資安廠商唯思安全(WithSecure) 近期發現有駭侵者假冒電腦硬體製造商 Cosair 在 LinkedIn 上刊登徵才啟事,藉以散布 DarkGate 和 RedLine 等惡意軟體。
WithSecure 的資安專家在該公司發表的資安研究報告中指出,近來有駭侵者在 LinkedIn 上冒充專業電腦硬體製造商 Cosair 發布一個負責投放 Facebook 廣告的假職缺,當有受害者上鉤後,駭侵者再傳送一個含有惡意軟體文件的 zip 壓縮檔給受害者,以在受害者電腦中散布惡意軟體。
WithSecure 指出,發動這波攻擊的駭侵團體,也曾在去年發動另一波名為「Ducktail」駭侵攻擊活動。
這波攻擊的主要目的,是要竊取受害者管理的 Facebook 企業帳號,藉以進行進一步的駭侵攻擊活動,或是將帳號出售牟利。主要的攻擊對象為美國、英國和印度的求職者;而假冒的 LinkedIn 求才啟事主要招募的是具有 Facebook 企業帳號與 Facebook 廣告投放經驗的社群管理者。
受害者一旦下載了含有惡意軟體的 zip 檔,解壓縮後會出現三個檔案,其中一個 .docx 檔案中含有惡意 VBS 指令碼;開啟該 Word .docx 檔案時,會進一步下載 DarkGate 或 RedLine 惡意軟體酬載,並且試圖移除受害系統上的資安防護軟體,以隱蔽行蹤並持續進行攻擊。
建議使用者在 LinkedIn 等類似的社群網站上,應對任何附件檔案提高警覺,勿輕易開啟容易夾藏惡意程式碼的檔案格式,如 Microsoft Office 文件檔與各種可執行檔。twcert 發表在 痞客邦 留言(0) 人氣(1)
Google 日前宣布在其 Android 應用程式商店 Google Play Store 的 Google Play Protect 保護機制中推出全新惡意軟體即時掃瞄功能,以強化該平台對於 Android 平台上日益猖獗惡意軟體的防護能力。
Google Play Protect 是 Google Play Store 中內建的主要防護機制,可在裝置上進行惡意軟體掃瞄,每日總掃瞄次數可達 1,250 億次。該工具不只可掃瞄下載自 Google Play Store 的應用軟體,也可以掃瞄自第三方 App Store 或網路上不明來源處下載的 APK 檔案。
過往駭侵者常會利用「安裝後載入」的手法來規避 App 上架到 Google Play Store 時的惡意軟體掃瞄措施,方法是在上架 Google Play Store 時先上架無害的版本,待使用者下載安裝到其裝置後,再從外部伺服器載入惡意軟體酬載。
為防止駭侵者繼續以這種方式植入惡意軟體,強化版的 Google Play Protect 會在裝置上進行掃瞄,並將掃瞄結果傳送到 Google Play Protect 的後端架構進行程式碼分析,同時以機器學習來累積掃瞄經驗;,一旦發現惡意軟體訊號時,即會通知使用者。
Google 目前已在印度和部分指定國家推出 Google Play Protect 新機制,且會陸續在全球其他國家推出。
資安專家指出,Google 這套新系統雖然無法防杜所有 Android 平台上的惡意軟體,但應能有效降低該平台上過去未能偵測出的惡意軟體數量。
專家也表示,惡意軟體開發者當然也會試圖找出這套系統的弱點,因此加強使用者自我保護的觀念與使用習慣,仍然十分重要。
建議 Android 平台使用者在此系統可使用時下載安裝,且仍應維持良好習慣,絕不安裝來路不明的 APK 檔案。twcert 發表在 痞客邦 留言(0) 人氣(5)
資安廠商趨勢科技 (Trend Micro) 日前發表研究報告,指出該公司發現一個名為 DarkGate 的惡意軟體,近期利用竊得的 Skype 帳號,以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。
趨勢科技的研究人員,在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動;駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話,然後將含有惡意軟體的檔案名稱,改成符合對話內容的形式後傳遞給受害者。
傳送給受害者的檔案中,含有 VBA 載入指令,可進一步載入 AutoIT 惡意軟體酬載,用來載入並執行最終的 DarkGate 惡意軟體酬載。
趨勢科技指出,目前並不清楚這些 Skype 帳號是如何遭到竊取,以用於發送惡意軟體的,有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。
此外,趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼;遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。
趨勢科技指出,駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號,並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊;駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制,並且發送釣魚附件檔案給討論群組中的使用者。
建議企業加強對內部訊息討論群組的資安防護,分享相關文件、試算表或簡報應盡可能避免直接分享檔案,可改使用線上版生產力工具,以杜絕惡意指令碼的執行。twcert 發表在 痞客邦 留言(0) 人氣(7)
資安廠商 Proorfpoint 與 Ponemon Institute 日前聯合發表一份針對醫療保健單位的資安研究調查報告「The Cost and Impact on Patient Safety and Care」;報告指出,僅有 45% 的醫療單位具備防護 BEC 與供應鏈攻擊的能力,且 64% 醫事單位在近兩年內平均遭到 4 次供應鏈攻擊。
這份調查報告向 17,805 名負責醫事單位資安或 IT 權責人員發出問卷,有效填答問卷有 653 份,調查對象包括各大公私立醫療院所、醫療健康保險業者、生物科技相關業者、藥事單位等。
調查報告揭露的重要數字如下:twcert 發表在 痞客邦 留言(0) 人氣(2)
資安廠商 Guardio 旗下的資安專家,近期發現有駭侵者使用一種全新的手法來散布惡意程式碼;即利用區塊鏈來藏匿惡意程式碼,藉其去中心化的特性,使其駭侵手法更不容易偵測防範。
Guardio 在兩個多月前發現有駭侵者利用這種稱為「ClearFake」的手法來進行攻擊。原本該駭侵者係使用遭到入侵成功的 WordPress 網站來放置惡意程式碼,並利用 CloudFlare 的 Worker 功能進行重新導向;但因該 ClouldFlare Worker 遭發現而下架,之後駭侵者便改用 Binance Smart Chain 區塊鏈來存放其惡意程式碼。
Guardio 指出,駭侵者首先利用已知漏洞駭入多個 WordPress 網站,或是竊得該網站的 admin 登入權限,然後在其網站頁面中植入兩段指令碼,該指令碼會自 Binance Smart Chain 中載入惡意程式碼,再將這段惡意程式碼嵌入到 WordPress 的頁面中。這段程式碼會連線到一台控制伺服器,並載入第三段惡意軟體酬載;受害者如果不慎進入該受駭的 WordPress 網站,會看到假冒的 Chrome、Firefox、Edge 瀏覽器更新畫面,誘騙使用者按下更新按鈕並下載另一段惡意軟體。
Guardio 說,這種利用區塊鏈來放置惡意程式碼的手法十分新穎。由於區塊鏈具備去中心化與不可篡改的特性,因此置入到區塊鏈中的惡意軟體程式碼是無法下架的。而 ClearFake 也利用區塊鏈來記錄控制伺服器的位置資訊,因此要是有某台控制伺服器遭到破獲下線,駭侵者也可在區塊鏈上輕鬆新增新伺服器的位址資訊。
這種利用區塊鏈來存放惡意程式碼的新手法,目前難以防治;以此案為例,僅能由加強 WordPress 網站本身的資安防護功能來入手。twcert 發表在 痞客邦 留言(0) 人氣(2)
美國資安主管機關「網路安全暨基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA),日前公布一批勒贖攻擊團體經常用於攻擊的漏洞與資安設定錯誤樣態, 目的是要協助關鍵基礎設施強化資安防護能力。
CISA 於 2023 年 1 月起開始推動「勒贖軟體漏洞警告先導計畫」(Ransomware Vulnerability Warning Pilot, RVWP)專案,並且經常新增相關資訊;本次公布的資訊即屬 RVWP 專案的防護資訊更新。
至今為止,CISA 的 RVWP 計畫已經公布超過 800 個經常遭到勒贖團體攻擊使用的各式軟體與系統的資安漏洞與錯誤資安設定,其目的在於提供各種經常遭勒贖攻擊鎖定的全球關鍵基礎設施或服務,依其指引提升資安防護量能,避免因為遭到勒贖攻擊而導致關鍵基礎設施服務中斷,因而造成重大影響。
CISA 指出,雖然該單位過去已經推出「遭攻擊已知漏洞」(Known exploited vulnerabilities, KEV)清單供各公私單位參考使用,且在該清單中額外加上一個欄位,專門標示易遭勒贖攻擊駭侵者使用的資安漏洞,但為因應日益猖獗的勒贖攻擊,CISA 決定推出 RWVP 通報,以強化針對勒贖攻擊的防護量能。
CISA 也同時推出一個專為防杜勒贖攻擊的入口網站「StopRansomware.gov」,其目的在於集中提供各種防範並處理勒贖攻擊的多種有用資訊。
建議各公私單位可參考 CISA 提供的各類資安防護通報,並依其指引提升防護能力,以提高安全性。twcert 發表在 痞客邦 留言(0) 人氣(4)
Fortinet 旗下的資安專家,近期發現一個稱為 IZ1H9 的 Mirai DDoS 僵屍網路,最近新增了多達 13 種變種,以各廠牌型號基於 Linux 作業系統的路由器產品為目標加以攻擊。
Fortinet 的資安專家發現在 2023 年 9 月的第一周,由 IZ1H9 發動的攻擊次數達到近期的高峰,偵測到針對弱點裝置多達數萬次的攻擊行動。
IZ1H9 的典型攻擊手法是利用各廠牌網通產品的漏洞加以攻擊,植入 Mirai 變種 DDoS 僵屍網路程式,使該裝置成為其攻擊網路的一部分,再針對「租用」其服務的客戶需求,攻擊特定的網路目標。
這次 Fortinet 發現的新變種,分別鎖定攻擊的路由器廠牌與版本,包括 D-Link 多款產品、Netis WF2419、Sunhillo SureLine 8.7.0.1.1 之前版本、Geutebruck 多款產品、Yealink Device Management 3.6.0.20、Zyxel EMG 3525/VGM1312 V5.50 之前版本、TP-Link Archer AX21 (AX1800)、Korenix Jetware wireless AP、TOTOLINK 多款路由器產品等;主要都是透過這些產品已知但未及時更新的漏洞。
1Z1H9 在感染上述廠牌型號的路由器產品後,會先自一個特定 URL 載入名為 l.sh 的指令檔,執行該指令檔後,先行刪除路由器內的 log 檔案,以隱匿入侵行為,然後根據產品型號的不同,下載不同的酬載惡意軟體檔案,之後會修改路由器的 iptables 規則,並且將其連線轉到特定連接埠,以藏匿其連線動作,減少被阻擋的機會。之後該惡意軟體就會連線到其控制伺服器,等待攻擊命令下達後,再發動包括 UDP、UDP Plain、HTTP 泛濫、TCP SYN 等類型的 DDoS 攻擊。
建議各受影響廠牌路由器之用戶應立即更新到最新版本韌體,未提供更新者應考慮替換為較新機種。twcert 發表在 痞客邦 留言(0) 人氣(4)
Microsoft 日前推出 2023 年 10 月例行資安更新修補包「Patch Tuesday」,共修復 104 個資安漏洞;其中含有 3 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量有 104 個,較上個月(2023 年 9 月)的 59 個資安漏洞大為增加;而在這 104 個漏洞中,僅有 12 個屬於「嚴重」等級,另有 3 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 45 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:twcert 發表在 痞客邦 留言(0) 人氣(138)
資安廠商 Checkmarkx 旗下的資安研究人員,近期發現一波惡意攻擊活動,駭侵者在數百種開源 Python 程式庫中植入惡意程式碼,用以竊取機敏資訊;目前這些惡意程式庫的下載次數已達 75,000 次。
Checkmarx 的供應鏈資安團隊,發現這波攻擊行動已持續近半年,在多達 272 個不同的開源 Python 程式庫中植入了可用以竊取各種機敏資訊的惡意程式碼,而駭侵者也利用各種混淆手法來掩飾這些惡意程式碼不被資安防護工具發現。
研究人員是從 2023 年 4 月開始發現 Python 生態系中出現這種攻擊手法,以一支名為「_init_py」的 Python 程式為例,一旦執行後,就會在受害系統中竊取下列資訊:twcert 發表在 痞客邦 留言(0) 人氣(19)
美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前聯合發表資安指引,列出前 10 大最常出現的資安設定錯誤;建議各公私單位參考該指引,強化自身資安防護能力。
NSA 和 CISA 的這份指引,係由兩個單位內的資安紅隊與藍隊,針對各大公私單位組織的資安防護設定進行模擬攻防後所擬定,詳細說明各種駭侵者如何利用這些錯誤設定,以發動資安攻擊的策略、技術與程序(TTP),進行各種目的的攻擊,包括取得存取或控制權、資料或資源的竊取,以及如何鎖定機敏資訊或系統等等。
NSA 指出,接受其評估的美國政府單位,包括美國國防部、聯邦政府各民事行政部門、各州政府、地區行政單位、海外行政組織,以及多個私部門單位。
報告列出的 10 大資安錯誤設定如下:twcert 發表在 痞客邦 留言(0) 人氣(2)
資安宣導 (2)