韓國第二大電信業者 KT Corporation 日前發生大規模通訊中斷事件,導致全韓國近 1650 萬用戶無法使用其電信與網路通訊服務,時間長達 40 分鐘。
韓國第二大電信業者 KT Corporation 日前發生大規模通訊中斷事件,影響範圍遍及韓國全境,導致全韓國近 1650 萬用戶無法使用其電信與網路通訊服務,時間長達 40 分鐘。
這次斷訊事件導致韓國各地依賴網路通訊的相關公共服務與事業受到影響,許多學生無法透過視訊會議上課、網路送餐服務無法運作、各地醫療機構無法存取病患的病歷資料、商家的信用卡刷卡收單業務也無法運作。
由於最近經常發生電信業者與其他公私營單位,因為遭到駭侵者發動分散式服務阻斷攻擊(Distributed Denial of Service, DDoS)的事件,首爾市政府資安調查團隊,在事件發生後立即前往 KT Corporation 總部進行調查;不過 KT Corporation 稍後對外界表示,事件的發生是因為內部路由設定錯誤,造成服務中斷所致。
KT Corporation 雖然在 40 分鐘內修復這次斷線事件,但並沒有對外說明路由設定錯誤的原因;不過外界推測很可能是因為 BGP 路由設定錯誤,才造成服務中斷。
BGP 設定錯誤對網路服務可能造成極大影響,例如最近 Facebook 就因為 BGP 設定發生錯誤,導致 Facebook 旗下所有服務,包括 Facebook 本身、Messenger、Instagram 和 WhatsApp 服務全面停擺達數小時之久,造成該公司與生態系中其他第三方廠商與用戶的損失。
此外,在 KT 斷線期間,用戶大量湧入韓國另外家主要電信業者 SK Telecom 與 LG Uplus,也造成這兩家業者的網路服務發生過載現象,連線品質與穩定程度也遭到衝擊;甚至讓外界懷疑這兩家電信業者也同時遭到 DDoS 駭侵攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商近日再次發現有多支 Android App 內含惡意訂閱軟體,會在用戶不知情的情況下,偷偷訂閱高價服務,造成用戶損失。
資安廠商 Avast 旗下的資安研究人員,近日再次發現有高達 151 支 Android App,內含惡意訂閱軟體,會在用戶不知情的情況下,偷偷訂閱高價服務,造成用戶損失。
Avast 的資安研究人員稱這波攻擊行動為「UltimaSMS」。研究人員指出攻擊者透過 151 支假裝成各種熱門類型的 Android App,包括購物優惠、遊戲、自定鍵盤、QR Code 掃瞄工具、影片與相片編輯工具、騷擾電話阻擋工具、相機特效濾鏡等等,吸引用戶下載安裝。
當用戶安裝好這些惡意 Android App 後,這些 App 會讀取手機的某些資料,如 IMEI 設備編號或所在地座標資訊,自動切換到用戶使用的語系後,接著要求用戶輸入手機號碼與 Email 地址,以「啟用軟體的功能」。
這些惡意軟體取得受害者的手機號碼,並且取得必要的權限同意後,就會暗地裡訂閱某個透過簡訊提供的高價服務,訂閱費用高達每月 40 美元;攻擊者可以從這些訂閱服務的分潤機制來獲取不法暴利。
Avast 說,由駭侵者用來發動攻擊的 151 支 App 中,有高達 80 支在 Google 官方的 Play Store 中上架成功;儘管這些 App 在 Google Play Store 中獲得的用戶評價極差, 許多 App 甚至不提供任何宣稱的功能,但下載量還是十分驚人,合計高達 1,000 萬次以上。
根據 Sensor Tower 的統計指出,這些惡意 Android App 的受害者,以埃及、沙烏地阿拉伯、巴基斯坦等國的人數最多,合計達 700 萬人,美國也有近 17 萬人受害。
twcert 發表在
痞客邦
留言(0)
人氣()
程式開發者經常使用的某個 NPM 程式庫,近日遭到駭侵者植入惡意軟體,用以挖掘加密貨幣,或是竊取用戶登入資訊。
程式開發者經常使用的 NPM 程式庫 UA-Parser-JS,近日遭到駭侵者植入惡意軟體,用以發動供應鏈攻擊,利用受害用戶的設備挖掘加密貨幣,或是竊取用戶登入資訊。
被植入惡意軟體的 NPM 程式庫,是經常用於爬梳瀏覽器的 user agent 資訊,以確認網站瀏覽訪客使用的瀏覽器類型、解析引擎、作業系統、處理器、裝置類型或型號等資訊之用。
這個程式庫經常用於各種 Windows、Linux 軟體開發上,在 2021 年 10 月的每周下載次數高達 2,400 萬次,有數千個軟體開發專案,都使用了 UA-Parser-JS 程式庫,使用者包括 Facebook、Microsoft、Amazon、Instagram、Google、Slack、Mozilla、Discord、Elastic、Intuit、Reddit 等知名公司、軟體與服務。
據專業資安媒體 BleepingComputer 報導指出,駭侵者事先竊得了 NPM 伺服器的登入權限,接著在本月 22 日將含有惡意程式碼的 NPM UA-Parser-JS 程式碼上傳到伺服器中;隔天該專案的合法擁有者 faisalman 在 Github 上發文,指出他的 Email 信箱突然遭到來自數百個網站的垃圾郵件攻擊,這才發現他控制的 NPM 帳號已經被竊。
faisalman 指出,經過調查後,發現 UA-Parser-JS 的 0.7.29、0.8.0、1.0.0 等三個版本,都遭到駭侵者植入惡意軟體;BleepingComputer 的報導也列出多個可能受到影響的軟體,包括 Firefox、Apple Safari、Outlook、FileZilla、Opera、Chrome 等使用非常普遍的軟體都包括在內。
目前 NPM 已經緊急推出修復的 UA-Parser-JS 程式庫,版本分別為 0.7.30、0.8.1、1.0.1;使用受影響版本的開發者,應立即撤回已發行的版本,改用未遭植入惡意軟體的新版 UA-Parser-JS 重新編譯;一般用戶如果發現自己的 Windows 系統上有 jsextension.exe 或 create.dll,應立即刪除並更改自己使用的各種密碼,而 Linux 用戶則應掃瞄系統上是否存有 jsextension 檔案,如果發現亦應立即刪除並修改自己的各種登入密碼。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現有駭侵團體大量製作 YouTube 影片,在影片描述中夾帶惡意軟體連結,用以騙取受害者的各種登入資訊。
資安廠商 Cluster 25 旗下的資安研究人員,近來發現有駭侵團體大量製作 YouTube 影片,在影片描述中夾帶惡意軟體連結;受害者如果不慎點擊,各種登入資訊就會遭到竊取。
研究人員指出,以 YouTube 影片來吸引觀眾點擊惡意連結,是常見的駭侵攻擊手法;其攻擊手法是在 YouTube 中大量放置各種熱門主題影片,例如常見軟體或服務的操作方式、如何免費挖掘比特幣、破解正版軟體保護、遊戲作弊密技、VPN 使用方法等等。
研究人員表示,這次發現的 YouTube 惡意連結攻擊,主要是以特洛伊木馬惡意軟體的植入,來竊取受害用戶使用在各種軟體與服務的登入資訊。
研究人員說,最近發現的大規模 YouTube 影片攻擊活動,在同一時間內有兩波同時進行;其中一波是以 RedLine 惡意軟體為主,另一波使用的惡意軟體則是 Raccoon Stealer。
研究人員發現這波攻擊行動,散布惡意 YouTube 影片的速度極快;他們觀察到在短短 20 分鐘以內,某個遭駭侵團體控制的惡意 YouTube 帳號,就新建了 81 個 YouTube 頻道,上傳的影片數量高達 100 支。
另外,駭侵團體還會使用竊得的受害者 Google 帳號,在 YouTube 中上傳更多含有惡意連結的影片,進一步擴大接觸潛在受害者的範圍,也使 Google/YouTube 更不容易查緝這類惡意影片。
Google 表示已經獲悉這些案例利用 YouTube 發動駭侵攻擊的情形,且正在阻擋這類活動的擴散;資安專家也指出,這個案例顯示在網路上下載來路不明軟體的潛在危險性。包括 Google 與資安專家都呼籲用戶,從網路上下載任何軟體時,應多方確認安全性,包括是否自軟體發行商的官方管道下載、網址是否正確等,千萬不要貪小便宜下載盜版或破解軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
美國商務部旗下的產業與安全局日前發布命令,禁止美國企業將各種駭侵工具出口或轉售給任何可能透過惡意駭侵活動,以強化威權統治與侵害人權的對象。
美國商務部(US Department of Commerce)旗下的產業與安全局(Bureau of Industry and Security, BIS)日前發布命令,禁止美國企業將各種駭侵工具出口或轉售給任何可能透過惡意駭侵活動,以強化威權統治與侵害人權的對象。
該命令將在 90 天內生效,將會以國家安全與反恐為由,有效禁止各種資安產品的出口與轉售,將包括各種相關軟體與硬體工具在內。
該命令同時也附帶新規定的資安產品出口授權例外名單(License Exception Authorized Cybersecurity Exports),列出各種資安與駭侵相關工具的禁止出口國名單;要出口相關產品到這些國家,包括中國與俄羅斯等國,必須事先取得主管機關授權同意。
產業與安全局(BIS)官員表示,美國政府反對濫用技術以侵害人權,或進行各種惡意網路攻擊活動;新推出的規定將有助於確保美國企業的產品與服,不會被用於加強這些威權專制活動。
產業與安全局強調,禁止出口的這些資安與駭侵相關產品,經常被各專制政權用以進行監控、間諜活動,以及各種阻擾網路正常運作的攻擊活動等等。
該局也說,這項規定符合瓦森納協議(Wassenaar Arrangement)的精神,該協議規範西方各國針對傳統武器及軍商兩用貨品的多邊出口進行管制,有 40 個國家簽署這項協議。
美國商務部長 Gina M. Raimondo 也指出,新規定主要是為了防止惡意駭侵者使用這些工具,針對美國公私單位發動攻擊,傷害美國的國家安全;美國將會持與各國合作,阻止這類技術擴散並用於各種資安攻擊與人權侵害活動。
twcert 發表在
痞客邦
留言(0)
人氣()
俄羅斯最大電信業者日前發表研究報告,指出自今年起針對俄羅斯企業發動的分散服務阻斷攻擊(DDoS)次數,和去年同期相比大增 2.5 倍以上。
俄羅斯最大電信業者 Rostelecom 日前發表研究報告,指出自今年起針對俄羅斯企業發動的分散服務阻斷攻擊(Distributed Denial of Service, DDoS)發生次數,和去年同期相比,大增 2.5 倍以上。
Rostelecom 的報告中指出,該公司於 2021 年 9 月記錄到俄羅斯有史以來最嚴重的 DDoS 攻擊次數;針對俄羅斯企業發動的 DDoS 攻擊次數,在該月發生的次數即佔今年以來所有攻擊次數的 90%,嚴重程度不容忽視。
過去三年的前三季,針對俄羅斯企業的 DDoS 攻擊次數不斷以倍數成長;2019 年的 DDoS 攻擊次數尚低於 10,000 次,到了2020 年突破 20,000 次大關,而在 2021 年前三季發生的 DDoS 攻擊次數接近 45,000 次。
若以遭到攻擊的對象來分析,2020 年時遭到 DDoS 攻擊的,主要是遊戲相關產業,這是因為 2020 年時疫情開始肆虐,許多人因封城而關在家中之故;到了今年,遭到攻擊的大宗產業則變成線上交易、金融服務與公部門相關單位。
從攻擊強度來看,和去年相比,今年的 DDoS 攻擊強度比去年加強了 26%,攻擊持續時間也從去年的持續 3 天增加到今年的 4.5 天;原因是來自受駭侵團體控制並用以發動攻擊的僵屍網路,其規模和節點數量持續擴大之故。
從攻擊手法的類型來看,前三大攻擊類型和過去相同,分別是 UDP 洪水攻擊(41%)、FRAG 攻擊(22%)與 SYN 洪水攻擊(20%)。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近日發表資安通報,警告 YouTube 創作者,應提防會竊取 YouTube 登入資訊與 cookie 的惡意軟體與駭侵攻擊,以免自己苦心經營的 YouTube 頻道遭到駭侵者奪取,並用來進行進一步的詐騙。
Google 近日發表資安通報,警告全球 YouTube 創作者,應嚴加提防各種會竊取 YouTube 登入資訊與 cookie 的惡意軟體與駭侵攻擊,以免自己苦心經營的 YouTube 頻道遭到駭侵者奪取,並用來進行進一步的詐騙。
Google 的威脅分析團隊(Google Threat Analysis Group)在報告中指出,該團隊自 2019 年起開始針對各種意圖詐取錢財,針對 YouTube 創作者發動釣魚攻擊的駭侵活動進行調查與查緝工作。
報告說,該團隊發現一個駭侵團體組織,自某俄語駭侵討論區中招募組織成員,鎖定經營有成的 YouTuber,詐稱提供合作機會,要 YouTuber 試用新推出的測試版防毒軟體、VPN、音樂播放程式、相片編輯軟體、線上遊戲等,接著透過這些「測試用軟體」中夾帶的惡意軟體,竊取 YouTuber 苦心經營的 YouTube 頻道控制權,之後用以轉售牟利,或是用來推廣各種加密貨幣相關詐騙活動。
報告指出,這些惡意軟體一旦安裝在目標用戶的電腦上,就會竊取瀏覽器中的相關 cookie,並上傳到駭侵者擁有的控制伺服器內;用來竊取 cookie 的軟體,很多都可直接在 Github 上取得。
該團隊指出,該團隊與 Gmail 和 YouTube 團隊合作,自 2021 年 5 月起,截獲 99.6% 透過 Gmail 傳遞的這類釣魚郵件,阻擋的釣魚信件多達 160 萬封,並對 2,400 個可能夾帶惡意軟體的信件夾檔發出警訊,同時成功取回近 4,000 個被駭侵團體奪取的 YouTube 帳號。
Google 指出,YouTuber 應該提高警覺,不要任意點擊任何不明的連結,同時以二階段登入驗證來保護自己的 YouTube 帳號,以免苦心經營的頻道遭人輕易竊走。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft 要求系統管理者立即採取行動,修補 PowerShell 7 的兩個資安漏洞,以防止駭侵者利用這兩個漏洞,跳過 Windows Defender Application Control 的資安防護功能。
Microsoft 日前發布資安通報,要求系統管理者立即採取行動,修補 PowerShell 7 的兩個資安漏洞,以防止駭侵者利用這兩個漏洞,跳過 Windows Defender Application Control 的資安防護功能,取得未編碼的純文字登入資訊。
Windows Defender Application Control(WDAC)是一種用來防止惡意軟體執行的機制,啟動 WDAC 後,只有受信任的應用程式與驅動程式可以執行,而 PowerShell 會限制只能存取部分 Windows API。
然而駭侵者可以利用 CVE-2021-0951 這個漏洞,讓 PowerShell 以完整權限來執行任意程式碼,不會受到 WDAC 的監控與限制。
另一個漏洞 CVE-2021-41355 則是存於 .NET 核心的資訊洩露錯誤,可導致登入資訊以純文字格式傳送到非執行 Windows 作業系統的其他平台上。
CVE-2021-0951 的 CVSS 危險程度評分為 6.7 分(滿分為 10 分),主要影響 PowerShell 7 與 PowerShell 7.1 兩個版本;而 CVE-2021-41355 則為 5.7 分,影響的是 PowerShell 7.1 版本。
用戶可以在命令列模式下輸入「pwsh -v」,來檢視自己 Windows 系統上的 PowerShell 是哪一個版本;Microsoft 建議系統管理員應該將 PowerShell 升級至 7.0.8 與 7.1.5 兩個版本,以避免遭到駭侵者透過這兩個漏洞發動駭侵攻擊。CVE編號:CVE-2021-0951、CVE-2021-41355影響產品(版本):PowerShell 7、7.1解決方案:升級至 PowerShell 7.0.8 與 7.1.5
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安主管機關近日發出資安通報,警告美國各地的自來水供水與廢水處理機構,應對近期發生中的駭侵攻擊提高警覺。
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)近日發出資安通報,警告美國各地的自來水供水與廢水處理機構,應對近期正在發生的駭侵攻擊提高警覺。
該警訊指出,美國各資安相關單位,包括聯邦調查局(Federal Bureau of Investigation, FBI)、CISA、環保署(Environmental Protection Agency, EPA)、國家安全局(National Security Agency, NSA) 近期發現一些已知或未知的駭侵團體,已開始針對美國各地的供水與廢水處理單位使用的資訊系統(IT)和營運技術(OT)發動各式駭侵攻擊。
供水與廢水處理系統,為美國法定 16 種關鍵基礎設施之一,一旦遭駭擊攻擊造成這些設施無法正常運作,恐將造成極嚴重的後果,並對國家安全、經濟安全與公共衛生造成劇烈影響。
在這份警告中列出多個過去曾發生過的供水系統攻擊事件,例如 2021 年 8 月時,駭侵者利用 Ghost 變種勒贖軟體,攻擊加州一處供水/廢水處理單位、2021 年 7 月時緬因州的供水/廢水處理單位遭到 ZuCano 勒贖軟體攻擊、2021 年 3 月則是內華達州的供水/廢水處理單位遭不明勒贖軟體攻擊。
2019 年 3 月時,在堪薩斯州也發生過離職員工利用尚未失效的登入資訊,企圖在供水系統中投放毒性物質的案件,所幸及時發現,未能得逞。
資安主管機關特別要求美國各地的供水/廢水處理單位人員,應採取行動,避免遭到駭侵攻擊;這些行動包括不可點擊可疑連結、保護並監控 RDP 連線、立即並隨時更新作業系統與應用軟體、使用強式密碼與多階段登入驗證等。
twcert 發表在
痞客邦
留言(0)
人氣()
全球 31 國在反勒贖攻擊國際會議上共同聲明,將採取行動,加強查緝各種遭勒贖駭侵團體用以進行贖款金流的加密貨幣支付管道,以打擊日益猖獗的勒贖攻擊事件。
全球 31 國的資安與執法單位,在日前於線上舉辦的反勒贖攻擊國際會議(Counter-Ransomware Initiative)上共同聲明,將採取行動,加強查緝各種遭勒贖駭侵團體用以進行贖款金流的加密貨幣支付管道,以打擊日益猖獗的勒贖攻擊事件。
這個會議是由美國白宮國家安全會議(The White House National Security Council)發起,以因應勒贖攻擊對全球關鍵基礎設施帶來的嚴重威脅。
參加此一國際會議的國家,除了美國以外,還有澳大利亞、巴西、保加利亞、加拿大、捷克、多明尼加共和國、愛沙尼亞、歐盟、法國、德國、印度、愛爾蘭、以色列、義大利、日本、肯亞、立陶宛、墨西哥、荷蘭、紐西蘭、奈及利亞、波蘭、韓國、羅馬尼亞、新加坡、南非、瑞典、瑞士、烏克蘭、阿拉伯聯合大公國、英國。
大會指出,目前已公開的勒贖攻擊贖款,透過加密貨幣轉帳支付的總金額,在最近兩年達到 5 億美元以上,其中 2020 年全年為 4 億美元,2021 年第一季為 8,000 萬美元。因此,針對這些地下加密貨幣匯兌管道實施嚴格查緝,將可有效打擊勒贖團體的不法獲利來源,達成實質嚇阻勒贖駭侵攻擊的目標。
大會指出,目前全球各國針對此類加密貨幣不法匯兌與洗錢的執法行動與強度不一,使得勒贖攻擊團體仍有機可乘;這次大會會後,將會加強各國之間在虛擬資產與反洗錢等作業之間的協調;各國的金融監理、金融調查、司法與執法單位之間的監理、監督、調查、執法的行動將會更為一致。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現熱門 NFT 交易所 OpenSea 存有一個漏洞,駭侵者可以藉以竊走 NFT 交易者錢包中所有的加密貨幣。
資安廠商 Check Point 旗下資資安研究人員,近日發現熱門「非同質性加密貨幣」(Non-Fungible Token, NFT) 交易所 OpenSea 存有一個漏洞;駭侵者可以透過特製的 NFT,藉以竊走 NFT 交易者錢包中所有的加密貨幣。
資安專家指出,駭侵者發動攻擊的方法相當簡單,只要製作一個含有惡意程式碼酬載的 NFT,等待受害者打開該 NFT 來檢視內容即可。
Check Point 在發現許多 OpenSea 用戶遭駭後,開始研究 OpenSea 的平台機制。專家發現 OpenSea 帳號係透過第三方加密貨幣錢包軟體(如 MetaMask)來運作,用戶的任何動作,例如在某個 NFT 藝術品上按讚,都會觸發錢包軟體對 OpenSea 發出登入要求。
Check Point 的資安專家,上傳一個夾帶有一段 JavaScript 惡意程式碼的 SVG 檔到 OpenSea 平台上,然後點按該圖檔,瀏覽器便會自動開啟一個新頁籤,並且在一個名為 storage.opensea.io 的網域中執行這段 JavaScript 程式碼;而資安專家便在 SVG 中安插另一段程式碼,可以直接開啟用戶的加密貨幣錢包。
因此,資安專家指出,攻擊者可以藉由空投活動,發送夾帶惡意程式碼的特製 NFT,讓受害者誤以為自己獲得 NFT 空投獎勵,駭侵者即可讓受害者開啟其加密貨幣錢包;此時可以再顯示另一個彈跳視窗,內含發送錢包內加密貨幣到駭侵者指定位址的指令,如果受害者不細檢閱內容,按下發送按鈕,就會將自己的加密貨幣轉帳給駭侵者。
Check Point 在發現此漏洞後,於 9 月 26 日通知 OpenSea;雙方的資安人員很快在 1 小時後修復此漏洞;但目前無法估計因此漏洞造成的損失總額。
twcert 發表在
痞客邦
留言(0)
人氣()
VirusTotal 近期發表研究報告,自 8,000 萬筆勒贖攻擊案例,分析全球勒贖攻擊的樣態,並提出分析報告。
據報告指出,這些資料係來自 233 個國家,每天收集 200 萬份以上的報告檔案,累積長達 16 年之久。其中和近年來的勒贖攻擊相關的資料筆數達 8,000 萬份以上。
報告說,自 2020 年起開始收集到和勒贖相關的報告檔案,顯示有 140 國以上的 VirusTotal 用戶曾遭到勒贖攻擊;在這段期間內,有 130 種不同的勒贖攻擊軟體家族曾經發動過勒贖攻擊。
在勒贖攻擊的密度方面,2020 年第一季與第二季,由於 GandCrab 勒贖活動十分活躍,形成兩波攻擊高峰;而在 2021 年第二季,由於 Babuk 勒贖的大規模活動,又形成另一攻擊高峰。
在攻擊目標的地理分析方面,VirusTotal 報告指出,從以色列收集到的勒贖攻擊案例最多,和基數相比多了近六倍,其次是南韓、越南、中國、新加坡、印度、哈薩克、菲律賓、伊朗、英國等。
在 VirusTotal 發現的 130 種不同的勒贖攻擊家族中,發動攻擊最頻繁的是最近已停止活動的 GandCrab,在前十名的勒贖攻擊家族中佔比高達 78.5%;其次為近來開始大規模發動攻擊的 Babuk(7.61%)、Cerber(3.11%)、Matsnu(2.63%)、WannaCry(2.41%)、Congur(1.52%)、Locky(1.29%)、Teslacrypt(1.12%)、Rkor(1.11%)、Reveton(0.70%)。
twcert 發表在
痞客邦
留言(0)
人氣()
