美國政府多個單位,日前聯合發表資安警訊,指出有駭侵者正在針對美國的 K-12(幼兒園至中學)教育體系發動大規模攻擊,包括勒贖、資料竊取、干擾遠距教學等等。
包括聯邦調查局(Federal Bereau of Investigation, FBI)、網路安全暨基礎設施安全局(Cybersecurity & Infrastructure Security Agency, CISA)與跨州資訊共享分析中心(Multi-State Information Sharing and Analysis Center, MS-ISAC)等多個美國政府單位,日前聯合發表資安警訊;警訊中指出有駭侵者正在針對美國的 K-12(幼兒園至中學)教育體系發動大規模攻擊,包括勒贖攻擊、機敏資料竊取、干擾遠距教學等等。
聯合通報中指出,最近多個單位紛紛接獲大量來自 K-12 教育單位的勒贖攻擊通報;這些勒贖攻擊一如針對商業與其他公家單位的攻擊一樣,不但會竊取學生的各種個人機敏資訊並勒索贖金,同時也攻擊學校內的資訊裝置與遠距教學系統,造成學校運作的各種障礙。
通報也指出,近來針對 K-12 教育單位的勒贖攻擊,比例直線上升;在 2020 年一月到七月間,MS-ISAC 接獲的勒贖攻擊事件通報中,有 28% 係針對 K-12 教育單位;到了八月和九月,這個比例陡升至 57%。
通報說,用以攻擊 K-12 教育機構的勒贖軟體,種類相當多樣,最常見的五種分別是 Ryuk、Maze、Nefilim、AKO 與 Sodinokibi/REvil。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟指出一個名為 Adrozek 的惡意軟體,會在搜尋頁面中安插蓋台廣告,以賺取不法廣告分潤。
微軟旗下的資安研究單位 Microsoft 365 Defender Research Team,日前發表研究報告,指出該單位一個名為 Adrozek 的惡意軟體,會在搜尋頁面中安插蓋台廣告,以賺取不法廣告分潤。
報告中說,這個名為 Adrozek 的惡意軟體,會在各種瀏覽器中安裝外掛程式或延伸套件,修改瀏覽器的特定 DLL 檔案,並且竄改瀏覽器設定,以便在用戶以各種搜尋引擎搜尋所需資料時,在搜尋頁面上顯示 Adrozek 的蓋台廣告,蓋過搜尋引擎本身顯示的關鍵字廣告。
會遭到 Adrozek 攻擊的瀏覽器,主要是 Google Chrome、Microsoft Edge、Yandex Browser、Mozilla Firefox 等用戶相當多的主流瀏覽器。
雖然利用惡意瀏覽器外掛來顯示不當廣告不是新鮮事,但微軟指出 Adrozek 的攻擊範圍含蓋多種主流瀏覽器,同時具有強大的基礎架構,是相當罕見的;微軟觀察到共有 159 個不重覆的網域名稱與 Adrozek 有關,每個網域中平均有 17,300 個不重覆的 URL,每個 URL 觀察到超過 15,300 個惡意軟體樣本。
微軟資安團隊自今年(2020年)五月起開始觀察到 Adrozek 的活動,在今年八月時達到高峰,一天有超過 30,000 台裝置遭到感染;感染的裝置遍及全球,最嚴重的地區包括歐洲、南亞與東南亞。
微軟說,以 Adrozek 仍在繼續擴大的攻擊範圍來看,Adrozek 的基礎架構仍在不斷擴張。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專家發現暗網上有人標售大量自 MySQL 資料庫中駭侵竊取的資料,受害的伺服器總數高達 83,000 個以上,被標售的 MySQL 資料庫更多達 250,000 個以上。
twcert 發表在
痞客邦
留言(0)
人氣()
以色列大型保險公司 Shirbit 於本月初遭駭侵團體發動勒贖攻擊,要求贖款高達 200 枚比特幣。
以色列大型保險公司 Shirbit 於本月初遭駭侵團體「黑影」(Black Shadow)發動勒贖攻擊,要求贖款高達 200 枚比特幣。
據耶路撒冷當地媒體 The Jerusalem Post 報導,Black Shadow 一開始開價為 50 枚比特幣,但 Shirbit 沒有在駭客限定的時間之內支付贖款,Black Shadow 便在其「官方」Telegram 頻道中宣布,將贖款調漲四倍,同時公布部分該駭侵團體竊得的資料。
在 Shirbit 被公開的部分資料中,包括許多該公司員工與顧客的機敏資訊;駭侵者威脅如果 Shirbit 不支付贖金,這些資料將會逐步對外公開。
據當地媒體 Channel 12 Israel 指出,負責調查整起事故的政府單位,認為這起事件是由以色列境內的駭侵者所為,暫時沒有外國勢力支持的駭侵團體涉入的跡象;不過調查單位也證實,被洩露的資料確實是來自 Shirbit。
Shirbit 公司在對外界的聲明中,沒有提到任何這起攻擊事件的細節,僅表示被竊取的資料並不損及該公司顧客的權益;該公司也有完整的資料備份,目前也積極配合調查單位進行後續處理。
twcert 發表在
痞客邦
留言(0)
人氣()
研究人員發現了33個TCP/IP Stack的漏洞存在於4個開源的TCP / IP Stack中,而今年六月底JSOF曾發布TCP/IP 的Ripple20漏洞。由於這些漏洞會導致記憶體損毀或是記憶體存取的位置錯誤,這些情況可能造成資訊外洩、阻斷服務攻擊或遠端程式碼執行。
4個受影響的開源TCP / IP Stack分別為PicoTCP、FNET、Nut / Net及uIP,且分散在DNS、IPv6、IPv4、TCP、ICMP、LLMNR及mDN共七個TCP/IP Stack元件。這些漏洞將影響超過150間設備製造商,其中包括Devolo、EMU Electronic A、FEIG、Genetec、Harting、Hensoldt、Microchip、Nanotec、NT-Ware、Tagmaster、Siemens、Uniflow、Yanzi Networks的IT、OT及IOT的產品。
美國國土安全部網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)也針對此重大漏洞發出請提高警覺,並進行相關的建議措施與修補機制。
此33個漏洞因其攻擊記憶體的特性被稱為AMNESIA:33,當中包含3個CVSSv3風險等級為Critical,受影響的版本與相關CVE資訊如下:
twcert 發表在
痞客邦
留言(0)
人氣()
媒體發現巴西衛生部官方網站,將一個重要政府資料庫的登入資訊寫在網站程式碼中,導致超過 2 億 4300 萬名巴西民眾的個資對外曝光。
巴西一家名為 Estadao 的報社,日前發現巴西衛生部官方網站直接將一個重要政府資料庫的登入資訊,以極易破解的編碼方式寫在網站程式碼中;導致超過 2 億 4300 萬名巴西民眾的個資對外曝光超過半年以上。
Estadao 記者是在讀到一篇由巴西的非政府組織「巴西開放知識」(Open Knowledge Brasil, OKBR)的報告後決定開啟調查,該報告指出某個巴西政府單位的官方網站,也將某個政府資料庫的登入資訊,直接寫在網站程式碼內。
Estadao 調查巴西政府所屬的各個部門官方網站,確認是否也有類似錯誤發生時,發現巴西衛生部的官網,竟然也犯了相同的錯誤,將該部門所屬巴西公民健康資料庫的登入資訊,以非常容易還原的 Base64 編碼,直接寫在網站程式碼中,導致任何人都能登入該資料庫並存取資訊。
該資料庫內含 1989 年以來總供 2 億 4300 萬名已經逝世與仍然存活巴西民眾的個人資料,資料欄位包括完整姓名、住家地址、電話號碼與個人健康與就診記錄等。
目前巴西衛生部已經將官網內的登入資訊加以移除,但無法確認這個資料庫在過去是否曾遭不當存取;要是確認資料已遭不肖人士竊取,這起事故將會是嚴重的資安事件。
twcert 發表在
痞客邦
留言(0)
人氣()
韓國大型百貨零售業者 E-Land 長期遭勒贖軟體駭侵攻擊,駭侵者表示已自該公司竊得 200 萬張信用卡資訊。
韓國大型百貨零售業者 E-Land,自去年起長期遭勒贖軟體 Clop 發動勒贖攻擊;雖然該公司宣稱並無顧客資料流失,但駭侵者表示已自該公司竊得 200 萬張信用卡資訊。
E-Land 是韓國最大百貨零售業者之一,旗下擁有多家連鎖服飾店、家居用品賣場、百貨公司與折扣商場;然而自去年以來,該公司一直遭受勒贖攻擊之苦,2020 年 11 月更是因此關閉 23 家 NC Department Store 百貨門市與其他品牌店面。
該公司執行長徐昌賢於新聞稿中宣稱,勒贖攻擊並未造成客戶資料的損失,因為客戶資料與其他該公司的機敏資料,均加密儲存於其他未受攻擊的獨立伺服器內;然而根據 BleepingComputer 自 Clop 駭侵團體取得的資訊指出,該團體在駭入 E-Land 的一年多期間,透過植入於 POS 系統的惡意軟體,已經取得超過 200 萬張信用卡 Track 2 的卡片資訊。
Clop 駭侵團體植入在 E-Land POS 系統的惡意軟體,會在顧客刷卡時自 POS 中竊取卡片資訊,並傳輸到駭侵者架設的控制伺服器中;Clop 取得的 Track 2 信用卡資訊,其中包括信用卡卡號、信用卡到期日,但不包括信用卡 CVV 安全碼,因此僅能用於製造偽卡,在實體店面盜刷。
twcert 發表在
痞客邦
留言(0)
人氣()
歐洲藥品管理局遭駭侵攻擊,COVID-19疫苗相關資料遭非法存取。歐洲藥品管理局(European Medicines Agency, EMA)於日前發出聲明,該機構證實遭受駭侵攻擊,駭客非法取閱了輝瑞藥廠與德國生技公司BioNTech提交給EMA並儲存於其伺服器的COVID-19疫苗候選株相關資料。兩間公司表示,與此事件有關的系統並無出現問題,也沒有任何參與研究的人員個資遭外洩。
twcert 發表在
痞客邦
留言(0)
人氣()
全球知名資安大廠 FireEye 也遭駭侵團體攻擊,該公司認為攻擊者可能由特定國家的支持。
全球知名資安大廠 FireEye,近日發表資安通報,指出該公司近期也遭駭侵團體攻擊;由於攻擊手法的縝密與技術力,該公司認為攻擊者極可能由特定國家的支持。
FireEye 於報告中指出,該公司發現遭到某駭侵團體入侵,目標是該公司內部用以模擬駭侵攻擊的「紅隊」用以發動模擬攻擊,並且評估客戶資安防護能力使用的內部工具;FireEye 指出目前沒有觀察到這些工具被用以發動其他駭侵攻擊的跡象。
這次針對 FireEye 的攻擊,同時還針對 FireEye 內部的各種系統發動攻擊,試圖取得存取權限,並且試圖收集 FireEye 承包的美國政府資安專案相關資訊;FireEye 指出,目前沒有觀察到這些資料遭竊的現象;一些該公司的資安防護相關 metadata 資訊與客戶相關資料,也並未在這波攻擊中遭到竊取。
FireEye 董事長兼執行長 Kevin Mandia 在向美國證管會提出的報告中說,該公司發現這次攻擊使用的手法十分成熟,而且經過充分準備與嚴格執行紀律,具有世界級的水準;該公司因此認為攻擊者背後必然有特定國家勢力的支援。
目前 FireEye 正在與美國聯邦調查局、微軟公司合作調查整起攻擊事件。
twcert 發表在
痞客邦
留言(0)
人氣()
FBI 日前發表資安通報,指出有愈來愈多駭侵團體,駭入 Web Mail 伺服器上的自動轉寄的郵件規則,以 BEC 攻擊手法盜領各種款項,造成極大損失。
美國聯邦調查局(FBI) 日前發表資安通報,指出有愈來愈多駭侵團體,最近開始針對 Web Mail 服務自動轉寄的郵件規則發動 BEC(Business Email Compromise) 攻擊,來盜領企業的各種帳款,造成極大損失。
FBI 指出,在疫情影響之下,愈來愈多中小企業採用遠距工作,並且更為依賴以網頁為基礎的 Web Mail 服務,較少使用本機的郵件軟體收發信件。
由於這類 Web Mail 服務的郵件規則,通常不會同步到本機端的郵件軟體,而是自成一格,因此給了駭侵者可乘之機:駭侵者可以先以社交工程或其他駭侵方式,先駭入員工的 Email 帳號,接下來駭侵者會竊取該員工的來往郵件內容,收集各種資訊後,接下來就利用這些資訊來偽裝成員工本人,向帳款支付者發送詐騙郵件,使其更改匯款帳戶為駭侵者控制的假帳號,藉以竊取企業的帳款。
駭侵者更會進一步修改 Web Mail 系統的郵件規則,將這類帳款相關郵件自動轉到其他 Email 信箱,進一步降低郵件內容被受害企業發現的機會。
由於這種做法,駭侵者發動惡意郵件攻擊造成的損失,正在快速擴大;根據 FBI 的報告指出,全球在 2019 年通報的企業惡意郵件攻擊,造成的損失高達 17 億美元。
FBI 說,如果企業的資訊與資安管理人員,未能經常檢視其 Web Mail 上的郵件規則與不明連線,就很容易受到這類攻擊而難以及時發現。
twcert 發表在
痞客邦
留言(0)
人氣()
全球玩家多達 220 萬的 PlayStation Now 遊戲服務,其所屬 Windows 應用程式遭資安專家發現一個漏洞;該漏洞可導致駭侵者藉以駭入玩家電腦,遠端執行任意程式碼。
發現此漏洞的資安專家 Parsia Hakimian 於今年五月發現這個漏洞;這個漏洞可讓未經授權的駭侵者發動程式碼注入攻擊。
PlayStation Now 安裝在 Windows 電腦中的 psnowlauncher.exe 在執行後,會透過 AGL Electron 應用程式,於本機連接埠 1235 啟動的 WebSocket 伺服器;駭侵者可利用 AGL 連上存有惡意軟體的網站,載入任意的惡意 JavaScript 程式碼,因為 AGL 不會針對連線 URL 進行必要的檢查。
Hakimian 說,駭侵者可以利用多種方法誘使用戶點按惡意連結,例如透過釣魚郵件、遊戲社群或聊天室來散布惡意網站的 URL。這個漏洞會影響的 PS Now 版本為所有執行在 Windows 7.1 SP1 與後續 Windows 版本的 PS Now 11.0.2 與較舊版本。
Hakimian 在今年五月透過 HackerOne 的漏洞有獎徵答比賽,將這個漏洞回報給 Sony 公司;Sony 隨即在六月底就解決了這個漏洞。影響產品/版本:執行於 Windows 7.1 SP1 與後續 Windows 版本的 PS Now 11.0.2 與較舊版本
twcert 發表在
痞客邦
留言(0)
人氣()
IBM 旗下的資安研究團隊近期發現一起全球性的釣魚攻擊活動,目標鎖定 COVID-19 物流的冷鏈相關單位。
IBM 旗下的資安研究團隊 X-Force,近期發表研究報告;報告中指出該單位發現一起全球性的釣魚攻擊活動,目標鎖定 COVID-19 物流的冷鏈相關單位進行攻擊。
IBM X-Force 指出,這起攻擊事件涉及六個國家的疫苗冷鏈運輸相關單位,攻擊行動自 2020 年 9 月開始進行。攻擊者假冒為海爾生物醫療公司的員工,向參與疫苗冷鏈運送的合作單位發送釣魚信件,企圖騙取各種登入資訊,以便駭入其內部網路。
據 IBM X-Forece 的報告說,這些釣魚信的攻擊目標,包括歐盟稅收與關稅同盟總局(European Union Directorate-General for Taxation and Custom Union),以及能源、製造業、網站設計業、軟體業、網路資安業等,分布於德國、義大利、南韓、捷克、歐盟與台灣。
報告說,駭侵者以魚叉式釣魚攻擊,鎖定這些產業中的行銷、採購、資訊系統與財務相關主管人員,發送釣魚攻擊信件;另外也有一些攻擊行動係鎖定這些公司的支援體系。
IBM X-Force 指出,目前尚無明確證據,可以藉此找出發動這場攻擊的駭侵者身份,但由於此波攻擊行動沒有特定的金流情報,再加上駭侵攻擊本身的手法相當縝密,IBM 認為攻擊者幕後應有來自特定國家的支援。
twcert 發表在
痞客邦
留言(0)
人氣()
