美國與澳洲政府日前發布資安警訊,指出一個稱為 Avaddon 的勒贖攻擊行動,正在全球多國肆虐,影響遍及多種行業。
美國與澳洲政府的資安主管機關,日前發布資安警訊,指出一個稱為 Avaddon 的勒贖攻擊行動,正在全球多國肆虐,影響遍及多種行業。
美國聯邦調查局(Federal Investigation Bereau, FBI)和澳洲資安中心(Australian Cyber Security Centre, ACSC),在各自發出的警訊中指出,包括澳洲、巴西、中國、捷克、德國、印度、義大利、秘魯、葡萄牙、阿拉伯聯合大公國、美國、比利時、加拿大、哥斯大黎加、法國、印尼、約旦、波蘭、西班牙、英國等多個國家各個重要行業中的重要企業,都遭 Avaddon 勒贖團體鎖定發動攻擊。
應特別注意攻擊的重點行業,包括大專院校、航空、營建、能源、設備、金融、倉儲運輸、行政機關、醫療、資訊科技、司法、製造、行銷、零售、藥劑、虛擬娛樂業等等。
FBI 的報告中指出,該局接獲線報指出,曾在俄語駭侵相關論壇公開販售勒贖服務(Ransomware-as-a-service)的 Avaddon 勒贖團體,近來鎖定美國與全球各地的私人企業,包括製造業、醫療業者發動攻擊。
FBI 說,Avaddon 可能會攻擊系統上的 PowerShell、WMIC.exe、Svchost.exe、Taskhost.exe 等系統檔案來進行入侵與檔案加密作業;在 FBI 發出的 TLP:GREEN 通報中,詳細分析了 Avaddon 可能的攻擊手法;ACSC 發表的 TLP:WHITE 通報中,也列出更多可能遭到攻擊的國家與業種,並且建議可能遭攻擊的對象,儘速修補現存的各種資安漏洞,加強釣魚信件的防護與檔案備份作業。
twcert 發表在
痞客邦
留言(0)
人氣()
自 2019 年起,已有多達 2,100 家企業的內部資訊在遭勒贖攻擊後,在暗網上洩漏。
一項針對勒贖攻擊損失進行的研究指出,自 2019 年起,已有多達 2,100 家企業,其內部資訊在遭勒贖攻擊後,在暗網上洩漏。
據暗網資安研究單位 DarkTracker 長期研究指出,該單位觀察到在暗網站已有 34 個勒贖攻擊組織,在暗網上洩漏 2,103 個單位組織的內部機敏資訊。這 34 個勒贖駭侵團體為 Team Snatch、MAZE、Conti、NetWalker、DoppelPaymer、NEMTY、Nefilim、Sekhmet、 Pysa、AKO、Sodinokibi (REvil)、Ragnar_Locker、Suncrypt、DarkSide、CL0P、Avaddon、LockBit、Mount Locker、Egregor、Ranzy Locker、Pay2Key、 Cuba、RansomEXX、Everest、Ragnarok、BABUK LOCKER、Astro Team、LV、File Leaks、Marketo、N3tw0rm、Lorenz、Noname、XING LOCKER。
以遭洩漏資訊的公司數量來看,排名前五名的勒贖駭侵團體,與其在暗網上公布資料的次數如下:Conti,338 家;Sodinokibi/REvil:222 家;DoppelPaymer:200 家;Avaddon:123 家;Pysa:103 家。
twcert 發表在
痞客邦
留言(0)
人氣()
美國境内最大的石油運輸管線業者,日前因遭勒贖軟體攻擊因而停止油品輸送業務。
美國境内最大的石油運輸管線業者 Colonial Pipeline,日前因遭勒贖軟體攻擊因而停止各種油品的輸送業務。
Colonial Pipeline 於 5 月 8 日發布資安通報,指出該公司於 5 月 7 日遭到不明來源的駭侵攻擊,可能包括勒贖攻擊在内,結果造成油品運輸作業受阻。
為了防止受災範圍擴大,該公司緊急停止整個管線運輸系統與部分資訊系統的運作,並會同外部獨立資安公司與司法單位介入調查整起事件的成因與受損規模。
資安專家指出,這次 Colonial Pipeline 遭到的攻擊,很可能是使用一種稱為「DarkSide」的勒贖軟體進行。DarkSide 最早出現於 2020 年 8 月中旬,過去亦曾有多家大型企業遭到 DarkSide 的攻擊。
DarkSide 的攻擊方式,和其他勒贖軟體如出一轍:首先透過釣魚信等方式駭入系統,接下來一邊竊取各種未加密文件與系統主機登入資訊;一旦取得内部 Windows Active Directory 的權限,就會感染所有内網裝置,竊取内網中的檔案並且進行加密。
Colonial Pipeline 每天自墨西哥灣運送 250 萬桶精煉原油産品到美國東部各州,其中包括航空用油在内;由於該地區的油品庫存仍然相當充足,且因肺炎疫情造成油品消耗量下降,因此這次事件短期内不會對美東的油品供應造成衝擊。
紐約時報報導指出,Colonial Pipeline 拒絕說明該公司是否會拒付贖金,也沒有說明何時可以恢復供油。
有鑑於 Colonial Pipeline 的油管系統,自 1960 年代起就開始運作,部分系統十分老舊,也因此提高其資安風險。
twcert 發表在
痞客邦
留言(0)
人氣()
英國國家網路安全中心(National Cyber Security Centre,NCSC)制定小型企業網路安全指南(Small Business Guide: Cyber Security),提出幾個重要構面,協助小型企業以及個體戶提升資訊安全,降低受駭風險。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個全新的加密貨幣竊取惡意軟體,目前正在透過社群線上聊天服務 Discord 大規模散布,且在多個國家已有相當多的受害者。
資安廠商趨勢科技,日前發表研究報告,指出該公司旗下的資安研究人員,發現一個全新的加密貨幣竊取惡意軟體;這個惡意軟體命名為「Panda Stealer」,目前正在透過社群線上聊天服務 Discord 大規模散布,且在多個國家已有相當多的受害者。
趨勢科技的報告指出,這個 Panda Stealer 主要以夾帶惡意 Excel 巨集試算表的垃圾郵件散布;信件會假冒為詢問報價的商業合作郵件,受害者一旦開啟 Excel 附檔,就會先執行一個下載程式,下載回來的檔案就是 Panda Stealer 的主程式。
另外,也有些攻擊案例,是在試算表的公式中埋藏 PowerShell 指令,用戶執行後會連上一個文字檔分享服務,存取一個内含編碼過 PowerShell 指令的檔案,來達成「無檔案」的惡意軟體酬載下載。
報告指出,一旦用戶安裝了 Panda Stealer,該程式就會收集受害電腦上的各種加密貨幣錢包相關資訊,幣種包括 Dash、ByteCoin、Litecoin、Ethereum 等;Panda Stealer 同時也會竊取多種非加密貨幣服務的登入資訊,例如 NordVPN、Telegram、Discord、Steam 等,也會偷偷截取螢幕畫面,並且竊取瀏覽器内的 cookie、儲存的密碼與信用卡資訊等。
Panda Stealer 會把竊得的資訊上傳到駭侵者部署的控制伺服器,其數量超過 140 台以上;這批控制伺服器的登入網頁,會顯示「熊猫 Stealer」的標題。
Panda Stealer 除了透過電子郵件外,同時也透過廣受歡迎的 Discord 線上聊天服務擴大其感染範圍;據報告指出,受害者最多的國家,包括澳洲、德國、美國、日本。
twcert 發表在
痞客邦
留言(0)
人氣()
比利時多個公部門單位,於 2021年 5 月 4 日遭到大規模分散式服務阻斷攻擊,被攻擊單位包括國會、多個行政部門、教育機構等。
比利時多個公部門單位,於 2021年 5 月 4 日遭到大規模分散式服務阻斷攻擊(Distributed Denial of Service, DDoS),被攻擊的單位包括國會、多個行政部門、教育機構等。
攻擊者鎖定的目標,是比利時公部門使用的 Belnet 系統,這個網路系統由一家比利時的網路接取業者提供服務,專供比利時國家學術與教育機構與各級行政單位使用。
這波攻擊造成超過 200 個以上使用 Belnet 系統的單位受到影響,其内部網路與對外服務的網站系統均告癱瘓,其中包括比利時政府設立的稅務申報網站、COVID-19 肺炎疫苗施打註冊登記入口,以及各大學的 IT 系統等等。
比利時國會預定進行的多項會議,也因為網路系統癱瘓,無法進行視訊會議連線,因而被迫取消。
Belnet 表示,經過一整天的搶修與處理後,隔天已經恢復正常運作;該單位的發言人指出,雖然 Belnet 在資安上的投資相當可觀,但 5 月 4 日發生的 DDoS 攻擊,不但規模龐大,攻擊者頻繁變換攻擊方式,也造成防禦的困難。
雖然比利時政府沒有特別指明攻擊者的可能身分,但據報導指出,部分政治學者專家懷疑,這波攻擊行動背後目的,可能是要阻擾比利時外交委員會舉辦的一場聽證會。Belnet 則表示,目前尚不清楚幕後黑手是誰。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現,自 2009 年起發售的數千萬台 Dell 品牌 Windows 電腦,其 BIOS 驅動程式内含一個嚴重資安漏洞,可導致駭侵者提升執行權限;用戶應立即更新。
資安廠商 SentinelLabs 近日發表研究報告指出,該公司旗下的研究人員發現,自 2009 年起發售的數千萬台 Dell 品牌 Windows 電腦,其 BIOS 驅動程式内含一個嚴重資安漏洞,可導致駭侵者提升執行權限到核心模式等級,可用於發動各類攻擊。Dell 電腦設備的用戶,應立即更新系統。
SentinelLabs 總共發現五個漏洞,都歸於 CVE-2021-21551 這個編號之下;這五個漏洞都發生在 Dell 用來更新 BIOS 時使用的軟體 DBUtil 内,包括兩種記憶體崩潰錯誤、兩種輸入檢查不當錯誤,以及一個程式碼邏輯問題。
駭侵者可以利用這些錯誤,將自身的執行權限自非系統管理者用戶,一舉提升到核心模式等級,因而可以存取系統上所有的軟硬體資源,發動多種後續攻擊。
CVE-2021-21551 的 CVSS 危險程度評分為 8.8 分,危險程度分級為「高」,而非最高等級的「嚴重」;之所以無法取得更高得分的原因,在於駭侵者必須先以其他方式駭入系統,才能利用這個漏洞提升權限。
據研究者指出,這個漏洞遠從 2009 年起便存在於 Dell 發展的各型 Windows 電腦中,包括各型桌上型、筆記型、平板電腦與伺服器等機型,數量可能高達數千萬台之多;雖然目前尚未傳出有攻擊行動係利用這個漏洞進行,但由於數量實在太大,因此很可能會有駭侵者利用此漏洞,針對尚未更新的 Dell 電腦發動大規模攻擊。
SentinelLabs 於 2020 年 12 月初提報這個漏洞給 Dell 後,Dell 花了四個多月的時間,在近期推出更新程式供用戶使用;強烈建議所有 Dell Windows 電腦,依照 Dell 發表的資安通報說明進行資安修補更新,以降低遭駭侵者利用此漏洞發動攻擊的風險。CVE編號:CVE-2021-21551
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一波全新釣魚攻擊活動,同時使用三種不同的惡意軟體串連,針對全球目標發動攻擊。
資安廠商 Mandiant 日前發表調查報告,指出該公司旗下的資安專家,發現一波全新釣魚攻擊活動自去年年底開始進行;該攻擊行動同時使用三種不同的惡意軟體串連,針對全球目標發動攻擊,全球各公私單位受害者已達 50 個以上。
Mandiant 在報告中說,這波釣魚攻擊行動分成兩波進行,分別在 2020 年 12 月 2 日與 12 月 11 日到 18 日之間發動攻擊,幕後的駭侵團體在 Mandiant 的代稱為 UNC2529,其中的 UNC 表示「無法歸類」(uncategorized),表示這是一個尚不為外界所知的全新駭侵組織。
Mandiant 分析這兩波攻擊行動的特徵,一開始時遇到很大的阻礙,主要原因在於駭侵者使用的惡意軟體擁有多種可逃避偵測的技術;不過 Mandiant 還是找出其攻擊手法。首先,UNC2529 針對攻擊目標發動魚叉式釣魚攻擊信,内含一個稱為「DOUBLEDRAG」的 Javascript 下載程式的連結,或是連到一個稱為「DOUBLEDROP」,内含惡意巨集程式,可從駭侵控制伺服器下載後續攻擊程式碼的 Excel 檔;而 DOUBLEDROP 又含有一個稱為 DOUBLEBACK 的後門,可用於下載更多惡意軟體。
此外,根據 Mandiant 的分析,UNC2529 用於這兩波攻擊的基礎架構,也相當可觀;至少動用了 50 個不同的網域名稱來寄送釣魚信件;而攻擊對象之廣也是罕見的。據 Mandiant 統計,第一波攻擊有 74% 的攻擊對象在美國境内,其中包括服務業、金融業、醫療業、零售業、軍用航太業、製造業、政府組織、教育機構、運輸業等;另外各有 13% 的攻擊對象分布於歐非地區和亞太地區,受害者同樣也遍及各種産業。第二波攻擊對象中,歐非地區的占比提高到 22%,美國和亞太區的占比則為 68% 與 11%,受害者則出現了前一波沒有出現的能源産業和電信業。
twcert 發表在
痞客邦
留言(0)
人氣()
Apple 於日前緊急推出 iOS 14.5.1、 macOS Big Sur 等作業系統更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞,iOS 與 Mac、Apple Watch 裝置用戶應立即更新。
Apple 於日前緊急推出 iOS 14.5.1、macOS BIg Sur 11.3.1、watchOS 7.4.1 更新,修復兩個可能讓駭侵者遠端執行任意程式碼的嚴重 0-day 漏洞;由於這兩個漏洞很可能已遭駭侵者用於攻擊,因此各種 iOS、Mac、Apple Watch 裝置的用戶應立即進行系統更新。
這兩個 0-day 漏洞都發生在系統網頁瀏覽器核心 WebKit 中。根據 Apple 發表的資安更新通報指出,CVE-2021-30665 的問題在狀態管理的錯誤,可能導致記憶體崩潰,而 CVE-2021-30663 則是輸入驗證發生錯誤,可能導致整數溢位錯誤。
駭侵者可以誘導受害者前往瀏覽特製的網頁,誘發上述 WebKit 錯誤後,即可利用這兩個漏洞,遠端執行任意程式碼,進而發動攻擊活動。
由於 WebKit 同為 Mac 電腦和 iOS 行動裝置内建預設的瀏覽器核心引擎,因此必須更新的裝置種類和數量極多;以 iOS 裝置來說,即包括 iPhone 6s 與之後所有機種、, iPad Pro 全系列、 iPad Air 2 與之後所有機種、iPad 第 5 代與之後所有機種、iPad mini 4 與之後所有機種、iPod touch 第 7 代等,當然還包括 iMac、Mac Pro、Macbook、Macbook Air、Macbook Pro 等多種 Mac 電腦,甚至也包括 Apple Watch Series 3 後所有機種。駭侵者如果能有效利用這兩個 0-day 漏洞,就可能對數量眾多的 iOS、macOS 與 Apple Watch 用戶造成嚴重威脅。CVE編號:CVE-2021-30665、CVE-2021-30663
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家日前發現 macOS 一個嚴重 0-day 漏洞,可讓駭侵者跳過多重系統資安檢測程序;該漏洞已遭大規模濫用,用戶應立即將 Mac 電腦升級至最新版本。
資安專家日前發現 macOS 一個嚴重 0-day 漏洞,可讓駭侵者跳過 macOS 中預設的多重系統資安檢測程序;該漏洞已遭大規模濫用,用戶應立即將 Mac 電腦升級至最新版本。
這個漏洞的編號為 CVE-2021-30657,目前尚無 CVSS 嚴重程度評分資訊;該漏洞近來被一個名為 Shlayer 的惡意軟體進行大規模濫用。
Shlayer 是個存在已久的二階段惡意軟體,感染後會下載更多不同用途與功能的惡意攻擊用模組,最早是由資安廠商 Intego 研究團隊在 2018 年 2 月發現其活動蹤跡。據卡巴斯基的統計指出,目前全球已有近 10% 的 Mac 電腦遭 Shlayer 感染。
研究人員指出,過去 Shlayer 通常藏身在利用 torrent 傳送的盜版軟體之中,但新版的 Shlayer 則透過遭挾持的網站,或是模仿大品牌網站的假冒網站之中,透過要求用戶更新軟體的彈出式廣告,引誘用戶點按安裝。
在最新發現的變種中,Shlayer 利用了 CVE-2021-30657 這個 0-day 漏洞,跳過 macOS 内建的多重資安檢查機制,導致用戶可在安全機制不受阻攔的情形下,誤以為下載的軟體安全無虞而放心安裝。
CVE-2021-30657 最早是在 2021 年一月由 Jamf Protect 資安威脅偵測團隊發現,並立即提報給 Apple 處理;Apple 在近期的 macOS 11.3 更新中修復了這個漏洞。鑑於 Shlayer 已經開始大規模感染,所有 Mac 用戶應立即進行系統更新,更新至最新版本,以免受到這個漏洞的影響,降低遭到駭侵攻擊的風險。CVE編號:CVE-2021-30657
twcert 發表在
痞客邦
留言(0)
人氣()
近日即將推出的 Google Chrome 版本 90,修復多達 9 個資安漏洞,其中包括數個高危險等級,可能造成駭侵者遠端執行任意程式碼;用戶應立即更新所有 Chromium 瀏覽器。
Google 近日即將推出的 Google Chrome 版本 90,修復多達 9 個資安漏洞,其中包括數個危險程度列為高危險等級的漏洞,這些漏洞有可能讓駭侵者可以遠端執行任意程式碼;用戶應立即更新所有 Chromium 瀏覽器。
在這些漏洞中,最嚴重的是 CVE-2021-21227 這個漏洞;發現這個漏洞的是資安廠商 Singular Security Lab 旗下的研究員。據 Google 的更新說明文件指出,CVE-2021-21227 是存於 Google Chrome V8 引擎中的一個錯誤,由於未能對資料進行充分檢查,導致駭侵者有可能透過此漏洞,遠端執行任意程式碼。
不過研究人員也指出,這個漏洞必須和其他的資安漏洞合併使用,否則就無法跳過 Chrome 的記憶體沙盒,也無法觸及任何在沙盒之外執行的應用程式與系統資源;不過如果該漏洞利用的程式本身有較高執行權限,或是用戶自行關閉沙盒保護機制,那就可以直接存取系統發動 RCE 攻擊。
Google 這次推出的新版 Google Chorme 90.0.4430.93,也修復了多個其他漏洞,包括 CVE-2021-21232、CVE-2021-21233、CVE-2021-21228、CVE-2021-21229、CVE-2021-21230、CVE-2021-21231 等等;對應的作業系統版本包括 Windows、Mac、Linux 等主流作業系統。
此外,市場上有多種使用與 Google Chrome 同一開源程式碼基礎 Chromium 的多種瀏覽器,如 Microsoft Edge、Brave、Vivaldi、Sidekick 等,也應一併更新。請用戶注意近期各瀏覽器的更新訊息,一旦有新版可供下載,請立即安裝,以修補這些已知資安漏洞,降低遭到駭侵攻擊的風險。CVE編號:CVE-2021-21227 等
twcert 發表在
痞客邦
留言(0)
人氣()
國內大型企業接連傳出遭REvil勒索軟體攻擊,並被駭客要求支付高額贖金。
twcert 發表在
痞客邦
留言(0)
人氣()
