美國財政部、聯邦調查局、國土安全部、網戰司令部發出聯合警訊,自2020年2月起,朝鮮民主主義人民共和國(以下簡稱北韓)再次針對多國金融機構進行ATM駭侵活動,藉由惡意軟體來從事轉帳及現金提款,竊取銀行資金。該組織的駭侵活動於2019下半年暫時趨緩後,於今年2月重新啟動。BeagleBoyz是朝鮮人民軍總參謀部偵察總局旗下駭客組織,自2015年起,BeagleBoyz針對多國銀行的SWIFT國際電匯系統、自動櫃員機(ATM)及客戶的銷售系統(POS, Point Of Sale)系統從事駭客活動,進而竊取資金及加密貨幣。近五年間,該團夥已嘗試盜取近20億美元,這些不法資金可能用以從事平壤政府的核子武器及飛彈開發。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現,有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式,其中藏有挖礦惡意程式碼。
資安廠商 Avast 近日發表研究報告,該公司發現有不明駭侵者在網路上散布假的惡意軟體掃瞄移除程式 Malwarebyte,其中藏有挖礦惡意程式碼,會潛藏於受害者的電腦系統上進行挖礦。
Avast 說,該公司在八月下旬起開始偵測到一些假冒的 Malwarebyte 安裝程式,內含會載入 XMRig 惡意軟體的後門;用戶如果安裝了,就會被植入 XMRig 惡意軟體,電腦系統資源將遭盜用進行 Monero 加密貨幣挖礦。
這些假冒的 Malwarebyte 安裝程式,係將惡意程式碼藏在 MBSetup2.exe 以及 Qt5Help.dll、Qt5WinExtras.dll 檔案中,安裝完成後會利用 MBAMSvc 服務下載惡意軟體程式碼的酬載,內含挖礦用的 Bitminer 程式。
目前的受害者多分布於俄羅斯、烏克蘭和東歐諸國。
Avast 說,真正的 Malwarebyte 軟體並不含上述的 .dll 檔,下列檔案也可能會被安裝在 PC 中:
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商指出,2020 上半年共發現超過 50,000 個詐騙登入頁面,冒充 200 個以上的全球大型品牌,意圖騙取用戶的登入資訊,進行進一步的駭侵攻擊。
資安廠商 IRONSCALES 日前發表研究報告指出,該公司的研究團隊,在 2020 上半年進行的觀察研究,共發現超過 50,000 個詐騙登入頁面,冒充 200 個以上的全球大型品牌,意圖騙取用戶的登入資訊,進行進一步的駭侵攻擊。
報告引用 2020 年 Verizon 資料駭侵調查報告指出,65% 的駭侵行動是從 Email 釣魚或 Email 駭侵攻擊開始的;該團隊深入調查各式釣魚攻擊,發現以冒充品牌登入頁面騙取用戶登入資訊,成為十分主流的釣魚攻擊樣態。
報告說,主要被假冒的品牌行業別,依詐騙登入頁面數量排序,分別是金融相關產業、Email 服務提供者、社群網站、電子商務等;排名前五名的被假冒品牌分別是 PayPal(共 11,000 個詐騙登入頁面,在 50,000 個詐騙頁面中佔有達 22%,以下同)、Microsoft(9,500 個、19%)、Facebook (7,500 個,15%)、eBay(3,000 個,6%)、Amazon(1,000 個,3%)。
報告也說,在這 50,000 個詐騙頁面中,至少有 5%,約 2,500 個詐騙頁面,屬於多樣形詐騙登入頁面;以 300 個以上略為不同的登入頁面,冒充同一個品牌。
另外,報告也指出,最常被這類假冒品牌釣魚郵件攻擊的對象,依序是金融服務業、醫療產業、科技製造業與政府部門的職員。
twcert 發表在
痞客邦
留言(0)
人氣()
美國猶他大學於七月時遭勒贖攻擊,為避免校內重要資料遭駭侵者公開,猶他大學被迫支付高達 457,000 美元的贖款。
美國猶他大學日前發表資安通報,指出該校於今年七月時遭勒贖攻擊;為避免校內重要資料遭駭侵者公開,猶他大學被迫支付高達 457,000 美元的贖款。
遭到攻擊的是猶他大學的社會與行為科學學院(CSBS),該校的資安辦公室發現 CSBS 所屬的伺服器遭到不明駭侵團體攻擊;根據猶他大學的通報指出,約有 0.02% 的伺服器資料遭加密而無法存取。
近年來的勒贖攻擊中,駭侵者在加密受害系統資料前,都會先竊取這些資料;猶他大學這次的案例也不例外。不明駭侵者在攻擊行動成功後,便要脅猶他大學,若不支付贖金,便在網路上公開這批被竊的資料。
由於被竊資料中含有該校師生與職員的個人資訊,猶他大學決定支付贖款,以解密檔案;該校先前即已投保駭侵險,因此贖款係以保險理賠款項支付。
猶他大學在資安通報中也指出,在支付贖款後,猶他大學 CSBS 伺服器的運作已恢復正常;該校也將會要求所有師生變更密碼,但沒有說明該校是遭到哪一種勒贖軟體的攻擊,也沒有指出駭侵者的身分。
針對高等教育機構發動駭侵攻擊且成功逼迫受害者支付贖款的案例,猶他大學並非今年的首例;在 2020 年六月時加州大學舊金山分校也曾遭到勒贖攻擊,支付的檔案解密贖款高達 114 萬美元。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現一個提供 iOS App 行動廣告功能的 SDK,內含惡意程式碼,可用於監看用戶行為、製造詐騙廣告點擊,甚至還會竊取其他廣告平台的分潤。
資安廠商 Snyk 日前發表研究報告指出,該公司的資安研究團隊發現一個名為 Mintegral,可提供 iOS App 行動廣告功能的 SDK,內含惡意程式碼;不但可用於監看用戶行為、製造詐騙廣告點擊,甚至還會竊取其他廣告平台的分潤。
報告指出,該 SDK 內含的惡意程式碼,會從其開發的 App 內收集用戶的使用行為資訊和其他個人可辦識資訊,並上傳到第三方伺服器中。
此外,不少 App 開發者會在其 App 中同時顯示多個行動廣告平台,藉以提高廣告分潤收益;而 Mintegral SDK 中的惡意程式碼,會攔截 App 中所有的廣告點擊,這不但減低了原本應該發生在其他平台的廣告點擊,讓開發者誤以為 Mintegral 的廣告點擊表現更佳,還會製造其他平台的假廣告點擊,私吞應有的廣告分潤。
為了防止這些行為遭揭發,Mintegral SDK 還設有多道防護機制;除了會偵測用戶手機是否有越獄(Jailbreak)外,還會偵測是否有使用任何偵錯工具或 proxy 工具;一旦發現上述情形,SDK 就會停止各種惡意行為。
Snyk 說,就是因為這些防護功能,讓含有此 SDK 惡意程式碼的 App,能夠通過 Apple 的 App 上架審核流程不被發現。
據 Synk 報告的統計,目前 App Store 中有超過 1200 支 App 含有此 SDK 的惡意程式碼,所有 App 的每月下載安裝次數超過三億次。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟發布例行性的 Patch Tuesday 每月資安修補包,修復了 120 個大小漏洞後,8/20又緊急推出修復兩個嚴重資安漏洞的更新,分別修復 CVE-2020-1530 和 CVE-2020-1537 漏洞。
CVE-2020-1530 這個漏洞存於 Windows Remote Access 服務的記憶體管理錯誤,可讓已經入侵的駭侵者提升系統權限,以便進行更進一步的攻擊行動。受到此漏洞影響的 Windows 版本相當多,自 Windows 7 SR1、Windows 8.1 到 Windows 10 各版本,以及 Windows Server 2008 到現行版本,皆含有此一漏洞。
這個漏洞的 CVSS 危險程度評分高達 7.8 分。
CVE-2020-1537 這個漏洞造成的問題和 CVE-2020-1530 類似,同樣能讓駭侵者提升自己的系統執行權限,但問題的根源是來自檔案處理的錯誤。受影響的 Windows 版本也相當多,從 Windows 7、8.1 到 Windows 10 的各平台版本,以及 Windows Server 自 2008 到現行版本,也都存有此一漏洞。
這個漏洞的 CVSS 危險程度評分,與 CVE-2020-1530 相同,同樣高達 7.8 分。
微軟指出,用戶應立即下載更新檔案,以修補這兩個漏洞,減少遭駭侵者利用這兩個漏洞強化攻擊的風險。CVE編號:CVE-2020-1530、CVE-2020-1537影響產品:Microsoft Windows 7、8.1、10 各平台版本、Windows Server 2008 到現行各平台版本 解決方案:自後方連結下載更新檔案即可修復;下載連結 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4578013 。
twcert 發表在
痞客邦
留言(1)
人氣()
資安研究人員發表研究報告,指出近期有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。資安廠商 Cado Secutiry 旗下的研究人員,日前發表研究報告,指出近期發現有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。
這個僵屍網路過去曾被趨勢科技資安團隊截獲,當時命名為 Team TNT,Cado Security 發現 Team TNT 最近增加了新功能,不但專門鎖定使用 Docker 或 Kubernates 的容器平台進行駭侵攻擊,而且還會竊取 host 所在 AWS 伺服器的登入資訊。
除了竊取 AWS 登入資訊外,新版 Team TNT 僵屍網路還會掃瞄本機端的各種登入資訊,並且掃瞄 internet 上配置不當的其他 Docker 和 Kubernates 平台。
Cado Security 的研究人員將試驗用的登入資訊傳送給 Team TNT 的控制伺服器,從而證實了目前 Team TNT 還沒有開始針對收集來的配置不良 Docker 與 Kubernates 容器進行攻擊。
Team TNT 借用了另一個名為 Kinsing 的惡意軟體部分程式,這支惡意軟體除了會挖礦之外,也會針對 Docker 平台進行攻擊。
資安專家指出,絕對不要在系統內儲存 AWS 或任何其他系統的未加密登入資訊,也應針對 Docker 平台加上強化的防火牆保護,禁止任何不必要的網路存取。
twcert 發表在
痞客邦
留言(0)
人氣()
美國國土安全部與 FBI 發表聯合公告,指出一個北韓政府支持的駭侵團體,假冒美國軍工與能源相關公司的徵人啟事,試圖在這些公司的系統中植入惡意軟體。
美國國土安全部(DHS)與聯邦調查局(FBI)日前發表聯合公告,指出一個北韓政府支持的駭侵團體(代號為 Hidden Cobra),假冒美國軍工與能源相關承包商的徵人啟事,試圖在這些公司的系統中植入惡意軟體,以竊取各種和美國軍事與能源科技相關的機敏情報。
在 FBI 與 DHS 旗下資安主管機關「資安與基礎設施安全局」(Cybersecurity and Infrastructure Security Agency, CISA)的聯合公告中說,Hidden Cobra 駭侵團體運用一個稱為 BLINDINGCAN 的遠端遙控木馬,在目標單位的網路中流竄並試圖竊取資訊。
報告指出,Hidden Cobra 製作的偽造應徵文件中,除了含有惡意程式碼外,還會放置諸如波音公司等軍工承包商的圖誌,試圖以社交工程的手法,吸引目標公司的人資單位等人員誤點;之後再透過分布在多個國家的控制伺服器,一邊竊取機敏資訊,一邊下載更多惡意軟體,並持續擴大感染範圍。
據資安媒體 Cyberscoop 報導指出,北韓駭侵組織透過偽造的徵人啟事,以社交工程的手法來散布惡意軟體,在 2016 年與 2017 年都曾發生過。上周在以色列也曾發生過類似的案例,北韓駭侵者利用偽造的 LinkedIn 徵人啟事,甚至還假扮成求才公司的高階主管,試圖入侵以色列的國防工業體系。
twcert 發表在
痞客邦
留言(0)
人氣()
加拿大政府設立的肺炎疫情紓困網站日前遭駭,用以對紓困民眾進行身分認證的登入系統遭到攻擊,駭客成功盜領部分民眾的紓困專款。
由加拿大政府設立,針對肺炎疫情提供移民、稅務服務與紓困專款的網站,日前遭到不明來源的駭侵攻擊;用以對紓困民眾進行身分認證的登入系統遭到攻擊,駭客也成功盜領部分民眾的紓困專款。
加拿大政府的資安相關單位,於上周末發表資安通報,指出管理該國政府各個網站的單一帳號登入系統遭到攻擊;全部 1200 萬個 CGKey 帳號,共有九千餘個被竊走。
加國政府說,駭客係利用自其他地方竊得的用戶登入資訊,以自動化程式嘗試登入該國政府網站;由於許多用戶習慣在不同服務之間使用完全相同的登入帳密,因此這種手法有一定比例的成功機率。
此外,資安專家指出,加拿大政府的身分認證與登入機制,並未導入二階段登入驗證機制,因此也增加了駭客嘗試登入的成功率。
加拿大政府緊急取消了所有可能遭竊的 CGKey 帳號,但也有受害民眾在 Twitter 上抱怨自己應得的紓困救濟金,因為帳號被鎖定而無法順利領取;另外也有人指出駭客盜領了他一萬加幣的紓困救濟金。
據多倫多 CTV 電視台的報導指出,目前遭駭的帳戶數量多達 700 個,但遭駭客竊取的紓困金總額,目前沒有公開。加拿大政府發布的資安通報,要求用戶不要在不同帳號間重覆使用相同密碼。
twcert 發表在
痞客邦
留言(0)
人氣()
研究報告指出過去一年以來,針對北美各型企業發動的駭侵攻擊事件,數量上暴增了 93%。
VPN 服務廠商 AtlasVPN 發表研究報告指出,過去一年以來,針對北美各型企業發動的駭侵攻擊事件有大幅增加的趨勢,在數量上暴增了 93%。
這份研究是由 VMWare Carbon Black 於 2019 年三月至 2020 年三月之間進行,調查了包括金融業、醫療業、政府機關等 250 家公私單位;其中遭受駭侵攻擊次數增加最多的是金融產業,駭侵攻擊次數較前一年增加達 56%,比各行業的平均值高了 11%。
這份研究同時指出,以特製惡意軟體進行植入攻擊,是駭侵者攻擊這些企業時最常使用的攻擊手法;金融產業遭到特製惡意軟體植入攻擊的比例高達 62%,其他產業被特製惡意軟體攻擊的比例則為 29%。
其他的攻擊手法則包括利用市售惡意軟體(11.5%)、供應鏈攻擊(9%)、勒贖攻擊(7%) 等。
報告指出,遭攻擊次數較去年上升 1-25% 的企業,佔全體比例的 23%,攻擊次數增加 26-50% 的企業有 42%;上升 51-100 % 的有 24%,甚至有 4% 的企業,遭攻擊次數年增率高達 100% 到 300%。僅有 7% 的企業遭攻擊次數未較去年為多。
值得注意的是,有高達 88% 的企業認為,惡意攻擊次數的提升,與 Covid-19 疫情大流行高度相關;由於許多企業的員工在家遠距工作,因而提升了遭到駭侵攻擊的可能性。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟於八月推出的例行資安修補包已於日前釋出,其中包括兩個已遭駭侵者廣泛利用的 0-day 嚴重漏洞,也已獲得修補。
微軟於八月推出的例行資安修補包「Patch Tuesday」已於日前釋出,總共修復 120 個大小資安漏洞;值得注意的是,其中包括兩個已遭駭侵者廣泛利用的 0-day 嚴重漏洞修補。
其中一個已得到修補的 0-day 漏洞,是編號 CVE-2020-1464 的漏洞;這個漏洞源於 Windows 系統處理檔案數位簽章時的錯誤;駭侵者可藉以偽造檔案的安全數位簽章,騙過系統檢查。幾乎所有 WIndows 版本,從 Windows 7 到 Windows 10 的各平台版本均存有此一漏洞。
這個漏洞的 CVSS 危險程度評分為 5.5 分,危險程度評級為中等。
另一個得到修補的 0-day 漏洞 CVE-2020-1380 發生於 Internet Explorer 在處理 script 程式碼時發生的記憶體崩潰錯誤;駭侵者可藉由此一漏洞提升執行權限,並且遠端執行任意程式碼。這個錯誤發生在各 Windows 版本上的 Internet Explorer 11。
這個漏洞的 CVSS 危險程度評分為 7.8 分,危險程度評級為高等。
這次微軟推出的八月資安修補包一共修復多達 120 個資安漏洞,其中有 17 個漏洞的危險程度評級達到嚴重等級,其餘 103 個為重要等級;建議微軟產品用戶盡快透過系統更新程式下載安裝每個月的資安修補包,降低遭到駭侵的風險。
twcert 發表在
痞客邦
留言(0)
人氣()
駭客正嘗試攻擊脆弱的政府及學術機關網站,發布貼文來散布虛假的駭客工具,以騙取個資或誘騙下載安裝惡意程式。根據BleepingComputer報導,駭客針對有公信力的政府和學術單位網站,利用網頁後台內容管理系統(CMS,Content Management System)的漏洞,駭入網站並發布貼文,謊稱能提供Facebook、Instagram、TikTok等社交平台的駭客工具。一旦使用者開啟貼文中提供的網址並嘗試執行駭客工具,該網站會展示一連串看似進行攻擊的畫面,並在最後要求使用者下載惡意程式,以繼續駭客預設的行為。
twcert 發表在
痞客邦
留言(0)
人氣()
