台灣電腦網路危機處理暨協調中心-TWCERT/CC

twcert 發表在 痞客邦 留言(0) 人氣()

資安專家發現一個全新的 Mac 平台勒贖軟體 EvilQuest，利用盜版軟體包大肆擴散。
資安研究者 Dinesh Devadoss 近日發現一個全新的 Mac 平台勒贖軟體 EvilQuest，會利用盜版軟體包大肆擴散。這個勒贖軟體不但會將系統上的檔案加密以進行勒贖，甚至還內含鍵盤記錄器，還會竊取受害用戶電腦中的加密貨幣錢包。
專家在多個透過 BitTorrent 散布的 Mac 盜版軟體包中發現 EvilQuest；雖然這種傳播感染方式沒有複雜的技術，但很多 macOS 平台上的惡意軟體，都是以這種方式散布的。
另外也有數名資安防護專家，也在不同的盜版軟體包中發現 EvilQuest 的存在；有些偽裝成 Google 軟體更新包，有些則被包在一個稱為 Little Snitch 的 Mac 防火牆軟體的安裝程式內，透過一個俄羅斯的盜版軟體討論區分享的 BItTorrent 連結散布。
一旦用戶不幸安裝了藏有 EvilQuest 的盜版軟體，就會看到一個「檔案已遭加密」的跳出視窗，被加密的檔案除了用戶在系統上的一些設定檔和資料檔外，連專門儲存系統服務和外部網站登入資訊的 Keychain 資料檔也會被加密，導致系統運作出現錯誤。
資安專家呼籲 Mac 用戶，絕對不要下載來路不明或非法的盜版、破解版軟體，以免因小失大。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出，過去兩年以來，全球各大加密貨幣交易所遭某個駭侵團體攻擊，因而被竊走的各種加密貨幣，總額高達兩億美元。
資安廠商 ClearSky 日前發表研究報告，指出過去兩年以來，一個名為 CryptoCore 的駭侵團體，針對全球各大加密貨幣交易所進行駭侵攻擊；因而被竊走的各種加密貨幣，總額高達兩億美元。
報告說，這兩年來被該團體攻擊的加密貨幣交易所近二十家，分布在美國、中東和亞洲各國；其中受害最深的幾家交易所均位於日本。
該報告沒有透露被駭交易所的清單，但廠商認為駭侵者可能與東歐、烏克蘭、俄羅斯和羅馬尼亞的駭侵者有關。
報告指出，這些駭侵者利用魚叉式釣魚攻擊，設法駭入加密貨幣交易所的熱錢包，或是針對這些交易所管理高層或 IT 技術人員的個人 Email 帳號進行攻擊。駭侵者會發送假冒受害對象所屬公司或其他公司高層的來信，以取信受害者，再取得相關系統的登入資訊，或在受害人員使用的電腦上安裝惡意軟體，以進行進一步的駭侵攻擊。
ClearSky 認為 CryptoCore 的攻擊手法，不算特別先進複雜，但卻相當有效；該公司從 2018 年五月起開始觀察到這個駭侵團體的攻擊活動，之後也一直持續觀察到來自該團體的各類駭侵攻擊；而攻擊行動可能因為肺炎疫情影響，在 2020 年上半年逐漸趨緩，但未完全停止。
ClearSky 的研究報告，也揭露了詳細的攻擊手法分析。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

 
網站滲透測試工具(Exploit Kit)為一種以善意作為出發點所的檢測工具。該工具納入多種瀏覽器或相關應用程式已知漏洞，並模擬駭客針對漏洞進行攻擊，以判別系統是否存有未修補之弱點。然而，由於該工具知道諸多的系統漏洞，因此也有許多攻擊者透過滲透工具進行惡意攻擊，並非僅使用在檢測方面。不過現在越來越多的瀏覽器及應用程式會在發現漏洞後，自動且立即進行修補作業，導致攻擊者即便使用滲透工具攻擊，也因為漏洞以修補完畢，而無用武之地，因此以滲透測試工具攻擊的模式及類型也大幅減少，已不如過往普遍。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出，一個專門竊取信用卡資訊的駭侵團體 Magecart，已經發展出將惡意軟體內嵌於 JPEG 圖檔描述資訊 EXIF 欄位的技術。
資安廠商 Malwarebyte 日前發表研究報告指出，一個專門竊取信用卡資訊的駭侵團體 Magecart，已經發展出將惡意軟體內嵌於 JPEG 圖檔描述資訊 EXIF 欄位的技術中；並且已經潛藏在某些網路商店使用的網頁圖檔內。
被 Malwarebyte 發現藏有惡意圖片的，是一些使用 WordPress 開發的網路商店模組 WooCommerce 進行線上零售的 WordPress 網站；由於採用 WooCommerce 打造網路商店的 WordPress 為數眾多，因此成為駭侵攻擊者的一大目標。
Malwarebyte 的研究人員發現，在受駭網路商店頁面中的 Javascript 惡意程式碼，夾藏在頁面用 JPEG 圖檔 EXIF 中的版權宣告區段內。
研究人員說，利用各種手法，在圖檔中夾藏惡意程式碼的手法並不少見，但這是首次運用於信用卡竊取之上。這段惡意程式還會把竊得的信用卡資訊，以 Base64 編碼後倒序輸出成圖檔格式，再以 POST 指令送出。
Malwarebyte 的報告中，詳細描述了 Magecart 這波攻擊的手法；在去年十月的一份研究報告中指出，有兩萬個以上的網路商店遭到 Magecart 集團的攻擊；2018 年發生在英國的一次 Magecart 攻擊中，共有五十萬人的信用卡資訊遭竊。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出，一個名為「Lucifer」的全新惡意軟體，鎖定 Windows 系統大肆傳染中；而且這個惡意軟體會同時鎖定多達 8 個常見資安漏洞進行攻擊。
資安廠商 Palo Alto Networks 旗下的資安研究單位 Unit 42，日前發表研究報告指出，一個名為「Lucifer」的全新惡意軟體，目前正鎖定 Windows 系統大肆傳染中；而且這個惡意軟體會同時鎖定多達 8 個常見資安漏洞進行攻擊。
這個前所未見的惡意軟體，鎖定下列 8 個常見資安漏洞：
Rejetto HTTP File Server (CVE-2014-6287)
Oracle Weblogic（CVE-2017-10271）
ThinkPHP RCE（CVE-2018-20062）
Apache Struts（CVE-2017-9791）
Laravel framework（CVE-2019-9081）
Microsoft Windows（CVE-2017-0144、CVE-2017-1045、CVE-2017-8464）

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

微軟日前發出資安警告，指出目前觀測到針對 Exchange Email Server 已修補漏洞發動的大規模駭侵攻擊活動；用戶應儘速更新至最新版本。
微軟日前發出資安警告指出，該公司自四月起就觀測到針對 Exchange Email Server 已修補漏洞發動的大規模駭侵攻擊活動；用戶應儘速更新至最新版本。
這波攻擊行動鎖定的 Exchange Email Server 漏洞，是微軟早在今年二月就發出修補更新的 CVE-2020-0688；這個漏洞在於所有過去部署過的 Exchange Email Server 都採用相同的加密金鑰，導致駭侵者能夠輕易取得伺服器的控制權限。
雖然微軟早在二月就發布了修補更新，但資安專家指出，還是有很多 Exchange Server 並未及時更新；一份發表於四月份的資安研究報告說，網路上至少有 35 萬台 Exchange Server 存有應修補但未修補的資安漏洞。
Email Server 是駭侵者非常喜愛的攻擊目標，這是因為 Email Server 可說是公司行號或各種組織的訊息集散中心，只要攻陷 Email Server，就可以掌握非常大量的機敏資訊。
一般針對 Exchanger Server 的攻擊，在過去多半是以釣魚郵件來攻擊伺服器或桌機的資安漏洞；但四月觀察到的這波攻擊行動，主要是攻擊 Exchange Server 內的 IIS 內含的遠端執行任意程式碼漏洞。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Adobe 公司指出，曾經廣受歡迎的 Adobe Flash，即將於今年12月31日結束產品生命週期；仍在使用該產品的用戶，應盡速移除，以減少資安風險。
Adobe 公司指出，曾經廣受歡迎的 Adobe Flash 多媒體製播程式，即將於今年 12 月 31 日完全結束產品生命週期，屆時將不再提供任何更新檔；仍在使用該產品的用戶，應盡速移除，以減少資安風險。
Adobe 表示，除了在今年 12 月 31 日後不再提供更新外，還會從官網完全移除 Adobe Flash 的下載連結；甚至已安裝 Adobe Flash Player 的用戶，也無法播放任何既有的 Flash 內容。
資安專家指出，Adobe Flash 一直以來都是駭侵者相當喜愛的攻擊對象，除了經常被發現 0-day 漏洞外，也常被利用 Flash 的各種資安漏洞進行系統入侵攻擊，或是釣魚詐騙等。
在 HTML5 和 WebGL 等網路多媒體的公開標準出現後，先是 iOS 系列產品率先停止支援 Adobe Flash，接著是各種使用 Flash 製作的內容逐漸減少；Adobe 公司也早在 2017 年七月就宣布 Flash 的產品生命結束日期。
許多原本內建 Flash Player 外掛模組的瀏覽器，最近也陸續停用這個模組；Chrome 從 76 版開始停用 Flash，而 Firefox 則是自 69 版開始停止支援 Flash 內容播放。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

Amazon 日前公布，該公司的 AWS 服務曾於今年二月間遭到史上最大的分散式服務阻斷攻擊（DDoS, Distributed Denial of Service），所幸成功阻擋下來。
Amazon 日前對外公布 2020 年第一季資安威脅報告，報告中揭露該公司的 Amazon Web Services 雲端服務，曾於今年二月間遭到史上最大的分散式服務阻斷攻擊（DDoS, Distributed Denial of Service），所幸成功阻擋下來。
這波 DDoS 攻擊的流量高達 2.3Tbps，打破 2018 年 3 月 GitHub 遭到攻擊時創下的 1.7Tbps 流量記錄。
這份報告總結過去一季以來 AWS 主機阻擋下來的各式駭侵攻擊，而其中最大宗的就是以瞬時巨大流量進行的 DDoS 攻擊。
若和 2019 年第四季相比，AWS 遭受攻擊的次數，從 28 萬次左右上升到 31 萬餘次，增幅達 10%；單一攻擊事件的最大瞬時流量，則由 2019 年第四季的 0.6Tbps 快速上升到 2.3Tbps，增幅高達 283%。
以每周攻擊次數來看，AWS 每周至少遭到 20,000 次以上駭侵攻擊，最高則超過 60,000 次。
以 DDoS 的攻擊技術來分析，2020 年第一季透過 CLDAP 反射放大攻擊的規模和次數，較往年大幅提高；事實上發生在 2 月這次流量高達 2.3Tbps 的攻擊，就是屬於新型態的 CLDAP 反射放大攻擊。發生頻率次高的攻擊技術，則是 SYN 洪水攻擊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安研究者指出，一個名為「BlueLeaks」的資料庫，最近在網路上遭到公開，內含數十萬筆來自美國各州警局的機敏資訊。
獨立資安研究人員 Brian Krebs 近日於個人部落格「KrebsOnSecurity」指出，一個名為「BlueLeaks」的資料庫，最近在網路上遭到公開；這個資料庫內含數十萬筆來自美國各州警局的機敏資訊。
公開這個資料庫的組織或個人，稱為 DDoSecrets；該組織如同 Wikileaks 一樣，專門在網路上公開各種政府與情治單位內部的機密資訊。
這次被公開的警方內部資料，整個資料庫的檔案大小高達 270 GB，來源疑似來自位於美國德州的網路設計與託管服務商遭到駭入，這家服務商同時託管許多美國政府不同部門之間共享的資料庫。
DDoSecrets 指稱，這個資料庫搜集來自200間警政相關單位十年來的累積資料，而 KrebsOnSecurity 也向當局求證後，確定資料庫內的各項資料都是真實資訊。
當局分析該資料庫後證實，這些資料的記錄年度從 1996 年八月開始，一直到 2020 年 6 月 19 日，足足橫跨 24 年之久。
資料庫中和個資相關的欄位，包括許多犯罪嫌疑人姓名、Email 地址、電話號碼、PDF 文件檔案、相片，以及多量的文字、影片、CSV 檔案和 Zip 壓縮檔；有些甚至還含有金融轉帳資訊等機敏資訊。

---

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安廠商指出，包括三星、Adobe、牛津大學在內多家採用 Office 365 的大型企業或組織，近來遭到一波釣魚郵件的駭侵攻擊。
資安廠商 Check Point 近日發表研究報告，指出包括三星、Adobe、牛津大學在內多家採用 Office 365 的大型企業或組織，近來連續遭到一系列釣魚郵件的駭侵攻擊。
報告指出，由於採用 Office 365 解決方案的用戶非常多，近來經常成為駭侵攻擊活動的目標。最近該公司觀測到一起不甚成熟的釣魚攻擊活動，就是利用這些大企業的主機來轉送釣魚郵件，做為攻擊用的跳板，也藉以逃過防毒系統的偵測。
Check Point 於今年四月時發現，有一波釣魚郵件攻擊行動從 NordVPN 發出，透過牛津大學的 Email SMTP 伺服器寄送給受害者；由於牛津大學的網域是經認證的合法安全網域，所以這些攻擊信件就多半會被放行；甚至在 Office 的 Mail 界面上還會顯示「信件來自受信任的伺服器」訊息。
用戶收到這些名為「未聽取的語音留言」信件後，會看到一個「聽取或下載留言」的按鈕，按下後就會進入偽造的 Office 365 登入頁面；駭侵者就能藉以取得受害用戶的 Office 365 登入資訊。
也有釣魚攻擊行動是透過三星加拿大分社的 Adobe Comapign 伺服器轉寄，把用戶導向含有惡意頁面和惡意程式碼的 WordPress 網站，再發動後續的攻擊活動。

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()

資安事件摘要

(繼續閱讀...)

twcert 發表在 痞客邦 留言(0) 人氣()