Google Cloud 旗下的資安團隊 Cybersecurity Action Team,在近期發表的 2023 年資安趨勢報告「Threat Horizons: August 2023 Threat Horizons Report」中指出,愈來愈多駭侵者利用「版本置換」(Versioning)的方式,通過 Google Play Store 的上架前檢查流程並成功上架。
在這份報告中,Google 先列出 Google Cloud 2023 年第一季統計所得的雲端服務攻擊原因,其中未設定密碼或密碼不夠強,其佔比高達 54.8%;其他原因還包括資安設定錯誤(19%)、敏感 UI 或 API 曝光(11.9%)、登入資訊遭竊(7.1%)、使用軟體存有漏洞(2.4%)等。
此外,在這份報告中,Google Cloud 資安團隊也解釋 Google Play Store 中會有惡意軟體上架的原因。駭侵者多半利用一種稱為「版本置換」(Versioning)的手法,先把不含任何惡意軟體的最初版本上架到 Google Play Store 中,以通過各種資安檢查流程,成功上架到 Googel Play Store 上;待使用者下載安裝後,再以版本更新的機制,將惡意軟體酬載自第三方伺服器安裝到使用者已安裝在裝置中的 App 內。
雖然 Google 在其 Play Store 使用規範中明白規定,禁止任何軟體使用 Google Play 官方提供的更新機制以外的方式,對已下載安裝的軟體進行更新、變更或替換,也禁止自第三方伺服器下載任何可執行檔,例如 dex、JAR 等檔案,但顯然有不少 App 並未遵守這個禁令,仍會在使用者下載完沒有問題的版本後,再透過第三方伺服器安裝惡意軟體程式碼酬載。
建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體,也應在下載前先檢視其他使用者的意見回饋,如有大量負評則應避免下載。
twcert 發表在
痞客邦
留言(0)
人氣()
美國聯邦調查局(Federal Bureau of Investigation, FBI)日前發表資安警訊,指出有詐騙集團假冒為「非同質性代幣」(Non-Fungible Token, NFT)開發人員,針對 NFT 愛好者進行各種詐騙活動,意圖竊取其加密資幣與 NFT 數位資產。
FBI 指出,這些詐騙集團以駭侵手法取得部分知名 NFT 開發人員的社群媒體帳號控制權,或是設立一個幾可亂真的假帳號,來假扮這些知名開發者的身分,藉以取信於 NFT 愛好者與投資人。
在與目標對象建立溝通管道後,這些詐騙分子就會以限時專案等誘因來誘騙目標對象,宣稱有限定參與對象的新 NFT 鑄造計畫,有極佳的投資獲利機會,邀請受害對象參加;由於詐騙集團多半會強調時限,因此受害對象往往在沒有時間進行充分查證的情形下,就受到引誘。
接著受害者會被導向到偽裝成正宗 NFT 計畫網站的惡意釣魚網站,一旦受害者輸入自己的錢包位址與存取密碼,自己擁有的加密貨幣與 NFT 等數位資產,就會遭到盜領一空。
為了防止資金流向遭到追查,這些詐騙者還會利用多種數位資產混合服務,讓執法單位難以追蹤金流,以避免遭到查緝。這也使得受害者更不容易追回損失的資金。
FBI 在這次的警訊中,沒有透露目前這波攻擊具體造成的損失金額與受害情形,但這類案件的發生可謂層出不窮,損失金額也十分可觀。今年三月時公開的「Pig Butchering」詐騙案,損失金額就高達 20 億美元以上。
FBI 建議 NFT 愛好者在投資時,務必再三確認 NFT 開發者的身分,確認其社群媒體上的廣告真實可信;在進行相關購買時,也一定要確認網址的合法性。如果活動本身宣稱的利潤過高,就必須特別提高警覺。
twcert 發表在
痞客邦
留言(0)
人氣()
資安專業媒體 BleepingComputer 日前發現一個偽裝成 FlipperZero 官方網站的詐騙網站,以送出免費 Flipper Zero 裝置為由,誘騙受害者進入惡意網站並安裝惡意瀏覽器外掛程式。
Flipper Zero 是一個在近期引起資安研究人員與自造者高度興趣的多功能開源工具,具備相當廣泛的功能與界面,支援 RFID 模擬、多頻段無線電通訊、NFC、紅外線通訊、藍牙、乙太網路等。自該裝置推出後,許多資安人員與相關技術愛好者紛紛發表多種該裝置可使用的控制軟體,因此十分受到歡迎,出現一機難求的現象。
BleepingComupter 是在近日發現一個假冒 Flipper Zero 官方網站的詐騙活動,頻繁在 Reddit 論壇與各社群媒體上刊登廣告,宣稱只要填寫一份問卷,就能免費獲得一台原價 169 美元的 Flipper Zero。
BleepingComputer 的資安研究人員進一步發現,該詐騙網站雖然外觀十分接近 Flipper Zero 正宗官網,但網站上許多連結都代管於一個惡名昭彰的瀏覽器詐騙通知與惡意外掛程式平台 trkrspace[.]com 上。
BleepingComupter 指出,使用者如果填寫了該詐騙網站上的問卷,其個資就會被蒐集成功,包括姓名、地址、Email 等,並用於其他釣魚攻擊與詐騙攻擊活動之上;有些使用者瀏覽器還會出現假警訊,謊稱使用者的電腦發生問題、系統過載或有安全漏洞,需要安裝資安防護軟體等,藉以進一步誘騙使用者。
建議使用者對於過份好康(too good to be true)的各種廣告訊息都必須提高警覺,且勿隨意提供個人資訊。
twcert 發表在
痞客邦
留言(0)
人氣()
五眼聯盟(The Five Eyes)所屬資安主管機關,近期會同美國多個資安主管單位如網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)、美國國家安全局(National Security Agency, NSA)、美國聯邦調查局(Federal Bureau of Investigation, FBI) 等單位,共同發表 2022 年最常遭到用於駭侵攻擊的 12 個資安漏洞。
五眼聯盟是由美國、澳洲、加拿大、紐西蘭與英國等五個英語系國家組成的情報合作組織;其下轄的資安單位近期發表這批漏洞,意在敦促全球各公私單位,立即針對這些已造成嚴重資安風險的漏洞進行處理,以降低繼續遭到攻擊的危險。
該報告指出,近年來駭侵者更偏好使用已知的舊漏洞來發動攻擊,而非使用未公開或較新的漏洞。由於這些舊漏洞往往很長一段時間仍未受到修補,再加上有較多現成的攻擊工具與方法可以使用,因此帶來極大的資安風險。
報告也說,雖然在 2022 年中新增了近 25,000 個指派有 CVE 編號的漏洞,但名列榜上的最常遭駭漏洞中,只有 5 個是在 2022 年新發現的漏洞。
名列該份清單的漏洞如下:
twcert 發表在
痞客邦
留言(0)
人氣()
奧地利格拉茨科技大學(Graz University of Technology)的研究團隊,近日發現各廠牌推出的中央處理器(Central Processing Unit, CPU)中,存有一個共同的漏洞「Collide+Power」,可讓駭侵者以特殊方式竊得 CPU 內傳輸的資料。
根據格拉茨科技大學團隊的報告指出,該漏洞的實作方式,是駭侵者可藉由駭侵者對CPU 發出的資料集,在 CPU 中與其他應用程式送出的資料發生「對撞」(collision)時,改寫先前存在 CPU 快取記憶體中儲存的資料時,來測量 CPU 的耗電量變化,因而取得某些機敏資訊。
研究人員指出,受此 Collide+Power 漏洞影響的 CPU 款式可能十分廣泛,包括 Intel、AMD 或基於 ARM 架構設計的 CPU 都可能含此漏洞;雖然目前無法一一確認實際含有該漏洞的 CPU 型號有哪些,但研究人員假設所有型式的 CPU 都含有此漏洞。
該漏洞也已經提報為 CVE-2023-20583,但其 CVSS 危險程度評分僅有 4.7 分(滿分為 10 分),危險程度並不高;對此研究人員指出主要是因為 Collide+Power 攻擊取得的資料精確度並不高,而且必須以繁雜的方式進行實體接線,並進行複雜的計算分析,才能測量到 CPU 耗電量的變化,因此包括研究人員與 AMD 公司,都認為終端用戶不太容易受到駭侵者以此方式進行攻擊。
研究人員也表示,當代 CPU 的設計中,不容易避免資料碰撞的問題發生;即使發現 Collide+Power 理論上可使用資料碰撞問題來竊取資料,但因此而大幅修改 CPU 的設計方式是不切實際的;比較合理的方式是阻止駭侵者有機會接觸電腦設備,以測量 CPU 的用電量變化才對。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 CYFIRMA 旗下的資安研究人員,近期發現有 APT 駭侵團體,利用假冒的 Android 即時通訊軟體來散布惡意軟體,以竊取受害者手機中的通話記錄、文字簡訊、GPS 定位資訊與其他多種即時通訊軟體的對話內容。
CYFIRMA 指出,涉及這波攻擊行動的印度 APT 駭侵團體稱為「Bahamut」,過去主要透過 WhatsApp 來進行魚叉式釣魚攻擊,直接把惡意軟體傳送給目標對象,以進行攻擊行動。另一家資安廠商 ESET 過去也曾發現 Bahamut 使用假冒的 Android 平台 VPN 軟體來進行大規模資安攻擊。
這次 CYFIRMA 發現 Bahamut 利用一個名為「SafeChat」的假冒 Android App,在其中植入一個名為「Coverlm」的惡意軟體,用以竊取 Telegram、Signal、WhatsApp、Viber、Facebook Messenger 等多種即時通訊軟體內的對話內容;主要的攻擊對象以南亞地區的 Android 手機用戶為主。
CYFIRMA 針對 SafeChat 的分析指出,一旦用戶誤信該軟體是真實的即時通訊軟體並且安裝後,SafeChat 會要求用戶授與輔助使用權限,以自動取得存取簡訊、通訊錄、通話記錄、GPS 資訊、外接儲存裝置等權限,並進行後續的惡意軟體酬載載入與安裝。
SafeChat 甚至會要求用戶同意存取手機的電池電力最佳化子系統,這是為了阻止系統在使用者很少使用該 App 時,自動中止該 App 的執行。
建議 Android 使用者除應避免自非 Google 官方管道下載安裝 App 外,如遇 App 要求輔助使用等權限,應立即拒絕並移除該軟體。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 SlashNext 發現有駭侵者推出專門用於進行釣魚與惡意軟體投放攻擊的 AI 聊天機器人,分別採用最新的 ChatGPT 與 Google Bard AI 技術來訓練。
SlashNext 旗下的資安研究人員,在 7/25 發現一個自稱為 CanadianKingpin12 的駭侵者,於多個駭侵相關論壇上刊登廣告,推廣其用於進行網路詐騙、駭侵攻擊與垃圾訊息發送專用的 AI 聊天機器人 FraudGPT。
在進一步追蹤後,SlashNext 的資安研究人員證實 CanadianKingpin12 很早就開始利用在暗網上出售的各種駭侵資料集,以 ChatGPT 和 Google Bard 等大型語言模型(Large Language Model, LLM)來訓練自己的 AI 聊天機器人 DarkBART;研究人員也發現 CanadianKingpin12 也利用韓國研究人員研發的另一個大型語言模型,來訓練另一個 AI 聊天機器 DarkBERT。
根據 CanadianKingpin12 的說詞,DarkBERT 在各種運用暗網資料來訓練的 AI 駭侵工具中,可說是功能最強大的一款,可以用來進行以下攻擊:
twcert 發表在
痞客邦
留言(0)
人氣()
Google 日前發表年度報告「The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022」,在報告中除了列出在 2022 年被駭侵者積極用於攻擊的多個 0-day 漏洞之外,Google 更指出由於各 Android 設備製造廠在韌體更新推出時程的延遲,加上 Android 生態系的複雜度,由 Google 修補完成的 0-day 漏洞,駭侵者往往仍可在數月後用於攻擊。
Google 指出的這個問題,可說是 Android 系統上長年未解的老問題,主要肇因於 Google 生態系的複雜性。在該生態系,最上游的 Google 到最下游的手機製造廠,中間還有許多角色,例如品牌商(如三星、小米等)、電信業者等。這樣複雜的結構,造成即使 Google 在第一時間發表了 0-day 漏洞的修補方案,也要等品牌商或製造商針對各款手機推出韌體更新,使用者才能修補裝置上的 0-day 漏洞。
Google 說,從 Google 修補漏洞到使用者有更新版韌體可以安裝,中間往往會有好幾個月的時間間隔;而這麼長的時間差,就讓駭侵者有機可乘,可利用事實上早就可以修補的 0-day 漏洞,在很長一段時間內仍可用來發動攻擊。
舉例來說,CVE-2022-38181 是個發生在 ARM Mali CPU 的 0-day 漏洞,該漏洞於 2022 年 7 月時提報給 Android 開發團隊,並於 2022 年 10 月由 ARM 發表漏洞修補程式,但直到 2023 年 4 月時才納入 Android 2023 年 4 月的更新之中,時隔長達半年。而駭侵者早在 2022 年 11 月起,就開始利用該漏洞發動攻擊。
鑑於 Android 生態系的複雜度與較大的資安風險,Android 使用者應加強本身的資安防護措施,或考慮改用其他較安全的系統。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Wiz 旗下的資安研究人員,近期在廣受歡迎的 Linux 發行版本 Ubuntu 的核心中發現兩個漏洞,可讓未擁有高等級權限的本機使用者提升其執行權限,並且執行任意程式碼。
這兩個漏洞分別為 CVE-2023-32629 和 CVE-2023-2640。CVE-2023-2640 是個存於 Ubuntu Linux 核心記憶體管理子系統中,一個不適當的權限檢查機制造成的權限提升漏洞,能夠存取本機的駭侵者,可以利用該漏洞來提升執行權限。
另一個漏洞 CVE-2023-32629 也存於 Ubuntu Linux 核心記憶體管理子系統中,在存取 VMA 時可能形成競爭狀況並導致記憶體發生「釋放後使用」(use-after-free)問題,使可以存取本機資源的駭侵者藉以執行任意程式碼。
CVE-2023-2640 的 CVSS 危險程度評分較高,為 7.8 分(滿分為 10 分),其危險程度評級為「高」(high);而 CVE-2023-32629 的 CVSS 分數略低,為 5.4 分,其危險程度評級為「中」(medium)。
資安研究人員是在研究 Ubuntu Linux 在實作 OverlayFS 檔案系統發生的不相容問題時,發現這兩個漏洞。過去在 2018 年之前的 Ubuntu Linux 發行版,在執行 OverlayFS 時並不會發生任何問題,但在 2019 年和 2022 年,Linux 核心專案進行部分變動,就導致在 Ubuntu Linux 核心在執行 OverlayFS 時發生上述兩個漏洞。
由於 Ubuntu 的使用層面極廣,Wiz 的研究人員估計約有 40% 的 Ubuntu 系統含有此二漏洞;Ubuntu 基金會也已推出資安更新,用戶應立即套用。
解決方案或建議措施:Ubuntu 基金會也已針對這兩個漏洞與其他資安漏洞推出資安更新,建議用戶應立即套用。
twcert 發表在
痞客邦
留言(0)
人氣()
區塊鏈分析師指出,APT 駭侵團體 Lazarus 疑似與近期發生的加密貨幣付款平台 Alphapo 攻擊事件有關;該攻擊事件造成高達 6,000 萬美元的加密貨幣被竊。
Alphapo 是一個集中化的加密貨幣付款平台,服務對象包括多個線上博弈平台、電子商務訂閱等多種網路平台。該服務於 2023 年 7 月 23 日遭到駭侵攻擊,當時估計的被竊加密貨幣總額高達 2,300 萬美元,計有 600 萬美元的 USDT、10.8 萬枚 USDC、1,002 萬美元的 FTN、430 萬美元的 TFL、2,500 美元的 ETH、1,700 美元的 DAI 等。
據指出,上述 Alphapo 被竊的數位資產,都竊自該平台的線上熱錢包;可能是因為該平台的錢包私鑰遭竊所致。
另外也有區塊鏈投資者與分析師指出,Lazarus 另外還竊得 3,700 萬美元的 TRON 與比特幣,所以總共因攻擊取得的數位資產高達 6,000 萬美元之多。
Lazarus 駭侵團體長久以來均以加密貨幣相關駭侵為主要攻擊領域;過去該團體曾經涉及高達 3,500 萬美元的 Atomic 錢包竊案、1 億美元的 Harmony Horizon 攻擊,以及 6.17 億美元的 Axie Infinity 竊案。
該駭侵團體也經常在 LinkedIn 等求職網站,以詐騙的高薪求才廣告招徠,引誘大型加密貨幣業者的員工跳槽,藉以駭入這些受害者的電腦,竊取其所屬企業的機敏資訊與數位資產。
建議加密貨幣相關業者務必將客戶資金存放在冷錢包中,且應隨時檢測資安防護,以免大筆資金遭竊。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商 Flare 分析近 2000 萬筆求售資訊竊盜惡意軟體的記錄檔後,發現有近 38 萬筆企業用於各種雲端服務的登入資訊遭到竊取。
Flare 分析的惡意軟體記錄檔,係取自駭侵者在暗網上的駭侵相關論壇與 Telegram 駭侵討論頻道中出售的大量記錄資料,因而發現企業登入資訊大量遭竊的情形。
Flare 分析的資訊竊取惡意軟體包括 Redline、Raccoon、Titan、Aurora、Vidar 等,這些惡意軟體以出租的方式提供給駭侵分子使用,並透過各種方法引誘用戶下載,不但對個人使用者造成資安威脅,也對企業造成很大的資安風險。駭侵者可以利用這些竊得的登入資訊,攻擊企業使用的 VPN、RDP、CRM 系統,進行更大的破壞。
Flare 指出,這些惡意軟體主要攻擊企業使用者,並且竊得許多主流企業用雲端系統的登入資訊;Flare 取得的記錄檔數量如下:
twcert 發表在
痞客邦
留言(0)
人氣()
資安研究人員 iamdeadlyz 日前宣布,他發現一個全新的加密貨幣惡意軟體 Realst;該惡意軟體以 Apple 生產的 Mac 電腦為攻擊目標,竊取受害者電腦中加密貨幣錢包中的各種數位資產。
iamdeadlyz 指出,該惡意軟體主要是以假扮成多種區塊鏈遊戲來騙取受害者下載安裝,例如 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles、SaintLegend 等。
這些遊戲在多個社群媒體或相關論壇都有刊登廣告,駭侵者會利用私訊,假稱傳遞可直接玩這些遊戲的密碼給受害者,讓受害者從駭侵者設立的假網站中下載安裝內含惡意軟體的假遊戲檔案。駭侵者也可以藉由不同的密碼來辨識個別受害者,並且躲避資安防護軟體的追蹤。
一旦受害者安裝了這些假遊戲,安裝程式就會針對受害者使用的作業系統,安裝不同的惡意軟體;Windows 系統會安裝 RedLine Stealer,而這次發現的 Realst 惡意軟體則是針對 macOS 作業系統。
資安研究人員所取得的樣本指出,某些版本的 Realst 惡意軟體甚至能夠支援尚未正式推出,目前僅有測試版的 macOS 14 Sonoma。
據資安廠商 SentinetOne 取得的十多個 Realst 取樣研究報告指出,該惡意軟體會竊取安裝於 macOS 系統上的多種瀏覽器和通訊軟體,例如 Firefox、Chrome、Opera、Brave、Vivaldi、Telegram,以竊取其中儲存或傳遞的機敏資訊,但都未針對 Safari 進行攻擊。
建議 Mac 使用者應避免自官方 App Store 以外來源安裝 .PKG 檔或 .DMG 檔,以免遭到惡意軟體攻擊。
twcert 發表在
痞客邦
留言(0)
人氣()
