微軟近日發表資安通報,指出該公司發現一個大型「釣魚即服務」,提供自動化進行釣魚攻擊的訂閱制服務。
微軟公司旗下的資安研究單位 Microsoft 365 Defender Threat Intelligence Team 近日發表資安通報,指出該公司發現一個大型「釣魚即服務」(Phishing-as-a-service, PhaaS),提供自動化進行釣魚攻擊的訂閱制服務。
微軟指出,該服務背後的駭侵團體被稱為 BulletProofLink,也稱為 BulletProftLink 或 Anthrax;該團體提供的釣魚攻擊「服務」,包括提供計次付費「釣魚工具組」(Phishing Kits),內含基本釣魚信件與登入資訊詐騙網站的範本與樣式,以及訂閱制的長期服務,內容除了上述範本與樣式外,還包括釣魚信件發送、詐騙網站託管、代客竊取登入資訊、登入資訊擴散,以及「完全無法偵測」的連結與記錄檔等。
微軟說,該單位發現由這個駭侵團體發動的釣魚攻擊中,使用了極多新登記的子網域,其中一起攻擊事件中使用的子網域數量就高達 30 萬個;另外該「服務」更提供 100 種以上的釣魚信件與網站範本,用來假冒許多知名品牌與服務。
微軟表示,Bulletproftlink 團體設立的 ICQ 討論群組,去年時共有 1,618 名成員,內含許多該服務與被竊登入資訊的潛在買主。
微軟也指出,BulletProofLink 團體除了販售釣魚服務之外,這些「客戶」利用該服務發動攻擊所取得的登入資訊或其他機敏資訊,也會被該團體取回,存入該團體設立的另一系列伺服器,以再次用於發動攻擊,提高該團體的不法獲利。
twcert 發表在
痞客邦
留言(0)
人氣()
美國財政部最近針對涉及協助勒贖團體成員洗錢的加密貨幣交易所 SUEX 發出制裁命令,以打擊日益嚴重的勒贖攻擊與國際洗錢管道。
美國財政部最近宣布,針對涉及協助勒贖團體成員洗錢的加密貨幣交易所 SUEX,發出制裁命令,以打擊日益嚴重的勒贖攻擊與國際洗錢管道;這是首度有加密貨幣交易所遭到美國政府的制裁。
被美國財政部點名的 SUEX 交易所,雖然總部登記於捷克共和國境內,但實際營運並不在捷克,而是在俄羅斯的莫斯科與聖彼得堡,以及其他中東據點運作。
據美國財政部指出,SUEX 過去至少涉及為 8 次以上的勒贖攻擊提供金流服務,其已知的加密貨幣交易記錄中,高達 40% 以上都和不法分子的洗錢交易有關。
這是美國政府首次針對加密貨幣交易所發動制裁,目的在於打擊日益猖獗的勒贖攻擊金流與國際洗錢管道;美國財政部指出,2020 年這類與勒贖攻擊有關的加密貨幣洗錢交易,總金額高達 4 億美元,是 2019 年的 4 倍以上。
據區塊鏈統計公司 Chainalysis 的觀測資料指出,SUEX 自 2018 年 2 月成立以來,一共收到高達 4.81 億美元的比特幣轉入帳款,其中有相當大的比例和勒贖攻擊金流有關;包括 Ryuk、Conti、Maze 等勒贖團體,在 SUEX 的轉帳總額高達 1,300 萬美元,和加密貨幣詐騙相關的轉帳總額則有 2,400 萬美元,透過暗網進行的各種不法交易,也達到 2,000 萬美元以上。
美國財政部長葉倫指出,勒贖攻擊與其他駭侵攻擊,使美國不分大小企業都蒙受重大損失,對美國經濟也形成直接的威脅;美國政府會持續打擊這類不法分子,採取各種方法,包括制裁與監管手法,來破壞、嚇阻並預防勒贖攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
Netgear 近日修復存於多款無線路由器的嚴重資安漏洞;該漏洞可導致駭侵者遠端執行任意程式碼。受影響機種用戶應立即進行韌體更新,以修復此一嚴重漏洞。
全球網通大廠 Netgear 近日發表資安更新,修復存於多款無線路由器的嚴重資安漏洞 CVE-2021-49847;該漏洞可導致駭侵者遠端執行任意程式碼。受影響機種用戶應立即進行韌體更新,以修復此一嚴重漏洞。
該漏洞存於 Netgear 提供用戶進行家長分級內容控制的軟體「Circle」之內。資安專家指出,在進行 Circle Patental Control Serive 的更新過程中,攻擊者可以透過中間人攻擊手法取得某些 Netgear 路由器的 root 權限,並且執行任意程式碼。
攻擊者在利用 Circle 漏洞前,必須先進入該路由器下的內部網段,並且能夠攔截該路由器的網路通訊封包,才能利用此漏洞發動攻擊。
資安專家說,雖然 Netgear 的路由器本身並未預設開啟家長內容分級控制功能,但在路由器的作業系統中,相關的服務更新 daemon Circled 預設是開啟運作的,因此駭侵者仍有機會在未啟用家長控制功能的 Netgear 路由器上利用此漏洞。
資安專家說,一旦駭侵者成功利用此漏洞控制 Netgear 路由器,即可透過該路由器之下的內部網路,找到其他可以對其發動攻擊的目標,並且發動其他類型的駭侵攻擊;例如發動近來相當嚴重的 PrintNightmare 攻擊活動,或是各種勒贖攻擊。
受影響的 Netgear 路由器款式共有 11 種,多半為家用/小型辦公室使用的機種,型號包括 R6400v2、R6700、R6700v3、R6900、R6900P、R7000(1.0)、R7000(1.3)、R7850、R7900、R8000、RS400 等。CVE編號:CVE-2021-40847
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局發布最新資安通報,指出今年到目前為止,各種以愛情邂逅為主的網路詐騙案,在美國造成的損失金額已高達 1.33 億美元。
美國聯邦調查局(Federal Bureau of Investigation, FBI)發布最新資安通報,指出今年到目前為止,各種以愛情邂逅為主的網路詐騙案數量大幅增加,在美國造成的損失金額已高達 1.13 億美元。
FBI 說,這種類型的線上詐騙,通常是在社群平台上,使用假冒的身分,對潛在受害者頻送秋波,讓受害者卸下心防,以為自己與對方墜入情網後,詐騙者再利用其信任,進行各種金錢為主的詐騙活動,例如要求受害者轉帳,甚至套取其金融相關機敏資訊或登入資訊等。
某些案例中,當詐騙者收到受害者的轉帳後,還會進一步以看似可以快速獲取豐厚利潤的套利投資機會,誘騙受害者參與投資;等到受害者真的投資了,又會以各種理由阻止受害者收取利潤或撤回投資金額,然後就人間蒸發,讓受害者追討無門。
FBI 說,這不只會讓受害者人財兩失,更會對受害者的心理健康帶來嚴重傷害。
據 FBI 的統計數字,從 2021 年 1 月 1 日起至 7 月 31 日,FBI 的網路犯罪檢舉中心(FBI Internet Crime Complaint Center, IC3) 一共接獲 1,800 件以上的網路愛情詐編檢舉通報,相關的損失金額合計高達 1.33 億美元以上。
FBI 建議網路用戶應該以下列方式,保護自己不受這類線上愛情詐騙影響,包括絕對不要與這類人進行任何金錢交易或投資、不要輕易揭露自己的金融相關資訊,包括銀行帳號、身分證件字號等、對於各種承諾不合理高獲利的線上金融投資機會,必須特別提高警覺、也不要輕信任何人提供的快速獲利投資機會。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟推出 2021 年 9 月分例行性「Patch Tuesday」軟體更新,一共修復多達 86 個各式漏洞,其中更有 2 個 0-day 漏洞在內。
微軟日前正式推出 2021 年 9 月分例行性「Patch Tuesday」軟體更新修補包。在這次例行性的更新中,一共修復多達 86 個各式漏洞,其中更有 2 個 0-day 漏洞在內。
這 86 個漏洞中,其中有 26 個發生於 MIcrosoft Edge 瀏覽器,其餘 60 個散見在微軟Windows、Office、Azure 等軟體或服務中。若從漏洞的性質來看,有 27 個漏洞屬於權限提升類漏洞、2 個為安全防護繞過漏洞、16 個遠端執行任意程式碼漏洞、11 個資訊洩露漏洞、1 個服務阻斷漏洞、8 個假冒詐騙漏洞。
在這次修復的兩個 0-day 漏洞中,CVE-2021-36968 是發生在 Windows DNS 系統中的漏洞,可導致駭侵者提升執行權限。這個漏洞目前還沒有傳出遭到大規模用於攻擊的情資。
另一個 0-day 漏洞 CVE-2021-40444 則已遭到駭侵者大規模用於駭侵攻擊。這個漏洞發生在 Microsoft MSHTML 系統中,駭侵者可利用此漏洞遠端執行任意程式碼。典型的攻擊手法是透過特製的 Word 文件檔案,在受害者電腦中安裝一個惡意 DLL 檔案,接著在該電腦中安裝一個 Cobalt Strike beacon,藉以遙控該 Windows 電腦,並且竊取各種檔案與資料。
另外此次修復的漏洞中,有三個危險程度較高,被列為「嚴重」等級的漏洞,分別是發生在 Open Management Infrastructure 的遠端執行任意程式碼漏洞 CVE-2021-38647、發生在 Windows Scripting Engine 的記憶體崩潰漏洞 CVE-2021-26435、發生在 Windows WLAN AutoConfig Service 的 遠端執行任意程式碼漏洞 CVE-2021-36965。
強烈建議微軟各種軟體與服務用戶,應立即透過系統更新功能來修補漏洞,以避免駭侵者透過已知漏洞發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安大廠趨勢科技,日前發表 2021 年年中資安攻擊分析報告,針對 2021 年上半年發現的各種資安威脅趨勢提出分析。
全球資安大廠趨勢科技,日前發表一份名為「2021 年年中資安攻擊」的分析報告,針對 2021 年上半年發現的各種資安威脅案例與趨勢提出分析。
該報告有六個部分,分別為勒贖攻擊、進階持續性威脅(Advanced Persistent Threat, APT)、資安漏洞、Covid-19 肺炎疫情相關詐騙與威脅、雲端與 IoT 資安、威脅總體分析等等。
在 2021 年上半年的勒贖攻擊方面,據該公司統計指出,以各種管道如 Email、URL、惡意檔案等攻擊次數,合計超過 700 萬次;其中以金融產業被攻擊次數最多,高達 15,537 次,甚次為政府單位(10,225 次)、製造業(4,957 次)、醫療保健業(4,802 次)、食品飲料業(2,330 次)。最具威脅的勒贖團體則為 DarkSide、REvil、Hello 等。
在 APT 駭侵團體方面,這份報告列出五大在 2021 年上半年最具威脅的 APT 團體,分別為 TeamTNT、Water Pamola、Earth Vetala、Iron Tiger、Earch Wendigo。以 TeamTNT 來說,主要都是鎖定架構在 Amazon Web Services 上的各種網站服務或 Kubernetes 容器,竊取其帳號密碼,取得控制權後植入加密貨幣挖礦程式以牟取暴利。Water Pamola 的攻擊手法則由過去以發送釣魚信件為主,改為在各種網路商店的管理介面中,以 XSS 攻擊其漏洞來取得控制權。
在漏洞方面,趨勢科技指出 2021 年上半年最具威脅性的四大漏洞,分別是 ProxyLogon、Microsoft SharePoint 漏洞、各種 VPN 系統漏洞、PrintNightmare 等。
twcert 發表在
痞客邦
留言(0)
人氣()
南非司法部日前遭嚴重勒贖攻擊,所有電腦系統內的檔案均遭加密,對內與對外電子化服務全面停擺。
南非司法部(Department of Justice)日前遭嚴重勒贖攻擊,所有內部網路中的電腦系統所存檔案均遭到加密而無法存取,導致該單位對內與對外的電子服務全面停擺。
據南非司法部發言人 Steve Maglangu 表示,這次攻擊行動發生於 9 月 6 日,造成該單位內部網路中的檔案全部遭到加密,單位內部員工與外部公眾都無法存取這些檔案,因此造成該單位的電子化服務無法正常運作。
具體受到影響的業務範圍,包括無法開立各種政府公文、暫停保釋程序、Email 系統與網站系統均無法使用等等。
南非司法部發言人 Steve Maglangu 指出,該單位立即啟動緊急狀況程續,除了正在努力復原系統之外,為確保重要功能仍能繼續運作,包括各種文書的開立,以及法庭的運作,都暫時回復到人工作業模式;但子女扶養費(Child maintainance payment)的支付目前嚴重受阻。
Steve Maglangu 也表示,目前無法確定所有系統何時能夠恢復正常運作;目前該單位正在設立一個全新的 EMail 系統,並將員工逐步轉移至新系統上。不過南非司法部沒有透露任何這次攻擊行動的細節資訊,包括攻擊者身分、攻擊手法等,目前都不得而知。
南非司法部指出,目前沒有任何跡象顯示司法部資料外洩並遭濫用,也沒有任何駭侵團體出面宣稱發動這次攻擊;但資安專家指出,從南非司法部系統恢復所需的甚長時間,加上轉移到新的 Email 系統,研判該單位並未支付贖金給勒贖攻擊者。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 緊急修復 iOS 中的 2 個 0-day 漏洞,該漏洞過去曾遭間諜軟體 Pegasus 大規模用於攻擊 iPhone 與 Mac 裝置,以進行竊聽與資料竊取。
Apple 推出用於新版 Mac、iOS 裝置的作業系統更新,以緊急修復 iOS 中的 2 個 0-day 漏洞,該漏洞過去曾遭以色列間諜軟體 Pegasus 大規模用於攻擊 iPhone 與 Mac 裝置,以進行竊聽與資料竊取。
獲得修復的 2 個 0-day 漏洞分別是 CVE-2021-30860 與 CVE-2021-30858;CVE-2021-30860 是存於 iOS 與 macOS 中 CoreGraphics 子系統的整數溢位漏洞,駭侵者可利用特製的 PDF 檔案誘發此漏洞,在 iOS 與 macOS 中執行任意程式碼。
另外,CVE-2021-30858 則是一個存於 WebKit 瀏覽器核心引擎中的「使用已釋放記憶體」(use after free)漏洞;駭侵者可利用特製的網頁,在 iPhone 與 Mac 電腦上 執行任意程式碼。
資安廠商 Citizen Lab 的研究人員指出,這兩個漏洞過去都曾遭駭侵者大規模濫用,特別是以色列科技保全公司 NSA 開發的 Pegasus 惡意間諜軟體,可能涉及利用這兩個 0-day 漏洞,讓某些國家的情報單位,針對特定人士進行大規模監聽。
Apple 這次推出的大規模更新,在作業系統方面包括 iOS 14.8、iPad OS 14.8、iPod Touch、Mac 各型電腦、Apple Watch 等硬體裝置;舊版的 macOS Catalina 與 macOS Mojave 中的 Safari 瀏覽器也有更新版本推出,用戶應立即透過系統更新進行漏洞修補,以免遭駭侵者繼續利用未更新的漏洞攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
Microsoft、Apple、Google、Adobe等國際大廠,請關注並盡快進行更新。請注意,在更新之前,請確保您已備份系統與重要文件。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商指出,來自社群媒體平台,針對支付服務發動的各種攻擊,光在 2021 年第 1 季到第 2 季之間,暴增五倍以上。
資安廠商 Atlas VPN 日前發表研究報告指出,來自社群媒體平台,針對支付服務發動的各種駭侵攻擊活動,光在 2021 年第 1 季到第 2 季之間,暴增高達 561.8%。
Altas VPN 這份研究報告,係與 PhisLabs 合作推出;據 PhisLabs 的資安研究人員表示,在 2021 年第 2 季,透過社群平台發動的各種網路駭侵活動。針對的行業種類增減比較,除了上述支付系統大增 561.8% 之外,依增加幅度,依序為醫療保健業(187.8%)、廣播電視媒體(112.5%)、加密貨幣(13%)、 信用合作社(4.9%)。
但也有不少行業,在 2021 年第 2 季遭社群平台相關駭侵攻擊的次數,較 2021 年第 1 季減少;包括銀行業(10.2%%)、電子商務(-19.7%)、電信業(-23.5%)、電腦軟體(-49.2%)、網路約會(-52.3%)。
該研究報告也揭露了 2021 年第 2 季,透過社群平台發動的各種攻擊類型比例,其中詐騙佔最大宗,高達 45.6%,其次為假冒他人或品牌身分(21.8%%)、網路攻擊(19.1%)、 資料竊取(13.2%%)、實體威脅(0.3%)。
該報告指出,過去在各種網路攻擊的樣態中,來自社群平台的攻擊,並不是最主要的攻擊來源;然而在 2021 年第 2 季的統計數字,可以看出網路犯罪分子使用社群平台發動攻擊的也開始增加;在 2021 年 1 月時,Atlas VPN 偵測到的社群平台攻擊案例,每月有約 33.6 件,到了 2021 年 6 月則增加到近 50 件。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 近期推出 2021 年 9 月 Android 資安修補包,一共修復 40 個資安漏洞,其中包括多個嚴重等級漏洞。
Google 近期推出 2021 年 9 月 Android 資安修補包,一共修復多達 40 個資安漏洞,其中包括多個嚴重等級漏洞;Android 裝置用戶應隨時注意裝置原廠推送的更新通知,一有更新可用,即應立刻更新。
在這次 Android 資安修補包分成兩批。9 月 1 日推出的第一批修補包,解決掉的嚴重等級漏洞中,包括一個存於 Android 8.1、9、10、11 等多個版本 Framework 組件的漏洞,其 CVE 編號為 CVE-2021-0687;Google 在這次的資安通報中指出,遠端駭侵者可以利用一個特製的檔案來誘發此漏洞,造成永久性的服務阻斷(permanent denial of service)。
Google 在 Framework 中還修復了多達 6 個其他資安漏洞,都列為「高」等級危險程度;其中有 5 個可讓駭侵者提升執行權限,1 個為資訊不當洩露。
而在第二批於 9 月 5 日推出的 Android 資安修補包中,一共修補了 23 個資安漏洞,分布於 Android 作業系統中的 Kernel、MediaTek、Unisoc、Qualcomm、Qualcomm close-sourced 等多個組件之內。
其中有 7 個嚴重等級的漏洞發生在 Qualcomm closed-source 組件中,此次一併獲得修復。
雖然 Google 定期針對 Android 系統推出資安修補包,但由於用戶手上的 Android 裝置,內部的 Android 系統多半都是原廠修改過的版本,無法直接套用 Google 的更新包,只能接收來自原廠的系統更新;因此用戶應特別注意裝置是否收到原廠系統更新,如有即應立即更新;也應停止使用原廠不再提供更新服務的老舊裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
惡名昭彰,發動過許多大規模勒贖攻擊,但於數個月前突然停止運作的勒贖團體 REvil,近日又重起爐灶,再次開始發動攻擊。
惡名昭彰,在近發動過許多大規模勒贖攻擊, 造成全球各企業組織嚴重損失,但於數個月前突然停止運作的勒贖團體 REvil,近日又重起爐灶,再次開始發動攻擊。
據資安專業媒體 BleepingComputer 報導指出,REvil 原本在 Tor 加密網路上設一個用來展示進行中勒贖攻擊,並警告受害者贖款支付期限的網站,原本自六月該單位發動基於 Kaseya VSA 遠端管理系統漏洞的勒贖攻擊後,自七月起就一直處於關閉狀態;但在 9 月 7 日開始,該網站再度恢復運作;隔天起受害者便可登入該網站,與 REvil 駭侵團體「協商」贖金支付金額。
九月初該網站恢復運作後,有接近一星期的時間,沒有刊登新的勒贖攻擊相關訊息;然而在近日該網站不但恢復運作,資安廠商 VirusTotal 也收集到新的 REvil 勒贖攻擊使用的惡意軟體樣本。
另一方面,REvil 勒贖團體成員,也重新出現在某些駭侵相關論壇中;過去經常代表 REvil 駭侵團體的帳號「UNKN」沒有出現,但有另一個自稱是「REvil」的 ID 指出,該團體的消聲匿跡,是因為他們認為 UNKN 可能遭司法單位逮捕,再加上其發動駭侵使用的基礎設施遭各國司法單位緝獲,該團體因而停止運作;該代也說,之前司法單位宣稱取得的 Kaseya 勒贖解密金鑰,其實是該團體的某個成員對外洩露的。
不過據 BleepingComputer 獲得的情資指出,司法單位對於 REvil 之前的消失,也感到十分驚訝;另一段可能是由資安研究人員與 REvil 成員的網路對話,也指出該團體的短暫消失,「只是暫時休息一下」。
無論如何,REvil 近年來活動最明目張膽,也犯下最多大型勒贖攻擊案件的駭侵團體;各公私營單位都應嚴加防範,避免成為其勒贖攻擊的受害者。
twcert 發表在
痞客邦
留言(0)
人氣()
