資安廠商觀測指出,一個全新的駭侵團體 OldGremlin 開始針對俄國企業,發動勒贖駭侵攻擊,受害者包括金融服務業、製造業和醫療保健業等。
資安廠商 Group-IB 發表研究報告指出,一個全新的駭侵團體 OldGremlin,近來開始針對俄國企業,發動勒贖駭侵攻擊;受害者包括金融服務業、製造業和醫療保健業等。
這個名為 OldGremlin 的全新駭侵團體,典型的攻擊手法是透透 Email 發動魚叉式釣魚攻擊,以和肺炎疫情或媒體採訪邀請有關的主題,誘使受害者開啟含有惡意程式碼或連結的信件,再以自製的 TinyPosh 和 TinyNode 後門程式進行駭侵攻擊。
研究人員發現 OldGremlin 自今年七月起發動第一次攻擊動,對某家俄國醫療業者發動勒贖攻擊,該公司內部網路的資料全遭加密;駭侵者要求五萬美元贖金以解鎖檔案。
到目前為止,Group-IB 至少觀察到 OldGremlin 發動七次釣魚攻擊;該團體時而假冒為自治團體、俄國冶金公司、白俄羅斯曳引機工廠、牙醫診所、媒體等不同身分,向目標發送主題諸如「即將到期帳單」之類的郵件,並夾帶含有 TinyPosh 或 TinyNode 惡意軟體的檔案。
Group-IB 指出,該團體使用的惡意軟體開始執行後的 20 秒左右,就會觸發 Windows Defender 的反應,並且自動刪除惡意軟體;但這 20 秒已經足夠讓惡意程式碼常駐在系統中,並且下載其他惡意軟體,用戶反而因為這樣而不會意識到電腦遭駭。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟最近開始觀測到利用 Zerologon 漏洞的攻擊行動,且有逐漸增加的趨勢;由於這個漏洞可能引來嚴重駭侵攻擊,美國政府已要求各單位應在三天內修補此漏洞。
微軟最近開始觀測到利用 Zerologon 漏洞的攻擊行動,且有逐漸增加的趨勢。
Zerologon 這個漏洞的 CVE 編號為 CVE-2020-1472,在九月初由荷蘭的資安研究團隊發現;這個漏洞的 CVSS 嚴重程度評分高達滿分的 10 分,屬於極嚴重資安漏洞。
Zerologon 漏洞發生在微軟 Netlogon 協定中的身分認證過程中,駭侵者可用以假冒任何內部網路中的電腦身分、關閉 Netlogon 身分認證中要求的各種資安選項,甚至更改 Active Directory 中任何一台電腦的登入密碼。
透過 Zerologon 的攻擊過程非常快速,幾秒內就可以完成,而且能夠立即掌握整個遭到入侵的企業內部網路,比傳統駭侵手法要快速簡便地多。
也因為這個原因,資安專家在發現此漏洞時,便預測很快就會有駭侵團體利用此漏洞發展出新的駭侵工具並發動攻擊;不出半個月,微軟便已偵測到愈來愈的 Zerologon 攻擊。
自 Windows 2008 至今的各版本 Windows Server,都含有 CVE-2020-1472 Zerologon 漏洞;微軟已經緊急推出兩個修補方法,暫時可以阻擋利用 Zerologon 的攻擊行動。
由於這個漏洞可能造成的嚴重後果,美國政府已要求各單位應在三天內修補此漏洞,否則就應將伺服器自聯邦政府網路離線。CVE編號:CVE-2020-1472
解決方案:微軟推出的暫時阻擋利用 Zerologon 攻擊行動的兩個修補方法
twcert 發表在
痞客邦
留言(0)
人氣()
資安事件摘要
twcert 發表在
痞客邦
留言(0)
人氣()
國內多家知名主機託管廠商,近來連日遭到 DDoS 攻擊,許多託管網站因而連線受到影響。攻擊來源可能是來自國內大量遭駭入的 DVR 監控系統。
自九月下旬起,國內多家知名主機託管廠商,紛紛遭到來源不明的 DDoS 攻擊,造成眾多託管客戶的網站或部落格連線受到影響。
根據遭到攻擊的主機託管廠商公告,攻擊大量發生約在 9 月 20 日,一直到 9 月 22 日都沒有停止,因而造成許多託管於這些主機商的網站無法正常連線。
也有主機商在公告中指出,該公司遭到的 DDoS 攻擊,是以勒贖為目的而發動的,攻擊最大流量達到 15Gbps;目前有主機商已向 NCC 和調查局通報,並向刑事局報案。
另有主機商在其 Facebook 粉絲團中公告指出,該公司遭受的 DDoS 攻擊,根據 IP 分析,發現來源多半來自國內某家 DVR 廠商的監控產品;該公司認為很可能是這些 DVR 產品的 web 管理界面密碼過於簡單,用戶在使用時也沒有更換密碼,導致遭到駭侵者大規模入侵,並用以發動 DDoS 攻擊。
一些網管人員集中的討論區中,也提供了部分關於此次事件的相關研判與情報;有人分享可能是勒贖者的對話,要求受害者支付每月 100 美元的贖金,也有監控報告指出單一受駭 DVR 設備,同時對外連線數高達兩萬個以上,也有人提供了疑似用以發動攻擊的 IP 清單;但這些訊息都需要進一步查證。
建議所有使用各式 DVR 或 IoT 設備的用戶,一定要在啟用設備時,立即更改預設的管理界面登入帳密、隨時更新軟體或韌體;發現自己的網路有不正常的大量對外連線時,也要懷疑裝置是否遭到入侵,並即刻進行必要的離線或重置等手續。
twcert 發表在
痞客邦
留言(0)
人氣()
德國杜塞道夫大學醫院於 9 月 10 日遭勒贖攻擊,導致醫院部份設備停擺,急症服務也無法正常運作;一名重症病患被迫轉至較遠的其他醫院,不幸因就診延誤而過世。
德國杜塞道夫大學醫院於 9 月 10 日遭勒贖攻擊,導致醫院部份設備停擺,急症服務也無法正常運作;一名重症病患被迫轉至 32 公里之外的其他醫院,不幸因就診延誤一小時以上而過世。
根據德國主管資安事務的聯邦資訊科技安全局(Bundesamt für Sicherheit in der Informationstechnik,BSI)指出,杜塞道夫大學醫院係遭駭侵者利用 Citrix VPN 裝置的已知漏洞 CVE-2019-19781 進行攻擊,侵入其內部網路,造成該院多項醫療服務無法正常運作。
CVE-2019-19781 是在去年(2019)十二月時發現的漏洞,在本年一月時提供資安修補程式,BSI 也曾在當時發布資安通報,要求使用 Citrix VPN 設備的德國各公私單位立即更新;然而包括受害的杜塞道夫醫院許多單位,並未按照公告要求即時更新,導致今日的悲劇。
BSI 指出,德國聯邦政府準備通過新法,要求政府撥付給醫療院所的預算中,至少要有 15% 以上用於改善資安防護能力。
德國媒體報導說,在駭侵者留下的勒贖訊息中,被勒贖的對象並非杜塞道夫大學醫院,而是海因里希・海涅大學;警方告知駭侵者,其攻擊對象是醫院,且已造成不幸之後,駭侵者隨即撤回勒贖要求,並且提供解鎖密鑰。
杜塞道夫大學醫院取得解鎖密鑰後,目前各系統的運作已逐漸恢復正常;調查後也發現並未外洩任何資料。
資安媒體 BleepingComputer 試圖連絡各駭侵團體,多數駭侵團體都表示不會攻擊醫院;如果發生誤攻擊事件,也會立即免費提供解鎖金鑰;但各醫療院所遭到勒贖駭侵的事件,仍在不斷發生之中。
twcert 發表在
痞客邦
留言(0)
人氣()
廣為全球數十億台裝置使用的藍牙通訊協定,再遭發現嚴重資安漏洞,而且難以全面修補。
這個漏洞稱為 BLESA(Bluetooth Low Energy Spoofing Attack),顧名思義,發生在低功率藍牙通訊協定上;該漏洞存在於低功率藍牙裝置配對後重新連接的過程。
發現這個漏洞的美國普渡大學資安研究團隊指出,在兩台低功率藍牙設備完成配對,常因距離過遠而暫時失去連線;在距離再次接近後的重新連線過程中,理論上應該再次檢查並確認兩者的加密金鑰與先前配對時一致,接下來才能恢復連線並開始傳輸資料。
研究團隊指出,在低功率藍牙的官方規格中,重新連線的標準中並不包括足夠安全的確認機制;首先,在重新連線時,再次驗證金鑰正確性的流程是非必要的,可以跳過;再者也有方法可以規避金鑰再次驗證的過程;這就是 BLESA 的攻擊破口。
攻擊者可以利用 DoS 攻擊迫使目標裝置的藍牙連線中斷,並啟動重新連線機制,並在重新連線時發動 BLESA 攻擊。
BLESA 攻擊主要透過軟體堆疊來進行,據普渡大學研究團隊的報告,多個作業系統平台的藍牙堆疊程式庫都無法抵擋 BLESA 攻擊,包括 Linux 使用的 BlueZ、Android 使用的 Fluoride 與 iOS 的 BLE 堆疊;但是 BLESA 攻擊對 Windows 使用的 BLE 堆疊是無效的。
報告指出,Apple 已經在今年六月提報這個漏洞(編號為 CVE-2020-9770),並且已於六月修復;但在研究團隊測試的 Android 裝置(例如執行 Android 10 的 Google Pixel XL)則尚未修復此漏洞。
由於使用低功率藍牙協定的裝置數量太過龐大,涉及眾多品牌,而且絕大部分產品甚至無法更新,因此這個漏洞難完全修復。CVE編號:CVE-2020-9770影響產品:所有支援 BLE(Bluetooth Low Energy)通訊協定的產品;但 Windows BLE Stack 除外解決方案:iOS 裝置可升級至最新版本作業系統,其餘裝置需待原廠提供資安修補軟體
twcert 發表在
痞客邦
留言(0)
人氣()
美國資安與基礎建設安全局日前發表資安通報,指出中國軍方旗下駭侵團體,已針對美國政府單位發動駭侵攻擊;該資安通報也針對這些駭侵團體的常見攻擊手法提出分析。
隸屬美國國土安全部的資安與基礎建設安全局(Cyberserurity and Infrastructure Security Agency)日前發表資安通報 AA20-258A;報告指出中國軍方旗下多個駭侵團體,已針對美國政府單位發動駭侵攻擊;該資安通報也針對這些駭侵團體的常見攻擊手法提出分析。
報告說,中國軍方相關的駭侵組織,長年以使用各種公開資訊計畫並執行各種攻擊活動,而且有能力針對目標單位的內部網路快速發動攻擊。
CISA 長期以來透過美國國家資安保護計畫(National Cybersecurity Protection System)監控中國軍方相關駭侵團體的活動,發現這些團體鎖定包括美國政府機關、高科技製造業、醫療器材產業、土木工程、一般企業、教育、遊戲軟體、國防工業等進行駭侵活動長達十年。
CISA 利用 MITRE ATT&CK 分析架構,收集並分析中國軍方相關駭侵團體的活動,發現過去 12 個月以來,這些團體經常利用以下漏洞發動攻擊:CVE-2020-5902:F5 Big-IP 漏洞,可用以執行任意程式碼,並且隨意增刪、修改檔案內容;CVE-2019-19781:Citrix VPN 設備漏洞,可用於進行目錄遍歷攻擊(directory traversal attack);CVE-2019-11510:Pulse 安全 VPN 伺服器漏洞:可讓攻擊者讀取任意檔案內容;CVE-2020-0688:Microsoft Exchange Server 漏洞,可用以遠端執行任意程式碼,並且竊取單位內部郵件。
twcert 發表在
痞客邦
留言(0)
人氣()
PAN-OS為運行於Palo Alto Networks新世代防火牆之作業系統,研究人員發現PAN-OS之Captive Portal或多因素驗證(Multi-Factor Authentication, MFA)介面存在緩衝區溢位漏洞(CVE-2020-2040),未經身分驗證的攻擊者可藉由發送惡意請求,利用此漏洞進而以root權限執行任意程式碼。目前Palo Alto Networks官方已針對此漏洞釋出更新程式,請參考以下建議盡速進行更新:
twcert 發表在
痞客邦
留言(0)
人氣()
主管美國資安事務的資安暨基礎建設安全局(CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的駭侵攻擊。
主管美國資安事務的資安暨基礎建設安全局(Cybersecurity & Infrastructure Security Agency, CISA),日前發表資安通報,警告和即將舉行的美國總統大選活動有關的各單位,均應嚴防透過 Email 進行的各式駭侵攻擊。
CISA 在通報中指出,與大選相關的各種單位,包括政黨、競選活動、智庫、公民團體和相關個人等,過去一直都是駭侵團體鎖定的對象;最近的研究報告顯示,有 32% 的駭侵事件始於釣魚郵件攻擊,更有 78% 的間諜資料竊取透過釣魚攻擊展開。
CISA 要求使用雲端 Email 服務的個人或團體,必須使用由服務提供者指定的各種保護措施,包括:所有的郵件帳號均須設定多次登入認證,包括使用符合 FIDO2 標準的硬體隨機密碼產生器、使用 TOTP 演算法的軟體隨機密碼產生 App 等。除非只有簡訊或 EMail 驗證方式可用,否則儘可能不要使用簡訊或 EMail 傳送的登入驗證碼,因為很容易在中途遭到攔截。最好將所有 Email 用戶升級到更進階的帳號防護方案;包括 Google、Microsoft 等雲端服務大廠,均提供這類服務。
twcert 發表在
痞客邦
留言(0)
人氣()
藍牙 4.0 與 5.0 被發現嚴重漏洞,可遭駭侵者竄改認證金鑰,並發動中間人駭侵攻擊。
推動藍牙無線通訊技術發展的 Bluetooth Special Interest Group(SIG)與卡內基美隆大學資安事件通報處理中心,日前聯合發布資安通報,指出一個存在於 Bluetooth 4,0 與 5.0 版本的資安漏洞,將可導致駭侵者竊改藍牙裝置配對時使用的認證金鑰,並且強迫使用較弱的加密傳輸協定。
這個漏洞被稱為「BLURtooth」,存在於藍牙通訊協定中的「跨傳輸埠金鑰產生」(Cross-Transport Key Derivation, CTKD),是兩個藍牙裝置進行配對時產生加密金鑰並相互認證時進行的程序;駭侵者可利用 CTKD 的漏洞,竄改其中一台配對裝置的加密金鑰,讓駭侵者持有的藍牙裝置可與對象裝置連線,藉以進行中間人攻擊。
SIG 說,這個漏洞是由瑞士洛桑聯邦理工學院與美國普度大學的資安研究團隊各自獨立發現。
據 SIG 指出,所有支援藍牙 4.0 和 5.0 的裝置,都存有此一漏洞;支援藍牙 5.1 的裝置,則可啟用某些防護功能,因此可以避開 BLURtooth 攻擊。
SIG 表示,目前暫時無法針對既有的藍牙產品提供修補程式;用戶必須主動提防來自不明裝置的藍牙配對要求,只和自己信任的裝置進行配對連線。未來當這些裝置得到軟體或韌體更新時,視原廠安排將會修補這個漏洞。CVE編號:CVE-2020-15802 影響產品/版本:所有支援藍牙 4.0 和 5.0 的裝置解決方案:待原廠推出軟體或韌體更新
twcert 發表在
痞客邦
留言(0)
人氣()
TWCERT/CC近日接獲多起釣魚信件通報,該信件標題採已匯款多少金額等引發收件者注意,並附上正確國內企業資訊之簽名檔等資訊,誘使使用者下載夾帶木馬病毒的附檔確認相關資訊。經分析該惡意程式會紀錄鍵盤、麥克風及螢幕截圖並回傳至惡意中繼站。此惡意程式會偵測虛擬環境,若於虛擬環境則無動作進而躲避檢查。相關流程如圖示。據了解該釣魚郵件已行之有年,定期會寄送一波進行釣魚行動,請企業進行防範並同時向員工進行郵件的資安宣導避免誤載附檔,而受到監視,形成企業安全漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟推出九月例行資安修補包,此次一共修復 129 個資安漏洞;建議微軟各產品用戶都能儘速安裝更新,以降低資安風險。
微軟於本周二(9月8日)推出九月份例行資安修補包 Patch Tuesday;此次一共修復 129 個已知資安漏洞;其中有 23 個屬於危險程度較高的資安漏洞,105 個屬於重要等級的資安漏洞。
這 129 個漏洞分別屬於 Microsoft Windows、Edge(舊版與以 Chromium 為基礎的新版)、ChakraCore、Internet Explorer、SQL Server、Office 相關產品、Visual Studio、Exchange Server、ASP.NET、OneDrive 與 Azure DevOps 等。
其中比較重要,資安危害程度較高的漏洞更新如下:CVE-2020-16875:這個漏洞是本月修補包中最為嚴重的漏洞,CVSS 嚴重程度評分高達 8.4 分;該漏洞發生原因為 Microsoft Exchange Server 的記憶體崩潰錯誤,駭侵者可以利用特製的 Email 信件,透過此漏洞遠端執行任意程式碼;任何使用 Exchange Server 的用戶,應即刻修補此一漏洞。
twcert 發表在
痞客邦
留言(0)
人氣()
