資安廠商 Cado Security 近日發表研究報告指出,該公司旗下的資安研究人員調查發現,一個稱為 P2PInfect 的僵屍網路蠕蟲,自 8 月下旬起透過各種隱形變種惡意軟體,其駭侵攻擊活動量開始大量增加,9 月時增加到近 600 倍。
P2PInfect 的初次活動記錄是於 2023 年 7 月由資安廠商 Unit 42 所發現,該僵屍網路惡意軟體是一種對等網路 (Peer-to-peer,又稱 P2P)架構,主要透過在直接連線網路的 Windows 或 Linux 主機上利用已知的遠端執行任意程式碼漏洞,植入 Redis 惡意軟體而進行擴散。
而在 2023 年 7 月底,Cado Security 的研究人員觀察到 P2PInfect 的全球活動量劇增;受到該惡意軟體駭侵的案例分布遍及全球;而受災最嚴重的國家則包括中國、美國、德國、新加坡、香港、英國、日本等國。
Cado Security 在報告中指出,由該公司設置的「蜜罐」(honeypot)所截獲的惡意軟體活動,在今年 8 月到 9 月之間阧然上升達 600 之多;而 Cado Security 也發現多種不同的 P2PInfect 變種惡意軟體,顯示該惡意軟體的研發改版活動十分積極,能進行的駭侵攻擊活動類別也不斷增加,對資安防護帶來更大的考驗。
有別於傳統主從式惡意軟體,需要設立少數控制伺服器來進行惡意軟體的酬載布署、資料收集等作業,P2PInfect 則利用對等式網路拓樸來分散作業,因此更加難以封鎖其攻擊網路。
Cado Security 指出,目前 P2PInfect 主要的攻擊酬載是安裝加密貨幣挖礦軟體,但目前並未觀察到實際的大規模挖礦運作,有可能只是駭侵者仍在進行實驗與測試,所以目前還不清楚 P2PInfect 布署的真正野心。
建議系統管理者與使用者必須隨時保持軟體安裝最新版本的資安修補程式,以免系統存有未修補的漏洞,遭此類惡意軟體入侵。twcert 發表在 痞客邦 留言(0) 人氣(1)
專業資安媒體 BleepingComupter 近日發表報導,指出近期有駭侵者以假冒不良債權追討業者 Stretto 的名目,接觸先前因加密貨幣貸款業者 Celsius 破產而導致權益受損的投資人,試圖竊取其加密貨幣錢包中的數位資產。
Celsius 是於 2022 年 7 月宣布破產倒閉的加密貨幣貸款業者,當時直接凍結使用者帳號的提款權限,造成許多人投入的資金無法領回,而 Stretto 是當時負責接受債權人處理 Celsius 破產後債權問題的業者。
據 BleepingComputer 的報導指出,近來許多債權人反應收到假冒 Stretto 發出的釣魚電子郵件,信中宣稱受害者只要填寫必須的資料欄位,將可在 7 日內收回被 Celsius 凍結的資金;而信中的連結會把使用者導向到疑似由駭侵者設立的釣魚網站,該釣魚網站的網域則註冊在塞席爾。
當債權人進入該釣魚網頁並輸入個人 email 地址後,會出現一個 WalletConnect 提示視窗,要求連結並存取債權人擁有的加密貨幣錢包;一旦同意,該釣魚網站即可取得加密貨幣錢包的各種資訊,包括錢包位址、餘額、資金進出記錄,並可建議進行交易。
BleepingComputer 進一步指出,一旦駭侵者用這種方法連線債權人的加密貨幣錢包,就可以偽造交易,假裝即將存入資金,事實上是將錢包中的加密貨幣與 NFT 提領一空。
BleepingComputer 的分析也指出,這波攻擊活動之所以能夠進行,是因為駭侵者找到方法,讓其發送的釣魚信件通過 Sender Policy Framework (SPF) 的郵件來源檢驗機制,因此不會被中間的郵件中繼伺服器阻擋下來。
建議加密貨幣投資人對於不明來源的錢包連線要求一定要特別提高警覺,勿輕易授權存取,以免資金遭到盜領。twcert 發表在 痞客邦 留言(0) 人氣(3)
資安大廠趨勢科技 (Trend Micro) 近期修復一個存於其 Trend Micro Apex One 端點保護解決方案的 0-day 漏洞 CVE-2023-41179;該漏洞證實已遭積極用於駭侵攻擊活動。
Trend Micro Apex One 端點保護解決方案是針對各種大中小型企業資安需求設計的資安防護系統,而該 0-day 漏洞 CVE-2023-41179 存於 Apex One 來自第三方的反安裝 (uninstall) 模組內,駭侵者可利用該漏洞來執行任意程式碼。
受此漏洞影響的 Trend Micro 產品如下:twcert 發表在 痞客邦 留言(0) 人氣(21)
資安專家估計,市面上約有 12,000 Juniper SRX 防火牆裝置與 EX 系列交換器,內含一個嚴重的資安漏洞,駭侵者可透過該漏洞,無需檔案和登入驗證,即可遠端執行任意程式碼。
在 2023 年 8 月時,Juniper 自行在資安通報中公開了數個 PHP 環境變數操弄的漏洞,包括 CVE-2023-36844、CVE-2023-36845,以及數個關鍵功能無需登入驗證的漏洞,包括 CVE-2023-36846、CVE-2023-36847。當時這些漏洞的 CVSS 危險程度評分較低,僅有 5.3 分(滿分為 10 分),危險程度評級為「中等」(medium)。
然而資安專家發現,可以把這些漏洞組合成一個更危險的資安漏洞,用以遠端執行任意程式碼;這使得合成漏洞的危險程度評分立即上升到 9.8 分;甚至可以在無需上傳任何檔案的情況下,僅僅利用 CVE-2023-36845 這個單一漏洞,就能在受攻擊裝置上遠端執行任意程式碼。
資安廠商 VulnCheck 在近期發表的研究報告中,公開了該公司旗下資安專家發展出的概念攻擊證明(PoC)流程;該流程可利用 GitHub 上可免費取得使用的掃瞄工具,在開放網路上找到 12,000 台以上含有此漏洞的 Juniper 網路裝置加以攻擊。
受 CVE-2023-36845 漏洞影響的 Juniper 網通產品,包括執行下列版本 Junos OS 的 EX 與 SRX 系列機型:twcert 發表在 痞客邦 留言(0) 人氣(9)
資安廠商 SentinelLabs 日前發表研究報告,指出該公司旗下的資安專家,近期發現 APT 駭侵團體 APT36,利用至少 3 個冒充為 YouTube 的 Android App 來散布遠端遙控木馬惡意軟體 CapraRAT。
據 SentinelLabs 的報告指出,APT36 又名「Transparant Tribe」(透明部落),慣用手法為透過特製的 Android App 上架到第三方 Andoird App Store 中,針對印度的國防軍事與政府單位進行攻擊。
SentinelLabs 指出,這次觀測到的攻擊行動,主要的攻擊目標是印度與軍事外交事務相關的單位或個人,攻擊手法是利用社交工程方式,針對攻擊目標散布至少三種假冒為 YouTube App 的惡意 APK 軟體。三個惡意軟體中有兩個就名為「YouTube」,另一個則稱為「Piya Sharma」,利用這個和愛情故事相關的名字來發動「羅曼史攻擊」。
這些惡意軟體的介面都模仿真正的 YouTube App,但卻是使用 WebView 而非原生軟體介面,另外也缺少真實 App 擁有的部分功能。
一旦使用者誤裝了這三種惡意軟體,CapraRAT 就會背景執行各種攻擊,包括竊取前後相機與麥克風接收到的影像與聲音、竊取簡訊內容與通話記錄、擅自發送簡訊並阻擋來訊、擅自撥號通話、竊取螢幕截圖、擅自覆蓋系統設定值、竄改手機中的檔案等等。
SentinelLabs 也指出,Transparant Tribe 經常進行惡意軟體改版,以持續監控並攻擊印度與巴基斯坦境內的目標。
建議 Android 使用者避免自不明來源如第三方應用程式商店、email 或社群媒體點按連結並安裝 APK 檔案,以免安裝到內含惡意軟體的假 app。twcert 發表在 痞客邦 留言(0) 人氣(2)
紐西蘭第一大城奧克蘭 (Auckland) 大眾運輸系統 Auckland Transportation (AT) 的管理中心,日前因駭侵攻擊導致多數功能癱瘓,影響眾多服務無法正常運作。據了解,該駭侵攻擊可能屬於勒贖軟體的攻擊活動。
AT 是由紐西蘭奧克蘭市政府所控制的區域大眾運輸系統服務,主要服務範圍包括渡輪、碼頭、巴士、鐵路、公路與其他交通相關基礎設施。該公司在日前發表資安通報,指出由於不明原因,使其 HOP 服務(即整合式的票券與運費系統)發生運作障礙,具體發生的問題如下:twcert 發表在 痞客邦 留言(0) 人氣(0)
資安專業媒體 BleepingCompter 日前發表一篇專題報導,指出短影音社群媒體平台 TikTok 上,目前大量出現假冒 Elon Musk 旗下知名企業如 Tesla、Space X 等的加密貨幣發放詐騙攻擊,使用者應特別提高警覺。
報導指出,這類假冒名人在社群平台上,以發放加密貨幣為詐騙誘餌的案例,近年來層出不窮,並不是新穎的詐騙手法;這類詐騙總是假冒科技界或幣圈知名人士的身分,在社群媒體上張貼詐騙貼文,宣稱只要使用者以加密貨幣進行匯款,就可以得到倍數的加密貨幣回饋,以此吸引不察的使用者上當受騙。
詐騙者通常會設立數百個網站,假冒為加密貨幣發送活動網站或加密貨幣交易所,要求受害者註冊帳號,並進行匯款以收取免費發放的加密貨幣;但所有這類案例的結果都完全相同,就是受害者的匯款遭到騙取,完全無法領到「發放」的加密貨幣獎金。
BleepingComupter 專文指出,過去這類詐騙案多半出現在 Facebook、Instagram、Twitter 和 YouTube 上,而由於 TikTok 的快速崛起,也成為詐騙者愛用的社群平台。近來的案例多半是以 Elon Musk 過去接受電視新聞專訪的影片為素材,利用深偽技術,將 Musk 受訪的談話內容,偷換成加密貨幣詐騙的宣傳,用以誘騙受害者上當。
也有一些詐騙活動的影片製作技術較為粗糙,內容是如何在詐騙網站上註冊的流程,以獲得免費的加密貨幣。
建議加密貨幣投資者對這類明顯過度好康的活動,均應提高警覺,不要任意點按連結或參與活動。twcert 發表在 痞客邦 留言(0) 人氣(2)
Mozilla 日前針對一個證實已遭用於駭侵攻擊的 Firefox、Thunderbird 0-day 嚴重漏洞推出緊急修補更新,使用者應立即套用。
該 0-day 漏洞的 CVE 編號為 CVE-2023-4863,是存於 WebP 程式碼儲存庫 (libwebp) 中的一個 heap 緩衝區在處理內容時發生的溢位錯誤;駭侵者可誘使受害者開啟特製的 WebP 影像檔案,藉以觸發該漏洞,造成系統崩潰,即可執行任意程式碼。
CVE-2023-4863 漏洞的 CVSS 漏洞危險程度評分達 8.8 分(滿分為 10 分),危險程度評級為「高」。Mozilla 也在對外發表的資安通報中指出,該公司已獲悉此漏洞已遭駭侵者用於攻擊活動的情資。
針對此一高風險 0-day 漏洞,Mozilla 推出 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 與 Thunderbird 115.2.2 新版。
此外,雖然 CVE-2023-4863 主要是發生在 Mozilla 推出的瀏覽器相關產品,但受此漏洞影響的軟體並不限於 Firefox 與 Thunderbird 等 Mozilla 產品;只要使用了 WebP 程式庫程式碼的應用程式,都含有此漏洞,包括 Google Chrome 瀏覽器在內。
Google Chrome 也已在近日針對 CVE-2023-4863 推出更新修補,但目前僅限於 beta 測試版;要再過數日到數星期,這個更新才會推送到一般使用者使用的 Stable 版本和 Extended Stable 版本。
建議上述 Mozilla 軟體的使用者應立即透過系統更新程序,更新到最新版本,以免遭到駭侵者透過未修補的已知漏洞發動攻擊得逞。twcert 發表在 痞客邦 留言(0) 人氣(2)
全球大型加密貨幣交易所 CoinEx 日前對外公開駭侵事件,該交易所的熱錢包遭駭侵攻擊,大量加密貨幣資金遭竊。
據 CoinEx 交易所在 X (原 Twitter)上發表的官方推文指出,該交易所的風險控制團隊在 2023 年 9 月 12 日發現數個該交易所擁有的熱錢包發生不正常提領狀況;該交易所目前正在調查事件發生原因與經過。
CoinEx 在推文中也指出,發生不正常提領的加密貨幣幣種,包括 Ethereum ($ETH)、Tron ($TRON) 和 Polygon ($MATIC),但 CoinEx 也強調,所有客戶的數位資產都安全無虞且並未遭到攻擊;如有任何損失,都會得到 100% 的補償。
CoinEx 也表示,為加強安全防護並進行調查,暫時停止該所的加密貨幣入金與出金業務;待調查告一段落後就會儘快恢復服務。
雖然 CoinEx 並未在公開的訊息中提及此次駭侵事件造成的數位資產財務損失金額,但區塊鏈資安公司 PeckShield 指出,據該公司的監測資料,CoinEx 的損失包括 1,900 萬美元等值的 ETH、1,100 萬美元等值的 TRON(以 BSC 形式存於幣安的 Binance Smart Chain 上)、600 萬美元等值的 BTC、約 29.5 萬美元等值的 Polygon。
PeckShield 也表示,攻擊造成的數位資產損失約為 4,300 萬美元,而保存在受攻擊錢包中的,另有 7,200 萬美元,已轉移到較為安全的冷錢包中;而另一家區塊鏈資安公司 CertiK Alert 估計的受害金額較高,達 5,300 萬美元。
建議加密貨幣相關業者與投資人,應對持有的數位資金安全性進行強化,資金勿長期存放於可連線存取的熱錢包中,以免因駭侵攻擊而造成鉅額損失。twcert 發表在 痞客邦 留言(0) 人氣(3)
Microsoft 日前推出 2023 年 9 月例行資安更新修補包「Patch Tuesday」,共修復 59 個資安漏洞;其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。
本月 Patch Tuesday 修復的漏洞數量有 59 個,較上個月(2023 年 8 月)的 87 個資安漏洞略為減少;而在這 59 個漏洞中,僅有 5 個屬於「嚴重」等級,另有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞,另外還有 24 個遠端執行任意程式碼 (RCE) 漏洞。
以漏洞類型來區分,這次修復的資安漏洞與分類如下:twcert 發表在 痞客邦 留言(0) 人氣(112)
資安宣導 (2)