微軟表示該公司發現其客戶支援工具遭到駭侵團體入侵存取,部分客服人員電腦内的客戶訂購資訊遭到竊取。
微軟公司日前在官方部落格中發文,表示該公司發現其客戶支援工具,遭到一個名為 Nobelium 的駭侵團體入侵存取;部分客服人員電腦内的客戶訂購資訊也遭到竊取。
在微軟的部落格貼文中指出,該公司的資安威脅情報中心,正在調查整起事件的來龍去脈,以及駭侵團體使用的攻擊策略與手法。
貼文中說,該公司發現駭侵者使用「密碼噴灑」與暴力登入試誤等方法,試圖入侵目標電腦設備,但大多數攻擊都未見成功,目前確認有三台電腦設備遭 Nobelium 駭侵團體成功入侵,並遭駭侵者植入木馬惡意程式,以便存取電腦中的客戶資訊。
微軟指出,Nobelium 將可能利用竊得的客戶資訊,對這些客戶發動進一步的釣魚攻擊。微軟已經通知可能因此受到波及的客戶。
另外,由於 Nobelium (又名 Cozy Bear)疑似涉及今年年初爆發的 SolarWinds 大規模長期供應鏈攻擊的要角,因此微軟也循管道向主管單位通報這起可能為國際駭侵攻擊行動的事件。
據微軟表示,疑似遭駭侵者存取的資料,主要都和美國的國家利益有關,約佔 45%;其餘受影響客戶的所屬國家分別為英國(10%)、德國與加拿大(小批);總共受影的國家有 36 個。
在微軟公開這次攻擊行動前,路透社曾發表一則新聞,指出該社收到一封由微軟寄給受影響客戶的郵件;郵件内容指出「有一個被微軟辨識為 NOBELLIUM,且有國家力量支持的強大駭侵團體,最近存取了微軟的客戶支援工具,並且獲悉和貴客戶的微軟服務訂購相關資訊。」
twcert 發表在
痞客邦
留言(0)
人氣()
Western Digital My Book NAS 目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
銷售量相當大的 Western Digital 品牌 My Book NAS 網路儲存裝置,目前正遭到全球性的駭侵攻擊行動,不但裝置會被重置為出廠設定,所有儲存在内的資料,也都被遠端移除。
該裝置是一款體積輕巧的家用、個人用網路儲存設備,立起來時就像一本書一樣;原廠提供的 WD My Book Live app 可以讓用戶在任何地方存取儲存在 NAS 内的檔案,無論 NAS 本身是不是設於防火牆以内。
近來世界各地許多 WD My Book NAS 用戶反應,突然無法透過 app 或瀏覽器存取 NAS 内的資料;用戶透過瀏覽器登入其管理界面後,會因出現「密碼錯誤」而擋於門外;而所有存在 NAS 内的資料也全部遭到刪除。
有用戶找出 WD My Book NAS 的裝置記錄檔,發現在 2021 年 6 月 23 日下午三時許,裝置開始執行一個稱為「My BookLive factoryRestore.sh」的指令檔案,這個指令與後續自動執行的程式碼,即是將 WD My Book NAS 回復原廠設定並刪除所有資料的元兇。
值得注意的是,這波攻擊行動至今沒有受害用戶表示收到勒贖威脅;這表示攻擊者的目的純為造成破壞,而非藉以要求贖款。
製造廠 Western Digital 隨即發表聲明表示,該公司正在調查整個事件;該公司認為是用戶的 WD My Book NAS 裝置遭到惡意軟體攻擊,但否認是該公司的雲端伺服器遭到攻擊。
該公司建議所有尚未遭到攻擊的 WD My Book NAS 用戶,應立即將其裝置離線,避免遭到進一步攻擊;但由於本款機種已經相當老舊,最後一次韌體更新時間早在 2015 年,因此後續是否能繼續更新,目前不得而知。
twcert 發表在
痞客邦
留言(0)
人氣()
VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞,該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
虛擬解決方案大廠 VMware 近日修復存於其 Carbon Black App Control 中的一個嚴重資安漏洞;該漏洞可導致駭侵者跳過身分驗證程序,直接存取伺服器。
Carbon Black App Control 是 VMware 推出的企業用資安強化軟體,可以保護系統免於未經授權的修改,特別是由惡意軟體或 0-day 漏洞造成的系統設定篡改。
得到 VMware 修補的資安漏洞,其 CVE 編號為 CVE-2021-21198,發生在 Black Carbon App Control 的 8.1、8.1、8.5.8 之前的 8.5 版、8.6.2 之前的 8.6 版。駭侵者只要先取得 Black Carbon App Control 伺服器的存取權限,即可利用這個漏洞,進一步取得系統管理權限,而不需要通過身分驗證程序。
由於 Black Carbon App Control 是企業資安防護系統的一環,因此一旦駭侵者利用此漏洞取得 Black Carbon App Control 伺服器的控制權,就更容易針對企業内部的關鍵設施發動進一步的駭侵攻擊,包括 POS 系統、工業製造控制系統等等,都可是潛在的攻擊對象。
這個漏洞的 CVSS 危險程度評分高達 9.4 分,危險程度分級為最高等級的「嚴重」(Critial)等級;採用VMware Black Carbon App Control 的系統管理員應立即採取行動。
據 VMware 針對此漏洞發表的資安通報指出,目前並未針對此漏洞推出暫時處理方式建議,而是依使用的版本應升級到對應最新版本:8.0 或 8.1 版本應升級到 hotfix 版本,8.5 應升級至 8.5.8,8.6 應升級至 8.6.2。CVE編號:CVE-2021-21198
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現在 Python 中的 PyPI 程式庫,遭人植入多個挖礦惡意程式碼套件;不慎下載安裝的開發者電腦,就會被攻擊者用以挖掘加密貨幣。
資安廠商 Sonatype 旗下的資安專家 Ax Sharma,日前發現在 Python 中的 PyPI 程式庫內,有多個程式套件遭人植入多個含有挖礦惡意程式碼的套件,並以拼錯但極為近似某一常用套件的名字命名;不慎下載安裝的開發者電腦,就會被攻擊者用以挖掘加密貨幣。
據 Ax Sharma 日前的研究報告指出,這些被上傳到 PyPI(Python Package Index)中含有挖礦惡意程式碼的套件,分別如下:maratlibmaratlib1matplatlib-plusmllearnlibmplatliblearninglib
twcert 發表在
痞客邦
留言(0)
人氣()
一個長期觀測統計各科技大廠産品漏洞提報情形的網站,公布去年(2020)提報漏洞數量最多的前 20 大廠牌、産品與漏洞類型。
長期觀測統計各科技大廠産品漏洞提報情形的網站 stack.watch,公布去年(2020)提報漏洞至 CVE 資料庫數量最多的前 20 大廠牌、産品與漏洞類型。
以産品來說,排行榜中的前 10 名,以及其提報漏洞數量,分別為:Microsoft Windows 10 (802)Microsoft Windows Server 2016 (790)Microsoft Windows Server 2019 (743)Google Android (696)Debian Linux (510)Microsoft Windows Server 2012 (443)Microsoft Windows 8.1 (435)Microsoft Windows RT 8.1 (429)Fedora Project Fedora (398)Microsoft Windows 7 (386)
twcert 發表在
痞客邦
留言(0)
人氣()
台灣記憶體與儲存裝置大廠,其在五月下旬遭勒贖攻擊竊取而得的部分資料,再次遭到駭侵團體於網路上公布。
台灣記憶體模組與儲存裝置大廠,其在五月下旬遭 Ragnar Locker 勒贖攻擊時被竊取而得的部分資料,再次遭到 Ragnar Locker 駭侵團體於網路上公布,任何人均可下載。
這次是 Ragnar Locker 駭侵團體第二次公開該公司遭竊的資料,一共有 13 批次的壓縮檔,檔案大小合計高達 700GB;這批資料被放在雲端檔案分享服務 MEGA 之上,同時還附有解壓縮專用密碼。
不過,MEGA 在獲悉該批檔案上傳到該公司的檔案分享服務後,隨時關閉這些檔案的存取權限,同時刪除 Ragnar Locker 駭侵團體在該站註冊的帳號;目前這 13 批檔案都已無法存取。
據資安專家分析表示,被短暫放上 MEGA 供人下載的檔案,内容可能為該公司的財務相關資料、保密協議等等。
遭駭之公司是在今(2021)年的 5 月 23 日遭到 Ragnar Locker 的駭侵攻擊,導致該公司部分資訊系統運作受阻;並曾向資安媒體指出,該公司已經自行恢復所有系統運作,也不會支付任何贖金給勒贖攻擊者。
另一方面,釋出竊得資料的 Ragnar Locker 顯然也沒有得到贖款;據該團體發表的「聲明」指出,「我們雖然提供企業修復漏洞並避免檔案被公開的機會,但是該公司顯然不認為自己和合作伙伴、客戶、員工、顧客的機敏資料很有價值。」
此外,雖然第二批資料已遭雲端檔案分享服務商 MEGA 主動刪除,但據信該資料已在 MEGA 平台曝光一段間;而遭 Ragnar Locker 駭侵團上傳分享的第一批遭竊資料(約有 250MB),目前仍然可供下載。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現在 Tinder 這類的社群約會軟體上,有駭侵者利用在個人檔案照片放上手寫網址相片的方式,一方面避免系統阻擋,一方面誘騙受害者上當。
資安專家發現,近來在 Tinder 這類的社群約會軟體上,有駭侵者利用在個人檔案的照片放上手寫網址相片的方式,一方面避免系統阻擋,一方面誘騙受害者上當。
據資安媒體 BleepingComupter 的調查報導,在 Tinder 上發現多個類似案例;駭侵者在 Tinder 上註冊假帳號,在其個人檔案中先放置來路不明的俊男美女等具吸引力的個人照片,然後再放上一張内有手寫網址的照片。
根據分析,這些手寫的網址,多半都是一些第三方約會網站,或是一些内容不堪入目的色情網站。
此外,這些假帳號也會在自我介紹的文字欄位中,寫上一些鼓勵造訪者在瀏覽器中輸入手寫網址的文句,以便提高受害者上當受騙的機會。
由於多數社群媒體的内容過濾機制,多半僅檢查文字格式的輸入資料,例如用戶以鍵盤輸入的内容、自我介紹文字、即時文字通訊等等,無法檢查照片當中的手寫文字,因此這類釣魚攻擊方式往往可以有效避免各社群平台的自動檢查機制,只能靠人工巡查來進行審核。
另外,也有駭侵者利用發送私訊的方式,在另一個約會社群平台 Grindr 上大量傳送詐騙訊息給受害者;這些受害訊息多半由個人檔案一片空白的假帳號發送,内含惡意網站或詐騙連結。
雖然這類以文字訊息傳送的垃圾與詐騙内容,比手寫照片中的網址容易偵測,但如果社群平台在假帳號註冊的防制上不夠嚴格,駭侵者可以很容易大量註冊各種假帳號的話,用戶就還是有收到各種詐騙訊息或垃圾内容的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現,愈來愈多駭侵勒贖團體,自黑市的其他駭侵者購買他們駭入對象的初步駭侵成果,再進行進一步的勒贖攻擊,儼然形成一個駭侵産業生態系。
資安廠商 Proofpoint 旗下的資安專家發現,近來有愈來愈多駭侵勒贖團體,自駭侵黑市的其他駭侵者處,購買他們駭入對象的初步駭侵成果,再用以發動進一步的勒贖攻擊,儼然形成一個駭侵産業生態系。
據 Proofpoint 日前發表的研究報告指出,這類駭侵者之間的「垂直整合」,已經發展成一個利潤豐厚的「産業生態系」;一些較小規模的駭侵者,先針對某些受害者發動駭侵攻擊;其他主要駭侵團體再向其購買「使用權」,進一步發動更大規模的攻擊。
Proofpoint 說,日前對美國的燃油運輸造成極大危害的 Colonial Pipeline 勒贖駭侵事件,即是透過這種「上下游」駭侵者的交易來進行的。
Proofpoint 表示,該公司目前發現至少有 10 個駭侵團體,涉及進行所謂的「前期駭侵攻擊」;這 10 個駭侵團體先以釣魚信等各種手法,入侵受害目標,將惡意軟體植入受害單位後,接著便待價而沽,在黑市中尋找願意出價接手的大型駭侵團體。
大型駭侵團體接下來即可利用這些「預先布署」的惡意軟體,傳送發動後續攻擊使用的酬載勒贖工具來發動攻擊,而不需要自行發現受害者的資安漏洞。
Proofpoint 指出,2021 年上半年至少有 20% 針對金融産業進行的後門勒贖攻擊,是採用這種「垂直分工」的方式來進行。
Proofpoint 在報告中也列出了 TA800、TA577、TA569、TA551、TA570、TA547、TA544、TA571、TA574、TA575 等 10 個觀察到的前端駭侵團體,及其使用的駭侵手法、駭侵工具,以及後續的「客戶」等詳細資料。
twcert 發表在
痞客邦
留言(0)
人氣()
近來發生最新的加密貨幣詐騙手法,駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者,藉以竊取加密貨幣。
近來發生最新的加密貨幣詐騙手法,駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者,藉以竊取加密貨幣。
遭到駭侵者假冒的硬體加密貨幣錢包,是由 Ledger 公司推出的「Ledger Nano X」;駭侵者透過包裹寄送假冒的 Ledger 硬體錢包給受害者,在内附上文筆拙劣的通知信,假稱「由於資安理由,特別寄送全新加密貨幣錢包硬體」,要求用戶透過說明書的指示來轉移存在原硬體錢包中的加密貨幣到「新錢包」中。
駭侵者取得的受害者名單,是先前遭不明駭侵者自 Ledger 公司取得的,並在 2020 年 12 月遭人張貼於某駭侵相關論壇;名單中一共有 272,853 名 Ledger 硬體錢包的用戶資料。
在 Reddit 論壇上,有收到假冒 Ledger 硬體錢包的用戶,將其收到的假冒硬體錢包拆開,並與真正的 Ledger 錢包硬體電路相互比對,可以發現電路布局與使用的元件略有不同;資安專家分析該照片後指出,該假冒硬體錢包,就電路來看,似乎有一個架構在 Ledger 上的 USB 隨身碟,可能用以在用戶電腦上植入惡意程式碼。
在用戶收到的「轉移指南」中,要求用戶輸入當初設定的復原短詞;一旦用戶照實輸入,這些復原短詞立即會被傳送給駭侵者,即可用以竊取用戶存入的所有加密貨幣。
Ledger 公司表示,已經掌握此類駭侵攻擊的情報;該公司呼籲用戶提高警覺,在任何情況下都不應分享復原短詞給任何人,或是在不明的軟體中輸入這些復原短詞。
twcert 發表在
痞客邦
留言(0)
人氣()
國際刑警組織宣布破獲數千個在網路上販售偽劣藥品的假冒網站,並將其離線。
國際刑警組織(International Criminal Police Organization, INTERPOL)日前宣布,破獲數千個在網路上販售偽劣藥品的假冒網站,並將其離線;這些假網站在網路上販售各種可能危害健康的非法藥品、醫療器材、檢測試劑等,目前均已緝獲並下線。
國際刑警組織是在一個名為「Operation Pangea XIV」的國際聯合查緝行動中,查緝到如此眾多的非法賣藥網站;該行動鎖定網路上販賣各種非法醫藥品的相關賣家及其網站。
該行動一共聯合多達 92 個國家的警政、司法、海關、醫藥衛生主管機管參與,總共下線或移除的網站與賣場連結,多達 113,020 個。
INTERPOL 指出,光在英國就查獲三百多萬種偽藥與假冒醫材,總額高達 1300 萬美元;有 43 個網站、3,100 個偽藥廣告連結遭到下線移除。
INTERPOL 也說,在查緝行動展開的一周期間(自 5 月 18 日至 25 日),一共在全球逮捕 277 人,總共查緝到的偽劣藥品與醫材,總額高達美金 2300 萬元;其中超過半數都是未經核准的偽劣 COVID-19 武漢肺炎檢測組。
在行動期間,INTERPOL 也會同各國海關嚴格查緝自這些偽藥網站送出的包裹,結果發現許多偽劣藥品藏匿在正常貨物如衣物、玩具或罐頭之中;其中一個案例,在一罐豆子罐頭中就裝有 2,800 粒偽劣止痛藥錠。
INTERPOL 秘書長 Jürgen Stock 指出,在肺炎疫情流行期間,許多人的生活被迫轉往線上,讓這類犯罪分子更容易鎖定受害者;大多數受害者在不知情的狀況下,購買這些偽藥,不但破財而且傷身。
twcert 發表在
痞客邦
留言(0)
人氣()
日本軟片、光學設備與醫療器材大廠富士軟片,日前遭到駭侵攻擊;該公司隨即關閉部分内部網路運作,以避免資安事件災害擴大,同時啟動資安調查工作。日本軟片、光學設備與醫療器材大廠富士軟片(Fujifilm),日前遭到不明來源的駭侵攻擊;該公司隨即關閉部分内部網路運作,以避免災害擴大到其他單位,同時也立即啟動事故調查。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟公司日前發表研究報告,指出該公司發現一個全新攻擊活動,針對眾多 Kubernetes 運算叢集植入挖礦惡意容器(pod),正在大量蔓延。
微軟公司日前發表研究報告,指出該公司發現一個全新攻擊活動,針對眾多執行 Kubeflow instance 的 Kubernetes 運算叢集植入含有挖礦惡意程式碼的 TensorFlow 容器(pod);這類攻擊活動正在大量蔓延,系統管理員應特別提高警覺。
Kubeflow 是一種開放源碼的熱門專案,多用以在 Kubernetes 中執行機器學習工作,而 TensorFlow 則是一種端對端的開源機器學習平台。
微軟在 6 月 8 日發表的研究報告中說,該公司的資安團隊自五月底開始觀測到 TensorFlow 容器大量布署於 Kubernetes 叢集的高峰;這些被布署的容器,看似來自 Docker Hub 帳號的正常容器,但仔細研究後發現其目的在於挖掘以太幣(Ethereum)與門羅幣(Monero)等加密貨幣。
微軟資安研究員說,這些容器同時大量布署,顯示駭侵者事前經過縝密調查,掌握所有存有安全設定漏洞的 Kubernetes 運算叢集後,才發動大舉攻擊。
微軟說,這波攻擊活動十分類似去年六月發生過的案例,當時也有攻擊者攻擊設定錯誤的 KubeFlow,透過惡意式碼挖掘門羅幣。
微軟的研究人員在報告中詳細分析了攻擊流程,並且建議所有執行 Kubernetes 運算叢集的系統管理人員,應該立即檢視安全設定,看看是否鎖定其中央控制面板,並確認沒有曝露在外網中供人任意存取;如果該運算叢集必須放在外網,就必須強化登入安全認證機制。
twcert 發表在
痞客邦
留言(0)
人氣()
