供的回復詞組,取回帳號控制權;受害者就會以為這個新增的錢包是自己的,但實際上這個錢包卻是由駭侵者所擁有的錢包;因此任何存到錢包中的加密貨幣,實際上等於進了駭侵者的口袋。
Check Point 發現駭侵者以同樣的帳號製作了多個類似的詐騙錢包,且已經盜領的加密貨幣總額也不在少數。目前 Google 已將這些詐騙廣告下架。
資安專家呼籲加密貨幣投資者,一定要徹底檢查任何 URL 的真偽,在點擊搜尋頁面上的連結時,也要確認不是點到廣告,就可以減少點到詐騙連結的機會。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商近日發表研究報告,指出在 2021 年針對能源產業員工發動的行動釣魚攻擊,較去年下半年增加 161%。
資安廠商 Lookout 近日發表研究報告,指出在 2021 年針對能源產業員工發動的行動釣魚攻擊,較去年下半年增加 161%,而且增幅仍在持續上昇中。
Lookout 的報告指出,雖然各行各業都因為從業人員使用老舊且存有許多漏洞的行動裝置,因而飽受行動駭侵攻擊的威脅,但能源產業是這類攻擊最主要的鎖定目標;其次則是金融業、製藥業、政府單位與製造業。
如果以受攻擊地域來看,針對能源產業的行動釣魚攻擊,發生最嚴重的地區是亞太地區,今年佔比高達 24.2%;其次為歐洲(21.7%)與北美(15.9%);但如果以全球的發生趨勢來看,則是逐年遞增之中。
報告也指出,在全球能源產業中,高達 20% 的從業人員曾經遭到行動釣魚攻擊鎖定;這個比例和去年下半年相比增加了 161%。
報告也說,由於 COVID-19 肺炎疫情的影響,許多員工依賴 VPN 系統進行遠距工作,因此 VPN 系統的登入資訊,成為行動駭侵攻擊的主要對象;報告說有高達 67% 的行動釣魚攻擊的目的,都是為了取得員工登入企業 VPN 系統的權限。
至於用來發動行動釣魚攻擊的法,包括發送釣魚信件、釣魚簡訊、釣魚用惡意 app、假冒企業網站的登入頁面等。
報告也特別指出 Android 系統的危險性。由於高達 65% 的能源產業員工,使用太過老舊且存有多種漏洞的 Android 系統行動裝置,因此非常容易遭到攻擊。報告指出,在最新版本的 Android 11 推出一年後,只有 44.1% 的用戶升級到最新系統;而採用最新版 iOS 14 的比例則高達 84.9%。
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關網路安全暨基礎設施安全局,日前發布今年首次的強制性操作指引,命令美國聯邦政府民事相關機關,必須在短時間內針對多個資安漏洞進行處理。
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前發布今年首次的強制性操作指引(Binding Operational Directive,BOD),命令美國聯邦政府民事相關機關,必須在短時間內針對多個資安漏洞進行處理。
這份編號為 BOD-22-01 的指引,全名為「降低已知遭利用漏洞的顯著風險」(Reducing the Significant Risk of Known Exploited Vulnerabilities),適用於由各聯邦機關自行操作,或交由第三方代管理的所有連網或非連網資訊系統的硬體與軟體;所有受此命令規範的單位,必須在期限內依照指引,即刻處理表列清單中的各種漏洞。
CISA 同時也公告了一份含有數百個已知遭駭侵攻擊活動利用過的漏洞清單,供各公私單位參考;清單中列明有漏洞的軟硬體產品與系統範圍甚廣,其中也包括部分台灣廠商的產品;較知名者包括 Adobe、Android、Apache、Apple、Arm、Atlassian、Cisco、Citrix、D-Link、Dreytek、Fortinet、Google、IBM、Microsoft、Mozilla、Netgear、Oracle、Pulse、Qualcomm、Realtek、SAP、SolarWinds、SonicWall、Sophos、Symantec、TeamViewer、TrendMicro、VMware、WordPress、Zoho、ZyXEL 等。
CISA 在這項命令中要求,在 2021 年遭到駭侵攻擊活動利用的漏洞,必須在 11 月 17 日前修補完成;而在去年年底之前遭到駭侵攻擊活動利用的漏洞,則須在 2022 年 5 月 3 日前完成修補。
twcert 發表在
痞客邦
留言(0)
人氣()
歐洲刑警組織宣布逮捕多名駭侵勒贖不肖分子;這批勒贖嫌犯涉及的駭侵攻擊事件,範圍廣達 71 國,受害者多達 1,800 名個人或組織。
歐洲刑警組織(Europol)近期發布公告,宣布該組織會同多國執法單位,逮捕 18 名駭侵勒贖不肖分子;這批勒贖嫌犯涉及的駭侵攻擊事件,範圍廣達 71 國,受害者多達 1,800 名個人或組織。
根據歐洲刑警組織發表的報告指出,這批勒贖攻擊嫌犯發動的勒贖攻擊活動,包括 LockerGoga、MegaCortex、Dharma 等,使用的惡意軟體工具包括 TrickBot 和 Cobalt Strike 等。
根據荷蘭國家資安中心(National Cyber Security Centre)指出,LockerGoga 和 MegaCortex 以及另一種勒贖攻擊 Ryuk,近年來就在荷蘭發動 1,800 次以上的攻擊。
駭侵犯罪分子的逮捕行動,於 2021 年 10 月 26 日於烏克蘭和瑞士同步啟動;除了逮捕 18 名不肖分子之外,更緝獲大批名貴財物,包括 5 台豪華電動車與現金 52,000 美元。
警方在逮捕這批駭侵犯罪分子後,立即展開後續的調查行動;目前已知這批遭到逮捕的駭侵者,在多起駭侵攻擊活動中,都扮演重要角色;有人專門負責入侵攻擊目標的內部網路,有人負責發動釣魚攻擊,有人負責在 SQL 資料庫中注入攻擊程式碼等。
在歐洲刑警組織發表這次公告後,多個參與聯合駭侵打擊行動的國家,也發表相關的公告。挪威警方表示,該國執法單位會持續和世界各國檢警單位合作,持續打擊資安攻擊活動與組織,以遏止不肖分子的活動。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現一個影響所有 Windows 版本的 0-day 漏洞,可讓駭侵者藉以提升自身執行權限。
獨立資安專家 Abdelhamid Naceri 日前發現一個影響所有 Windows 版本的 0-day 漏洞,可以跳過 Microsoft 日前釋出的資安漏洞修補程式,讓駭侵者藉以提升自身執行權限。
在八月時 Microsoft 針對 CVE-2021-34484 推出了修補程式;該漏洞稱為「Windows 用戶檔案權限提升漏洞」,也是由同一位獨立資安研究人員 Abdelhamid Naceri 發現的;駭侵者可利用這個漏洞,來提升自我的執行權限。
Abdelhamid Naceri 最近發現 Microsoft 推出的修補程式並不完整,仍然含有可被跳過的漏洞,在某些條件下,駭侵者仍然可以利用這個漏洞來提升執行權限,接著發動進一步的駭侵攻擊。
Abdelhamid Naceri 將他的發現進一步發展成可用以發動攻擊的概念證明模擬程式,並上傳到 Github 上供資安從業人員進行研究。他指出,利用這個漏洞,駭侵者將可以取得系統權限;影響的範圍則為 Windows 所有的版本,包括 Windows 10、WIndows 11、Windows Server 2022 等。
不過其他資安專家在分析這個新發現的漏洞時,指出要利用此一漏洞發動攻擊,必須滿足某些條件;駭侵者必須先取得其他用戶的登入資訊,包括帳號與密碼,才能觸發此一漏洞,因此該 0-day 漏洞可能不會造成駭侵者大規模濫用於攻擊活動。
Microsoft 也指出,該公司已經獲悉此漏洞的存在與其影響,將會在近期予以處理,以保護用戶的安全。影響產品(版本):Windows 各版本,包括 Windows 10、Windows 11、Windows Server 2022。
twcert 發表在
痞客邦
留言(0)
人氣()
國內電腦設備品牌大廠於一周內,連續遭到同一駭侵團體兩次發動駭侵攻擊;該公司已緊急下線存有漏洞的伺服器,但駭侵者說,該公司在其他國家的據點,仍有漏洞可資發動攻擊。發動最近這兩波攻擊的駭侵團體自稱為「Desorden」。Desorden 在成功入侵該公司在印度據點的售後服務伺服器後,曾經發信給媒體記者高調宣傳此事;不到一星期後,資安媒體 BleepingComputer 再次收到 Desorden 來信,指出該團體再次成功駭入該公司所屬的伺服器,這次的受害者是在台灣的總部電腦設備。
twcert 發表在
痞客邦
留言(0)
人氣()
