惡名昭彰的駭侵團體 TrickBot 犯罪分子,在試圖離開南韓時遭警方逮捕。
一名疑似惡名昭彰的駭侵團體 TrickBot 旗下的犯罪分子,在試圖搭機離開南韓時遭警方逮捕;目前正準備引渡至美國,接受進一步的司法審訊。
據南韓媒體 KBS 報導,這名遭南韓警方逮捕的犯罪嫌疑人,是俄羅斯籍的男性軟體開發人員。他因為受到 COVID-19 疫情影響,無法離開南韓,護照又即將過期;在等待其護照更新約一年半後,於近期搭機離開南韓境內時,因美國方面的引渡要求,遭到南韓警方逮捕。
司法單位認為這名開發者,涉嫌於 2016 時為駭侵團體 TrickBot 進行開發工作,參與開發一個網路瀏覽器專案;當時他住在俄羅斯境內。
駭侵團體 TrickBot 是全球知名的惡意軟體集團,開發多種惡意軟體,包括 TrickBot、BazaLoader、BazaBackdoor、PowerTrick、Anchor 等;這些惡意軟體大多用於攻擊企業所屬網路,以竊取內部機敏資訊,並且部署、發動勒贖攻擊。
近年來多起大型全球勒贖攻擊事件都和 TrickBot 駭侵團體有關,包括著名的 Ryuk 與 Conti 勒贖軟體,據稱都來自 TrickBot。
但該名男性開發者在南韓高等法院出庭應訊時指稱,自己並不知道僱用他的單位是駭侵團體;他說他的工作內容與工作手冊,並沒有涉及惡意軟體的開發。
該名開發者的俄羅斯律師,正在試圖避免該名開發者遭南韓引渡至美國;該律師說,一旦該名開發者被引渡至美國,就很難倖免於嚴重的司法控訴。
twcert 發表在
痞客邦
留言(0)
人氣()
全球網通產品大廠 Netgear 修復影響其二十種智慧型交換器的三個嚴重資安漏洞,駭侵者可利用這些漏洞,完全控制交換器設備。
全球網通產品大廠 Netgear 日前推出韌體更新,修復影響其多達二十種智慧型交換器的三個嚴重資安漏洞;駭侵者可利用這些漏洞,完全控制交換器設備。
這三個將獲修復的漏洞,分別由資安研究人員命名為 The Demon’s Cries、Draconian Fear、Seventh Inferno,目前暫無 CVE 編號,但都可能造成這些智慧型交換器的控制權限遭駭侵者取得,進而針對企業內網發動進一步攻擊行動。
Demon’s Cries 漏洞的 CVSS 分數高達 8.8 分(滿分為 10 分),據資安專家指出,該漏洞可讓駭侵者跳過登入驗證程序,駭侵者可藉以取得管理者的登入資訊,並且完全掌控受害的交換器設備。
資安研究人員指出,該漏洞存於 Netgear Switch Discovery Protocol 之內;研究人員發現一種可以跳過其登入驗證程序的方法,不過駭侵者必須先進入企業內部網路,才能利用這個漏洞。
Draconian Fear 的 CVSS 分數為 7.4 分,駭侵者如果與管理者使用同一個 IP,或假造一個和管理者相同的登入用 IP,即可攔截 Netgear 交換器 web 界面傳送的資訊封包,並且利用其來源檢查的漏洞,進入管理介面之中。
研究人員尚未針對第三個漏洞 Seventh Inferno 推出詳細分析,不過 Netgear 已針對旗下二十種受到這批漏洞影響的機種,推出更新版本的韌體;使用 Netgear 交換器的用戶,應依照 Netgear 資安通報的說明,檢查交換器的型號與版本是否列入受影響名單之列,並且儘速更新。影響產品/版本:參見 Netgear 資安通報 解決方案:更新至最新版本韌體
twcert 發表在
痞客邦
留言(0)
人氣()
國內利用釣魚郵件詐騙的手法持續不斷,其中針對企業進行的竄改商務電子郵件詐騙(Business Email Compromise, BEC)數量也大幅提升,加深了企業的資安風險。企業進行國際貿易頻繁,與外國供應商或企業合作時常需要聯繫及匯款交易,使駭客有機可趁。駭客會以假冒合作的外國供應商或是高階主管之名義寄送電子郵件,意圖降低收件者戒心,誘騙公司或財務人員轉帳匯款。今年國內就有案例是駭客偽冒一間公司的財務長發送電郵給秘書,以信件內容及會議紀錄誘使秘書信任,進而轉帳至指定帳戶,使公司損失上百萬美元。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟緊急推出針對一個嚴重 0-day 漏洞的暫時解決方案;該漏洞可導致駭侵者攻擊 Office 365 與 Office 2019,並且遠端執行任意程式碼。
微軟日前緊急推出針對一個嚴重 0-day 漏洞的暫時解決方案;該漏洞可導致駭侵者攻擊 Windows 10 上的 Office 365 與 Office 2019,並且遠端執行任意程式碼。
該漏洞的 CVE 編號為 CVE-2021-40444,其 CVSS 危險程度評分高達 8.8 分(滿分為 10 分),主要受影響的微軟產品,以 Windows 家族作業系統(包括 Windows Server 2008、Windows 8.1 一直到 Windows 10 的各版本)上的 Office 365 與 Office 2019。
該漏洞存於 MSHTML 子系統中,這是一個用來繪製畫面輸出的瀏覽器元件,也用於 Microsoft Office 文件之中;駭侵者可利用內含惡意 ActiveX 控制項目的特製 Microsoft Office 文件檔案來誘發此漏洞。要是受害者開啟含有惡意 ActiveX 控制項目的 Office 文件時,即可能遭到攻擊。
不過微軟也指出,如果用戶是以預覽模式,或是透過 Office 365 中的 Application Guard 來開啟從網路上下載的惡意 Office 文件檔案,由於是處於唯讀狀態,且 Application Guard 預設會將不受信任的文件隔離開來,不可使用連線資源或本機的檔案系統,因此將不會受到攻擊。
另外,如果電腦系統上安裝有啟用中的 Microsoft Defender Antivuris 以及 Defender for EndPoint (版本 1.349.22.0 及更新版本),系統也能受到保護,不會遭到 CVE-2021-40444 的攻擊。
用戶可參照微軟提出的暫時解決方案,編輯登錄檔以停用 ActiveX 控制項目。CVE編號:CVE-2021-40444
twcert 發表在
痞客邦
留言(0)
人氣()
資安研究人員自製出一條外觀與一般 Lightning 傳輸線完全無異,但內含特製晶片,可以攔截用戶輸入資訊,並無線傳輸至 2 公里之外的駭侵用傳輸線。
一位資安研究人員自製出一條外觀與一般 Lightning 傳輸線完全無異,但內含特製晶片,可以攔截用戶輸入資訊,並透過無線網路,將竊得資訊傳輸至一英哩之外的駭侵用傳輸線。
這名資安研究人員自稱為 MG。MG 推出的這條名為「O.MG」的傳輸線,一端是標準的 USB-C 插頭,另一端則是相容於 Apple 多種產品的 Ligntning 插頭。在 MG 發表的測試影片中,示範了當這條 O.MG 駭侵傳輸線連上 Mac 電腦與 Magic Keyboard 鍵盤後,該傳輸線就會變成一個 Wi-Fi 無線網路熱點,並建立起一個用來傳輸駭侵資訊的無線網路。駭侵者可在最遠達 2 公里處,打開一個瀏覽器界面,遠端接收用戶在該鍵盤上輸入的所有字元。
O.MG 建立的 Web 界面,除了可以竊取用戶的鍵盤輸入字元外,也可以輕易植入各種酬載程式碼;甚至可以設定在當失去連線時自動停止執行酬載程式,或是執行自我毀滅程式,自動清除酬載,以免遭到發現。
MG 推出的這條「O.MG」駭侵傳輸線,實際上是第二代「產品」。該產品的第一代係使用插頭體積較大的 USB-A 對 Lightning 界面;許多人認為日益普及的 USB-C 界面,其體積較小,不足以放置額外的駭侵用晶片電路;但 MG 仍然將之成功實作。
USB-C 版本的 O.MG 駭侵傳輸線,不只可以插在 Apple 的 Magic Keyboard 上竊取資訊,也可以單獨將其 USB-C 插頭插入各種支援 USB-C 界面的平板電腦或手機上。
twcert 發表在
痞客邦
留言(0)
人氣()
一名原任職於美國紐約信用合作社的離職員工,在遭該單位解僱後,侵入原任職單位的電腦系統,惡意刪除 21 GB 的重要資料。
一名原任職於美國紐約信用合作社(New York Credit Union)的離職員工 Juliana Barlie,在遭該單位解僱後,侵入原任職單位的電腦系統,惡意刪除 21 GB 的重要資料,目前已遭司法單位起訴。
據檢查官 Jacquelyn M. Kasulis 指出,Juliana Barlie 原本在紐約信用合作社擔任遠距工作的兼職員工,在今年 5 月 19 日遭該單位解僱後,於 2 天後以原有的系統登入資訊進入該單位的伺服器,以指令刪除多筆重要業務相關資料。
據調查報告指出,雖然紐約信用合作社的人員,曾要求外包該單位資訊業務的公司,刪除該離職人員的登入權限,但顯然該外包廠商並未及時切實執行;導致 Juiliana Barlie 仍可利用原本工作時設定的登入資訊,登入紐約信用合作社的工作用電腦系統。
Juliana Barlie 於 5 月 21 日登入系統後,以近 40 分鐘的時間,一共刪除了 21.3 GB 的資料,包括近 20,000 個檔案,以及 3,500 個資料夾;而被刪除的資料中,許多是該單位的客戶貸款申請資料,甚至還包括該單位為防範勒贖攻擊而安裝的資安防護軟體。
當事人 Juailiana Barlie 甚至還在數日後,以簡訊將他刪除紐約信合社檔案一事告訴朋友。
雖然紐約信用合作社擁有某些被刪除資料的備份檔案,但仍需額外花費一萬美元左右,以復原遭惡意刪除的檔案;該信用合作社的客戶貸款作業也因而受到影響,許多客戶被迫使用紙本作業申請或繳付貸款餘額。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現十多家廠商產製的單晶片系統,其內部的藍牙連線堆疊存有嚴重資安漏洞 BrakTooth,可導致駭侵者藉以發動多種資安攻擊行動。
資安專家日前發表研究報告,指出發現十多家廠商產製的單晶片系統,其內部的藍牙連線堆疊,存有非常嚴重的資安漏洞(稱為「BrakTooth」),可導致駭侵者藉以發動多種資安攻擊行動。
來自新加坡科技與設計大學的資安研究人員,日前發表針對 BrakTooth 的詳細研究報告;報告指出他們發現 13 家廠商推出的單晶片系統(System-on-a-chip, SoC),其中的藍牙堆疊都存有 BrakTooth 漏洞。
被指含有 BrakTooth 漏洞的 SoC 產品,廣泛用於各種智慧型手機、車用資訊娛樂系統(Infotainment System)、筆記型電腦、桌上型電腦、平板電腦、視聽器材(如電視、音響、藍牙喇叭、藍牙耳機等)、家用娛樂裝置、無線鍵盤、無線滑鼠、玩具、工業設備(如可程式邏輯控制器 PLC)等,數量可能多達十億台以上。
報告也說,生產這些含漏洞 SoC 產品的廠商,包括 Intel、Texas Instruments、Qualcomm、Zhuhai Jieli Technology、Cypress、Bluetrum Technology、Actions Technology、Espressif Systems、Harman International、Silabs 等公司推出的共十三種 SoC 產品。
研究人員說,BrakTooth 漏洞可讓駭侵者藉以發動多種攻擊活動,包括分散式服務阻斷(Distributed Denial of Service, DDoS)攻擊、造成用戶裝置發生「死結」(deadlock)而無法使用藍牙連線、遠端執行任意程式碼等。
這一系列漏洞被指派到多達 20 個 CVE 編號,其中包括 Espreessif Systems、Cypress、Bluetrum Technology 等公司的產品已推出對應的修補程式,其他也有多家公司正在撰寫修補軟體。各藍牙產品用戶應注意更新訊息,以及時更新受影響的裝置。
twcert 發表在
痞客邦
留言(0)
人氣()
去中心化加密貨幣交易所 Cream Finance 遭不明駭侵者入侵,竊走價值超過 2,900 萬美元的資產。
去中心化加密貨幣交易所 Cream Finance,於 8 月 30 日在 Twitter 貼文公布,該交易所遭不明駭侵者入侵,一共竊走價值超過 2,900 萬美元的資產。
根據 Cream Finance 的貼文指出,被竊走的加密貨幣資產,分別是 418,311,571 枚 AMP 代幣(總值相當於 2,510 萬美元),以及 1308.09 枚以太幣(總值相當於 415 萬美元)。
該交易所也表示,駭侵者是針對該交易所的「閃電借貸」(Flash Loan)功能,發動「重新進入攻擊」(Reentrancy Attack)。所謂閃電借貸是一種在以太坊區塊鏈上執行的智慧合約,Cream Finance 的用戶可以透過此合約,快速獲得貸款以進行後續套利投資,之後再行還款的服務。
據區塊鏈資安專家指出,這次攻擊行動中,駭侵者使用的「重新進入攻擊」,是利用該智慧合約的軟體錯誤,在交易獲得確認或否決之前,以迴圈的方式不斷重覆提領資金。
區塊鏈資安專家也確認 Cream Finance 這次攻擊事件中,駭侵者是利用以太坊存於其 ERC-777 智慧合約標準規範中的一個已知漏洞;過去也有多家去中心化交易所遭駭侵者利用此漏洞發動重新進入攻擊,因而造成加密貨幣資產遭竊。
區塊鏈資安專家說,今年(2021)已發生的各種加密貨幣駭侵攻擊中,針對去中心化金融服務(DeFi, Decentralized Finance)平台的攻擊活動,佔比高達 76%,用戶財損將近 5 億美元;各種去中心化金融服務平台,必須開發出類似防火牆之類的資安防護措施,以對應這類漏洞可能導致的駭侵攻擊行動。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟日前向數千名 Azure 雲端服務用戶示警,指出一個存於 Cosmos DB 的嚴重資安漏洞,可能導致用戶的資料庫遭駭侵者不當存取。
微軟日前向數千名 Microsoft Azure 雲端服務的用戶發出資安警訊,指出一個存於 Cosmos DB 的嚴重資安漏洞,可能導致用戶的資料庫遭駭侵者遠端不當存取。
Azure Cosmos DB 是一個全球使用率相當普及的 NoSQL 資料庫服務,大品牌用戶包括 Mercedes-Benz、Symantec、Coca-cola、Exxon-Mobil、Citrix 等。
該漏洞是於 2021 年 8 月初由資安廠商 Wiz 旗下的研究人員發現,並將此漏洞命名為「ChaosDB」;駭侵者可以用 Cosmos DB 內一個用來幫助用戶進行資料可視化的工具 Jupyter Notebook 功能內的一系列錯誤,來誘發此漏洞,即可取得 Cosmos DB 的用戶登入資訊,包括主要讀寫金鑰;駭侵者這樣可以在無需任何前置作業的情形下,利用此漏洞完全掌控 Azure 用戶的帳號與資料庫內容。
微軟表示,在接獲來自資安廠商的漏洞提報資訊後,該公司已於 48 小時內關閉該漏洞的進入點,藉以封鎖駭侵者使用此漏洞的路徑;雖然該漏洞已於近日得到修復,但微軟在近期又針對 30% 的 Cosmos DB 用戶發出資安警訊,表示這些用戶可能於 8 月 26 日遭到大規模針對此漏洞發動的駭侵攻擊行動。
Wiz 也指出,駭侵者很可能在該公司發現此漏洞並提報給微軟的數個月之前,就積極利用此一漏洞發動攻擊活動。
微軟也針對其 Azure 用戶提供此漏洞的暫時解決方案,用戶可以依其指南,重新製作不同的資料庫讀寫主要金鑰,並定期更換金鑰;微軟也建議 Azure 用戶考慮使用 Azure Cosmos DB 防火牆服務,並且整合其他虛擬系統,以提高安全性。
twcert 發表在
痞客邦
留言(0)
人氣()
近來有駭侵者對網站管理員寄發詐騙訊息,假稱其網站內含有惡意 DDoS 程式碼,需用其特製工具清除,實則利用此假工具植入 BazaLoader DDoS 惡意軟體。
近來有駭侵者對多個網站管理員寄發詐騙訊息,假稱其網站程式碼內含有惡意 DDoS(分散式服務阻斷攻擊,Distributed Denial of Service) 程式碼,需用其特製工具清除,否則將對其提告;網站管理員如果不疑有他,利用此假工具清理其網站,就會被植入 BazaLoader DDoS 惡意軟體。
網站開發者 Brian Johnson 指出,他有兩名客戶在最近收到可疑的法律通知信,指稱其所營運的網站遭到駭侵者植入 DDoS 惡意軟體,並對 Intuit、Hubspot 等大型網路服務業者發動 DDoS 攻擊。該信件威脅網站營運者,若不在時限之內,利用信中隨附連結的清理工具,清除其網站內的惡意程式碼,就將面臨後續的司法控告。
該威脅信件中,還附有一個 Google 文件的連結;詐騙者指稱該連結內有目標網站發動 DDoS 攻擊的「證明」,以及指定採用的「清理程式」。
資安專家分析該「清理程式」,發現該清理程式內含一個名為 Bazaloader 的 DDoS 惡意軟體;收到威脅信件的網站管理者,如果真的安裝使用該程式,其網站伺服器反而會被植入 BazaLoader DDoS 惡意軟體,並且從駭侵者設立的控制伺服器中下載如 Cobalt Strike 之類的惡意軟體模組,成為其僵屍網路的一部分。
資安專家也說,除了以網站遭 DDoS 程式感染之外,這類駭侵者也會以其他的理由來詐騙網站管理者,例如假稱該網站內含有侵害著作權的影音或圖片等等,要求網站管理員以其工具進行侵權檔案掃瞄與移除,進而詐騙網站管理員下載安裝同樣的 BazaLoader DDoS 惡意軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現採用台灣網通大廠之硬體與其 SDK 的無線連網裝置,含有一系列嚴重資安漏洞,且該漏洞已遭 Mirai 僵屍網路鎖定,發動大規模感染,造成數千萬台各廠牌連網裝置曝險。資安廠商 IoTInspector 旗下的資安專家,發現採用台灣網通大廠無線網路硬體晶片 RTL819xD 與其 SDK 解決方案的眾多無線連網裝置,含有一系列嚴重資安漏洞,且該漏洞已遭 Mirai 僵屍網路鎖定,發動大規模感染;造成數千萬台各廠牌連網裝置曝露於遭植入僵屍惡意軟體的資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
NFT 交易所 OpenSea 遭駭侵者假冒為其客服人員,藉機竊走求助用戶存於錢包內的加密貨幣與 NFT 收藏。
NFT 交易所 OpenSea 近日遭駭侵者在社群平台 Dischord 上假冒為其客服人員,藉機竊走求助用戶存於錢包內的加密貨幣與 NFT 收藏。
據資安專業媒體 BleepingComputer 報導,最近有不明身分的駭侵者,在 NFT(Non-Fungible Token 非同質性代幣)交易網站 OpenSea 在新興社群網站 Dischord 上設立的討論群組中,假冒為 OpenSea 的客服人員,藉以詐騙竊取求助用戶的加密貨幣與 NFT 收藏品。
駭侵者的詐騙手法,是在 OpenSea 的官方 Dischord 頻道中觀察用戶貼文,一旦發現有用戶提出相關問題,便假冒為 OpenSea 官方客服人員,傳遞私訊給貼文用戶,假稱可以解決用戶在 OpenSea 的各種使用問題。受害者往往會因其親切的「服務態度」等話術而受騙上當。
一旦用戶上鉤,駭侵者就會要求受害者連上假冒的「客服系統」伺服器,並且要求用戶開啟電腦畫面分享權限;用戶照做後,駭侵者就會要求用戶「重新同步」通用加密貨幣錢包軟體 MetaMask 的手機版應用程式與桌面版 Google Chrome 瀏覽器外掛程式,並在畫面上顯示含有 MetaMask 用戶設定錢包復原密語的 QR code 畫面。
駭侵者此時即可擷取該 QR code,利用此 QR Code 取得受害用戶的 MetaMask 錢包控制權,輕鬆竊走受害者存於錢包內的加密貨幣與 NFT 收藏品。
OpenSea 表示獲悉用戶遭詐騙一事,但沒有提供受害金額與受害者人數等資訊;該公司呼籲用戶在求助時,應利用該公司官方網站上提供的客服連絡方式,切勿使用如 Dischord 或 Twitter 等社群平台,以免給予駭侵者可乘之機。
twcert 發表在
痞客邦
留言(0)
人氣()
