德國研究人員近期發表針對 Apple AirDrop 無線傳輸協定安全性的研究報告,指出 AirDrop 在進行通訊交握期間,可能會洩露用戶相關個資。
德國達姆施塔特工業大學(Technische Universität Darmstadt)資訊科學系的研究人員,近期發表一篇報告,針對 Apple AirDrop 無線傳輸協定安全性進行研究;報告指出 AirDrop 在進行通訊交握期間,可能會洩露用戶相關個資。
達姆施塔特工業大學的兩組研究人員,在研究分析 AirDrop 的傳輸流程時,發現 AirDrop 預設的傳輸對象,必須同時存在於傳輸兩者的手機通訊錄內;為了驗證所需,在檔案傳輸開始之前的交握(handshaking)程序中,AirDrop 會互相傳送經過雜湊加密運算的用戶手機門號和 Email 地址,兩者相符後才會開始傳輸檔案內容。
研究人員指出,由於 Apple 在 AirDrop 交握流程中使用的雜湊演算法不夠完整,因此攻擊者只要與遭攻擊者距離夠近,處於 Wi-Fi 無線網路訊號範圍內,攻擊者可以使用一台電腦來發動交握程序,進而利用諸如暴力試誤法等方式,破解雜湊加密並還原出被攻擊者的手機門號與 Email 地址。
研究報告指出,該團隊早在 2019 年 5 月,即將這份發現提報給 Apple 知悉,但未收到回應,因此該團隊認為這個問題可能尚未得到解決;該團隊建議 AirDrop 用戶,在不使用時應該關閉 AirDrop,避免遭攻擊者以這種方法取得機敏資訊。
另外,該團隊也自行推出類 AirDrop 的傳輸應用程式,稱為「PrivateDrop」;PrivateDrop 引進更強效的加密演算法,可以更為有效的保護用戶個資,避免遭有心人攔截;交握所需時間僅比原生的 AirDrop 拉長不到一秒。
twcert 發表在
痞客邦
留言(0)
人氣()
一名行動應用程式開發者發現一支名為 Jungle Run 的 iOS 兒童遊戲軟體,實際上是一個加密貨幣賭場,用以騙取用戶的財物。
行動應用程式開發者 Kosta Elefheriou,近期發現一支名為 Jungle Run 的 iOS 兒童遊戲軟體,表面上看起來無,實際上卻是一個加密貨幣賭場,用以騙取用戶的財物。
這名位於美國的開發者發現,Jungle Run 平時看起來是一支設計很平凡的遊戲軟體,但他只要將手機的連線以 VPN 改為使用土耳其、哈薩克或義大利等國的境内 IP 連線,這支 App 就會搖身一變,變成一個以加密貨幣進行賭博遊戲的線上賭場。
當使用 VPN 切換到土耳其境内 IP 連線時,這支詐騙 App 甚至會播放詐騙廣告,假稱得到 CNN 土耳其語版新聞採訪推薦。
資安專家表示,把詐騙賭場包裝在看起來無害的 App 中,限定某些國家的連線才能開啟,這種手法前所未見,甚至可以騙過以審核嚴格聞名的 Apple 官方應用程式商店 App Store;這表示簡單的人類創意就可以騙倒機器學習演算法,所以釣魚詐騙攻擊和社交工程,永遠都比複雜先進的惡意軟體更加有效。
Elefheriou 指出,Jungle Run 的開發者除了這支遊戲外,也在 Apple 官方的應用程式商店上架另一支同樣含有詐騙賭場「功能」的應用程 Magical Forest Puzzle。
目前 Apple 已經將這兩支 App 下架移除,但顯然這兩支 App 的上架已有一段時間;而在 App Store 中的用戶評價欄中,已有用戶抱怨被這支 App 騙走錢財。
這類詐騙行動應用程式在過去就經常出現在 Apple 和 Google 的官方應用程式商店中,除了像本例的賭場詐騙外,諸如詐騙廣告點擊、資料竊取與監聽、背景挖礦、訂購高價服務、盜取登入資訊等惡意攻擊手法,可說層出不窮;用戶下載安裝任何軟體,都需提高警覺,先檢閱其他用戶的評價内容,以免上當。
twcert 發表在
痞客邦
留言(0)
人氣()
近日造成全球 QNAP NAS 裝置大規模感染的惡意勒贖軟體 Qlocker,其幕後主使者在短短五天之内賺取的不法獲利,已經高達美金 26 萬元以上。
近日造成全球 QNAP 網路儲存設備(Network Attached Storage, NAS) 裝置大規模感染,用戶檔案遭壓縮並加上密碼鎖定的惡意勒贖軟體 Qlocker,其幕後主使者在短短五天之内賺取的不法獲利,已經高達美金 26 萬元。
這波 Qlocker 感染潮自上周一開始在全球各地蔓延;值得注意的是,其他類似勒贖攻擊者所使用的勒贖軟體,多半需要花費較多時間開發,但 Qlocker 攻擊者卻是利用廣為用戶使用的 7zip 壓縮程式,透過 QNAP 設備的 RCE 漏洞 CVE-2020-36195,遠端執行 7zip 程式,將用戶儲存在 NAS 中的檔案壓縮後加上解壓密碼,幾乎毫不費力。
攻擊者選擇攻擊對象的方式也很簡單。由於許多 NAS 用戶都會將其裝置連上 Internet,以便異地遠端存取檔案,但這些設備多半是由家庭或中小企業擁有,在資安防護與相關設定、備份等專業能力較為薄弱,因此攻擊者只要掃瞄整個 Internet,找出對 Internet 開放連線,可以遠端登入的 QNAP NAS 設備,即可鎖定這些裝置發動攻擊。
雖然 QNAP 在此之前數日,已經推出修補 CVE-2020-36195 的資安修補更新程式,但只要用戶未能在第一時間更新自己的裝置,就很可能成為駭侵者的攻擊對象;這也就是為何 Qlocker 能夠在短短數日之内,快速駭入眾多 QNAP NAS 裝置進行攻擊。
另外一個特色是,多數的勒贖攻擊多半鎖定大型企業,要求高達數十萬美金的高額贖金;但 Qlocker 則反其道而行,每台被駭入的裝置,只要求 0.01 枚比特幣的解密贖款,相當於台幣 15,000 元。多數受害者可能會認為金額不高,因此選擇花錢消災;也因此 Qlocker 駭侵者累計獲得的不法利益,就積少成多。
據資安專家研究指出,Qlocker 駭侵者一共使用 20 個比特幣錢包收取贖款,目前約有五百多名受害者支付贖金,累計不法獲利為 5.26 枚比特幣,約 260,000 美元左右。
twcert 發表在
痞客邦
留言(0)
人氣()
在國際執法單位共同合作下,自一月起利用緝獲的 Emotet 控制伺服器,逐步在遭感染的電腦系統上執行自我刪除。
在過去造成全球重大資安損害的惡意軟體 Emotet,近來在國際執法單位共同合作下,自一月起利用緝獲的 Emotet 控制伺服器,逐步在遭感染的電腦系統上執行自我刪除。
Emotet 這個惡意軟體,幕後的駭侵組織為「TA542」,又稱「木乃伊蜘蛛(Mummy Spider)」,是個二階段的惡意軟體;電腦系統感染 Emotet 後,會再從控制伺服器上下載安裝不同功能的惡意軟體模組,例如惡名昭彰的 Ryuk 勒贖軟體,便是 Emotet 上的一個模組。
這次的刪除行動,是由德國的聯邦警察署(Bundeskriminalamt)發動,該單位緝獲一批 Emotet 的控制伺服器後,利用這批控制伺服器,對已感染 Emotet 的電腦,發送一個 32 位元 EmotetLoader.dll 檔案,達成移除 Emotet 的任務
資安廠商 Malwarebytes 的資安專家,分析了德國警方發送的自我刪除程式碼後指出,發現這個移除程式做的事情非常簡單:刪除 Emotet 相關的 Windows 服務、移除會自動執行 Emotet 的 Windows 登錄檔中的相關機碼,接著結束執行程序。
據資安專業媒體 BleepingComputer 報導指出,一月時德國聯邦警察署就開始利用手中掌握的 Emotet 控制伺服器,推送自我移除模組;二月時美國司法部也證實,這項計畫中的移除行動,是由德國警方負責,並且與美國聯邦調查局(FBI)密切合作。
不過,美國司法部也指出,這波行動並無法移除其他非 Emotet 安裝的惡意軟體,僅能讓受害者中的 Emotet 模組停止運作,防止 Emotet 下載更多惡意軟體模組發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
近來出現一波針對 QNAP 網路儲存裝置的大規模勒贖攻擊,用戶裝置中的檔案會遭壓縮密碼鎖定,受害者人數正在快速擴大。近來出現一波針對台灣領導品牌之一 QNAP(威聯通) 網路儲存裝置(Network Attached Storage, NAS)的大規模勒贖攻擊,用戶裝置中的檔案會遭壓縮加上密碼鎖定,受害者人數正在快速擴大。
據資安專業媒體 BleepingComupter 報導指出,這波勒贖攻擊使用的惡意軟體,名為 Qlocker,自 2021 年 4 月 19 日起觀測到其攻擊活動的足跡,受害者數量同時快速增加,世界各國陸續傳出受害災情回報。
用戶的 QNAP NAS 裝置 一旦感染 Qlocker,NAS 中的所有檔案便會被惡意軟體使用 7zip 壓縮並加上密碼保護;惡意軟體執行壓縮工作時,用戶可以在 QNAP NAS 管理介面中的資源監視器畫面中,看到有個 7z 程式的執行緒。
當 Qlocker 完成壓縮作業後,會在用戶的 NAS 中留下一個未加密的文字檔「!!!READ_ME.txt」,並在其内文中要脅用戶透過 Tor 加密瀏覽器繳付贖款 0.01 枚比特幣,以取得解壓縮用的密碼。
雖然有資安專家很快找到 Qlocker 的漏洞,藉以查出解密用的密碼,但這個漏洞很快就被駭侵攻擊者修補完成。
據 BleepingComputer 報導,QNAP 指出 Qlocker 很可能是利用 QNAP 原廠已於 4 月 16 日更新修復的 CVE-2020-36195 漏洞發動攻擊;這個漏洞可讓攻擊者注入指令,同時遠端執行任意程式碼。
QNAP 在官方資安通報中指出,「使用者若受到勒索病毒影響,或觀察到勒索病毒執行中,並正在加密檔案,應保持 NAS 開機狀態、立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描、並聯繫 QNAP 技術支援單位 (https://service.qnap.com/) 取得協助。」
對於尚未遭到 Qlocker 攻擊的用戶,QNAP 也建議用戶「應立即安裝並使用最新版 Malware Remover 進行惡意軟體掃描,變更所有使用者密碼為高強度密碼,並更新 Multimedia Console、Media Streaming Add-on 及 Hybrid Backup Sync 三個 App 至最新版。」
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商日前發表研究報告,指出一個名為 HackBoss,專門竊取加密貨幣的惡意軟體,目前正透過 Telegram 散布全球。
資安廠商 Avast 日前發表研究報告,指出現在一個名為 HackBoss,專門竊取各種加密貨幣的惡意軟體,目前正透過 Telegram 散布全球,且已經造成鉅額損失。
Avast 發表的最新研究報告說 HackBoss 是個非常簡單但十分有效的惡意軟體,目前可能已經竊走高達 560,000 美元等值的加密貨幣。
HackBoss 的開發者在 Telegram 開設一個同樣名為 Hack Boss 的聊天室,以「提供最佳駭客工具」為號召,號稱提供各種可供用戶下載,以破解銀行帳號、社群平台帳號、各種加密貨幣錢包、禮品卡密碼産生器、商用軟體註冊碼産生器等破解工具,但實際上釋出的工具,都只是假冒成這些破解工具,實際上卻是用來竊取加密貨幣的惡意軟體。
這個聊天室目前約有 2,500 名成員加入,每個月通常會有 7 篇新的貼文,每次都會提供一個下載連結,指向偽裝成破解工具的惡意軟體;而其惡意軟體的運作方式非常簡單,就是監控系統剪貼簿,一旦出現了可能是加密貨幣錢包的位址資訊,就把它刪去,並且以駭侵者自己的加密貨幣錢包取而代之。當受害者需要把加密貨幣轉到其他錢包地址時,用這種方法即可將匯款攔截下來,並且改匯到駭侵者擁有的加密貨幣錢包之中。
Hack Boss 的 Telegram 頻道設立於 2018 年 11 月,除了 Telegram 外,還設立了官方部落格和 YouTube 頻道,甚至購買廣告宣傳,以誘使更多用戶下載這些假的破解工具。
HackBoss 可以竊取的加密貨幣種類超過 100 種以上,但主要行竊得手的加密貨幣種類,則以比特幣、以太幣、萊特幣、狗狗幣(Dogecoin)為主,總金額相當於 56 萬美元以上。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商近期公布各大品牌遭駭侵者用以進行釣魚攻擊的全球統計報告,其中有 39% 是資訊或科技相關品牌。
資安廠商 Check Point 近期發表研究報告,公布各大品牌遭駭侵者冒名用以進行釣魚攻擊的全球性統計報告;其中有 39% 是資訊或科技相關品牌。
這份報告統計 2021 年前三個月,各種釣魚郵件駭侵攻擊假冒的品牌,與在全球發動的相關攻擊次數;報告指出,知名科技巨頭仍為釣魚攻擊者最喜歡假冒的品牌。這些攻擊行動中有高達 65%,都是假借科技巨頭如 Microsoft、Google、Roblox、Amazon、Apple、Dropbox 等,企圖騙取受害者的登入資訊或其他機敏資料。
報告也說,在 2021 年第一季中,有高達 39% 的釣魚攻擊是假冒 Microsoft 來進行的,但總攻擊次數和去年第四季相比微幅下降;2020 年第四季冒用 Microsoft 品牌發動的釣魚攻擊,其占比高達 43%。
而在非科技品牌方面,包括全球運輸業、大型零售通路、金融業者等等也是常被釣魚攻擊者冒名發動攻擊的主要對象。
在 Check Point 的報告中,排名前十名最常被冒名的品牌,及其攻擊次數比例,分別為:Microsoft(39%)DHL(18%)Google(9%)Roblox(6%)Amazon(5%)Wells Fargo(4%)Chase(2%)LinkedIn(2%)Apple(2%)Dropbox(2%)
twcert 發表在
痞客邦
留言(0)
人氣()
專家指出,近年來美國輸電線路與相關基礎建設,遭到駭侵者鎖定攻擊的情形不斷升高,特別是在去年疫情發生後。
北美電力相關專家日前在一場針對供電系統資安問題的研討會中指出,近年來美國輸電線路與相關基礎建設,遭到駭侵者鎖定攻擊的情形不斷升高,特別是在去年疫情發生後。
非營利的「北美電力可靠度公司」(North American Electric Reliability Corporation, NERC)資深副總裁 Manny Cencel,近日在一場名 GridSecCon 2021 的研討會上指出,「雖然確保輸電線路和相關基礎設施的安全性,一直是業者的首要任務,但在過去一年到一年半以來,情況有非常劇烈的變化,而且前所未見。」
Manny Cancel 指出,不論駭侵者是否有特定國家勢力背景,近來的攻擊者都有能力癱瘓整個供電系統和基礎設施;特別是在疫情爆發之後,由於大量員工透過網路遠距工作,更給駭侵者可乘之機,利用其中的弱點來攻擊電力業者。
twcert 發表在
痞客邦
留言(0)
人氣()
全球最大的法國化妝品製造大廠 Pierre Fabre 日前遭到 REvil 勒贖軟體攻擊,駭侵者要求贖金高達 2,500 萬美元。
全球最大的法國化妝品暨藥品製造大廠 Pierre Fabre,日前遭到 REvil 勒贖軟體攻擊,駭侵者要求的贖金高達 2,500 萬美元。
Pierre Fabre 在受攻擊後數日發布的新聞稿中指出,該公司是於 3 月 31 日遭到勒贖攻擊,攻擊導致該公司多數生産線停擺,但位於法國 Tarn 地區,主要生産藥品與化妝品有效成分的 Gailac 工廠並未受到影響。
新聞稿也強調,該公司在確認遭到攻擊的 24 小時内,即將受損情形控制住;該集團的資訊系統立即切換到「待機模式」,以避免惡意軟體進一步擴散;另外重要藥品和化妝品的供應,以及相關行政與業務人員的作業,均未受到影響。但新聞稿並沒有說明這次駭侵攻擊的形態(沒有提到為勒贖攻擊),也沒有提及該公司是否有和勒贖團體接觸。
據資安專業媒體 BleepingComputer 報導,該刊觀察到的各種證據,證實此次攻擊是由 REvil 勒贖團體發動的另一波鎖定全球大型企業的攻擊活動;該刊在事件發生後,就掌握了一個 REvil 用來收取勒贖金的 Tor 網頁,駭侵者在其中說已經掌握來自 Pierre Fabre 的内部資料。
在這個網頁上同時也顯示了 REvil 要求的贖金,原本是 2,500 萬美元,但在支付期限過後,Pierre Fabre 顯然沒有繳付贖金,因此要求的贖金已經倍增到 5,000 萬美元。
REvil 近來針對全球知名大型企業發動過多場勒贖攻擊,近來的攻擊對象包括國內的大型資訊業者與法國大型電子製造廠 Asteelflash,對全球業者造成嚴重的資安威脅。
twcert 發表在
痞客邦
留言(0)
人氣()
美國國家安全局最近發布 4 個 Microsoft Exchange Server 嚴重資安漏洞,全部可以導致駭侵者遠端執行任意程式碼;用戶應立即更新以修補漏洞。
美國國家安全局(National Security Agency, NSA)最近發布 4 個 Microsoft Exchange Server 嚴重資安漏洞,全部可以導致駭侵者遠端執行任意程式碼;目前 Microsoft 已經推出資安更新,用戶應立即更新以修補漏洞。
NSA 指出,這四個資安漏洞,都針對機構内架設的 Microsoft Exchange Server,影響版本從 2013 到 2019,含蓋範圍很大。目前尚未有證據指出這些漏洞已遭大規模用於駭侵攻擊,但微軟指出駭侵者很快就會利用這些漏洞,發展出攻擊工具與手法。
這 4 個漏洞的 CVE 編號分別是 CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483,都能夠讓駭侵者直接遠端執行任意程式碼;其中有兩個還能跳過登入驗證程序,讓駭侵者取得足夠的執行權限。
這 4 個漏洞的 CVSS 危險程度評級,最低分的是 8.8/10 分,最高者高達 9.8/10 分;全都屬於「嚴重」等級漏洞。
另一個主管美國國家資安事務的網路安全暨基礎設施安全局(Cybersecirity and Infrastructure Security Agency, CISA),也針對這 4 個新發現的資安漏洞發布命令,要求美國聯邦政府旗下各單位,必須在 2021 年 4 月 16 日上午 12:01 分之前,安裝 Microsoft 提供的更新軟體。
雖然目前還沒有傳出利用這些漏洞發動的攻擊事件,但 CISA 認為駭侵者將會利用逆向工程技術,分析微軟推出的修補軟體,開發出攻擊程式,並針對尚未更新的 Microsoft Exchange Server 發動攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
超過 50 萬台手機因為下載來自官方應用程式商店 AppGallery 中的 App,遭植入 Joker 惡意軟體,在用戶不知情的情形下訂閱高額行動服務。
資安廠商 Doctor Web 日前發表研究報告指出,共有超過 50 萬台華為手機,因為下載來自官方應用程式商店中的 App,遭植入 Joker 惡意軟體,在用戶不知情的情形下訂閱高額行動服務,同時進行其他駭侵攻擊行為。
研究人員指出,在其官方 Android 應用程式商店 AppGallery 中,一共發現 10 個看起來無害的 App,含有 Joker 惡意軟體程式碼,會私自和駭侵控制伺服器連線,取得多種設定,以及額外的惡意軟體程式模組。
這些埋有惡意程式碼的 App,種類相當多樣,從虛擬鍵盤、攝影工具、Android 桌面管理程式(Launcher)、即時通訊軟體、貼紙軟體、相片調色軟體和手機遊戲等等。一旦安裝這些 App,就會在用戶不知情的狀況下,為用戶訂購高價的線上服務。
這些 App 還會攔截服務訂購時傳送過來的驗證用簡訊,並完成手機簡訊驗證,不讓用戶發現;App 會連上駭侵者架設的控制伺服器,取得工作清單、高價服務的訂閱用網址,以及會模擬用戶操作行為的 JavaScript 程式碼。
Doctor Web 指出,上述的大多數惡意軟體,都來自單一開發者 Shanxi Kuailaipai Network Technology Co., Ltd.;這十支 App 的總共下載次數總合達 538,000 次。
Doctor Web 也說,不只是在 AppGallery 官方應用程式商店中找到内含 Joker 惡意軟體的 App,在 Google Play 官方應用程式商店的其他 App 中,也發現過這類惡意 App。
twcert 發表在
痞客邦
留言(0)
人氣()
Google 於近日推出 2021 年 4 月份 Android 系統資安更新,一共修復 30 個大小漏洞,其中包括一個可能導致駭侵者遠端執行任意程式碼的嚴重漏洞;用戶應注意手機原廠發表的修補更新訊息。
Google 於近日推出 2021 年 4 月份 Android 系統資安更新,一共修復超過 30 個大小資安漏洞;其中更包括一個可能導致駭侵者遠端執行任意程式碼的嚴重等級資安漏洞。各廠牌 Android 手機用戶,應注意手機原廠發表的修補更新訊息,當原廠發布資安更新時,應立即更新至最新版本韌體。
這個可能導致駭侵者遠端執行任意程式碼的漏洞,其 CVE 編號為 CVE-2021-0430,存於 Android 的系統組件之中;駭侵者可以透過特製的檔案觸發此漏洞,以擁有特權的執行程序遠端執行任意程式碼。
CVE-2021-0430 這個漏洞的 CVSS 危險程度評分高達 8.8 分,屬於「嚴重」(critical)等級;主要影響的 Android 版本為 Android 10 和 Android 11 等兩個版本。
在這波 Android 資安更新中,Google 是分成兩次發行的;4 月 1 日先推出的 Android 更新中,共有 12 個漏洞的危險程度等級為「高」(high)等級,其中有 9 個存於 Framework 組件中,另外有 3 個存於 Media 組件中,可讓駭侵者提升執行權限,或是竊取相關資訊。
4 月 5 日時 Google 再次推出一波 Android 資安更新,一共修復 18 個資安漏洞,其中包括存於系統組件的 2 個高危險資安漏洞、存於核心組件的 2 個高危險漏洞,其他漏洞則存於 MediaTek、Qualcomm 開源與閉源組件等。
由於 Google 推出的 Android 資安更新包,只適用於如 Google Pixel 等使用原生 Android 系統的裝置,其他主要品牌如 Samsung、Asus、Xiaomi 等各廠自行推出的 Android 裝置,必須等候原廠推出系統更新,因此用戶應隨時注意各原廠發布的更新訊息,即時更新 Android 手機至最新版本。CVE編號:CVE-2021-0430
twcert 發表在
痞客邦
留言(0)
人氣()
