國內情治單位與微軟合作,聯手打擊 Necurs 全球僵屍網路攻擊行動,發現某公立圖書館的 LED 燈具控制器之 IP 成為攻擊跳板。
國內情治單位於去年年中與微軟數位犯罪防範中心(Digital Crime Unit)合作,共同聯手打擊 Necurs 全球僵屍網路攻擊行動,並且發現國內某公立圖書館的 LED 燈具控制器之 IP 位址,竟成為攻擊跳板。
據台灣法務部調查局指出,這個 LED 燈具控制器本身並未遭駭,被駭侵者利用的弱點在於管理該控制器的外包廠商,並未正確設定管理用的 VPN,使該公立圖書館的 IP 被駭客用來當成跳板,發動各種駭侵攻擊。
這次在台灣查獲僵屍網路跳板的資安查緝行動,是微軟全球網路犯罪防治活動的一環;微軟指出,這個全球 Necures 打擊活動,在去年鎖定了四十萬個可疑的 IP 位址,監測其活動後,將鎖定範圍縮小到 90 個最可疑的 IP,確認駭侵者以僵屍網路透過這些 IP 發動各種攻擊活動。
微軟說,這些攻擊活動類型包括釣魚郵件、惡意軟體擴散、勒贖軟體遞送,以及發動分散式服務阻斷攻擊(DDoS)等。
根據微軟的統計數字,遭到 Necures 感染的某一裝置,在 58 天的觀察期間內,對外就發送了高達 3800 萬封垃圾郵件,寄給超過 4000 萬個潛在受害者。
今年三月初,美國微軟也宣布成功奪得 Necures 僵屍網路在美國本土的基礎設施控制權,阻止駭侵者進一步的攻擊活動。
twcert 發表在
痞客邦
留言(0)
人氣()
本中心近期接獲多起民眾收到勒索恐嚇郵件的通報,該郵件宣稱已掌握收件人過去180天在電腦網路上的所有活動,如瀏覽過成人網站等,並已植入惡意軟體,來控制收件人的電腦鏡頭拍攝其私密影片。若不想私密影片外流必須於開啟郵件的24小時內支付特定數量比特幣(千元美金以上),否則將會隨機轉發給收件人的親朋好友。提醒民眾收到此類勒索恐嚇的詐騙郵件,請勿匯款。郵件特徵:
1、郵件開頭為Your password is XXXX.或是I am aware, XXXX, is your password.可能隨機更換。
2、郵件內容表示對方已掌握帳號密碼、FB和手機通訊錄,以及所有在電腦網路上的活動。
3、郵件內表明因為瀏覽成人網站,因此遭植入惡意軟體,駭客可以藉此控制電腦鏡頭拍攝不雅影片。
4、要求24小時內支付特定數量比特幣(數千美金以上)至指定的帳戶。
5、威脅若不支付就會將影片外流。
twcert 發表在
痞客邦
留言(0)
人氣()
巴基斯坦資安廠商指出,該公司發現有一批該國手機用戶的個資於暗網上待價而沽,受害人數高達一億一千五百萬人。
巴基斯坦資安廠商 rewterz 發表研究報告,指出該公司發現有一批該國手機用戶的個資,於暗網上待價而沽;據統計這個案件的受害人數,高達一億一千五百萬人。
Rewterz 說,駭侵者在暗網上出售這批個資,要價高達 210 萬美元。該公司從樣品檔中發現這批個資包括受害者的個人姓名、完整住址、手機號碼、身分證字號與稅務編號等個人可識別資訊。
Rewterz 表示,這批個資的銷售對象,是暗網中的 VIP 進階用戶;整個資料庫中的個資相當新,是不久前才從一系列駭侵行動中取得的,而且仍在持續更新中。
Rewterz 的研究人員說,這一批個資檔案,以嚴整的 CSV 整理得有條不紊,對有需要的人來說可謂非常好用。
Rewterz 從資料的來源,推測這可能是多次駭侵行動匯整起來的資料,但也不排除是一次大規模駭侵就取得如此多的個資。目前也無法確認到底是巴基斯坦哪一家電信業者的用戶遭駭,也有可能是所有業者的用戶都遭到攻擊了。
然而在這則消息曝光後,有一些懷疑論開始質疑這則訊息的正確性,甚至質疑資安公司公布這類駭侵訊息的動機;為此 Rewterz 也發表了另一篇聲明,解釋暗網的運作規則與一般「明網」不同,以公開各種資安事件,對公眾資安認知的重要性。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商發現史上最大的智慧連網電視廣告詐騙點閱攻擊,遭假冒的裝置多達兩百萬台以上,且詐騙流量佔正常廣告流量比例最高達 50%。
資安廠商 WhiteOps發表研究報告指出,該公司的研究人員發現史上最大的智慧連網電視廣告詐騙攻擊行動;遭僵屍網路假冒的電視、機上盒、手機等裝置,多達兩百萬台以上,分布於三十個以上國家;而詐騙廣告流量最高時達整體廣告流量的 50%。
WhiteOps 發表的報告中稱這次攻擊行動為 ICEBUCKET,主要的攻擊方式為假冒各種連網電視或影片觀看裝置以播放由 SSAI(Server-Side Ad Insertion,伺服器端廣告置入)播送的廣告,以假冒且無效的廣告觀看來詐取廣告分潤獎金。
ICEBUCKET 會透過僵屍網路,將受害裝置向 SSAI 偽稱為可以播放廣告的裝置,誘騙 SSAI 伺服器對其播送廣告;為成功騙取 SSAI 伺服器,ICEBUCKET 偽裝成超過 1000 種不同的 User-agent、300 種以上不同的 appID、使用來自三十國至少兩百萬個不同的 IP 位址,向在 9 國境內約 1700 台 SSAI 伺服器發動假冒廣告攻擊。
根據 WhiteOps 的統計,這波攻擊行動假冒的裝置,有 46% 是扮成 Roku 品牌的各型網路影音機上盒,26.8% 偽裝為採用 Tizen 作業系統的三星電視、20.7% 偽裝為 Google TV 機上盒,還有 6.1% 是 Android 行動裝置。目前還不清楚這波 ICEBUCKET 的幕後有哪些駭侵團體,也不清楚整體廣告產業損失的金額有多大,但 WhiteOps 預期這類的假冒廣告詐騙攻擊將會愈來愈多。
twcert 發表在
痞客邦
留言(0)
人氣()
資安事件摘要
twcert 發表在
痞客邦
留言(0)
人氣()
Intel 最新發表四月份的「平台資安更新」(Platform Update),其中包括六個漏洞更新,採用各種 Intel 解決方案的用戶,應立即注意更新。
Intel 最新發表四月份的「平台資安更新」(Platform Update),其中包括六個資安漏洞更新。在這六個獲得更新的資安漏洞中,有 2 個屬於高度危險等級,另外 4 個為中度危險等級。
第一個高度危險的資安漏洞為 CVE-2020-0600,CVSS 危險程度評分為 7.8,發生在 Intel NUC 超迷你電腦主機平台不正確的緩衝區存取限制;駭侵者可透過此漏洞提升自身的執行權限等級,進而進行駭侵操作。
第二個高度危險的資安漏洞為 CVE-2020-0578,CVSS 危險程度評分為 4.3 到 7.1,發生在 Intel Modular Server MSF2600KISPP 計算模組不正確的狀況檢查機制,同樣可讓駭侵者提升執行權限。
其他四個中等程度的資安漏洞,其 CVSS 危險程度評分自 4.3 到 6.7 之間,分別發生在多種不同的 Intel 平台或模組,在 Intel 發表的資安修補通報中有詳細的描述。
Intel 建議所有使用 Intel 各項解決方案的用戶,應檢視自己的設備,是否為此次資安修補更新的目標對象;Intel 也發表了使用這些模組的下游製造商支援清單,用戶可依據各自設備所屬廠牌,在這份列表中取得支援服務與軟體更新下載點。
twcert 發表在
痞客邦
留言(0)
人氣()
微軟推出四月分的「Patch Tuesday」資安漏洞修補包,一共修復多達 113 個資安漏洞,其中有 3 個 0-day 漏洞、15 個嚴重漏洞。
微軟於日前推出 2020 年四月分的「Patch Tuesday」資安漏洞修補包。這個月的修補包一共修復多達 113 個資安漏洞;其中有 3 個是 0-day 漏洞、15 個嚴重漏洞、93 個重要等級漏洞、3 個一般等級漏洞、2 個低危險等級漏洞。
在最危險的 3 個 0-day 漏洞中,其中有兩個已經公開,分別是 CVE-2020-0935、CVE-2020-1020;前者問題出在 One Drive for Windows,駭侵者可透過此漏洞提升執行權限,後者則是出自 Adobe 字體管理程式庫,可讓駭侵者遠端執行任意程式碼。
另外,在這三個 0-day 漏洞中,也有兩個 0-day 漏洞已被駭侵者用以進行攻擊活動,分別是 CVE-2020-0938、CVE-2020-1020,兩者都是出自 Adobe 字體管理程式庫,可讓駭侵者遠端執行任意程式碼。其他被標示為嚴重等級且於此次獲得修補的漏洞,部分摘錄如下:
twcert 發表在
痞客邦
留言(0)
人氣()
澳洲資安主管機關發布新聞,公開多種該單位監測到的假借COVID-19(新冠肺炎、武漢肺炎)疫情進行的駭侵攻擊樣態。
澳洲資安主管機關澳洲資安中心( Austrilian Cyber Security Centre,ACSC) 發布新聞,公開了多種該單位監測到的假借COVID-19疫情進行的駭侵攻擊樣態,並呼籲各界應該特別提高警覺,以降低受到駭侵攻擊的風險。
ACSC 指出,該單位在疫情升高期間,觀測到比平時更為活躍的駭侵攻擊,而且許多駭侵活動都假借COVID-19,意圖誘使個人或組織羊入虎口;ACSC 也預期在接下來數周,這類駭侵活動不論在頻率、攻擊範圍或影響程度都有增無減。
ACSC 觀察指出,數周以來肺炎相關新網站的域名註冊量數以千計,雖然其中不乏正規可信賴的網站,但也有不少是和駭侵攻擊相關。
ACSC 觀測到的這類肺炎攻擊樣態,在釣魚攻擊方面有五種,分別是透過簡訊或即時通訊進行釣魚並散布惡意軟體、假冒澳洲郵政單位的個資釣魚信件攻擊、假冒國際衛生防疫單位寄送的釣魚信、以抗疫為名夾帶惡意檔案的郵件攻擊、以及假冒防疫單位募捐的詐騙匯款攻擊等。
ACSC 同時也發現數種針對在家工作者進行的駭侵攻擊,其中之一是假冒國際防疫單位,要求在家工作者加入成為募款志工,實際上卻變成詐騙匯款車手;另一種是假冒抽獎活動,要求受害者匯一小筆款項以換取大額現金中獎機會的詐騙,或是以一些蠅頭小利要求受害者協助匯款,實際上進行國際洗錢活動。
twcert 發表在
痞客邦
留言(0)
人氣()
虛擬計算環境大廠 VMware 日前公布最新資安修補資訊,指出該公司已針對 CVE-2020-3952 這個嚴重的資安漏洞,發表專屬修補程式。請目前所有使用 vCenter Server 產品的用戶,立即更新以避免資安風險。
據 VMware 發表的資安通報指出,這個 CVE-2020-3952 的資安漏洞, 在某些特定情形之下,會造成 VMware vCenter Server 內嵌或外部的「平台服務控制單元」(Paltform Services Controller)發生錯誤,進而讓駭侵者於 VMware Directory Service 中取得受害者的各種機敏資料,並進而取得 VMWare vCenter Server 或其他 VMware 產品的控制權。
在 CVSSv3 評級標準下,這個極嚴重資安漏洞的危險評分高達滿分的 10.0 分。
受到這個資安漏洞影響的 VMware 產品,主要是於 Windows Server 或虛擬環境下執行的 vCenter Server 6.7,而且必須是自先前的 6.0 或 6.5 升級上來的版本,因為這兩個版本的 vmdir 布署流程容易受到駭侵者的攻擊。
VMware 建議用戶或系統管理者,應立即檢查自己的 VMware vCenter Server 版本,若為上述的易受攻擊版本,應立即按照 VMware 提供的原廠指示,將其升級至 6.7u3f 或 7.0 版本。
VMware 是在接獲不明來源的密報後知悉此漏洞的存在,並且很快地推出修補程式。CVE編號:CVE-2020-3952影響版本:自 VMware vCenter Server 6.0 或 6.5 升級的版本 6.7解決方案:升級至 6.7u3f 或 7.0
twcert 發表在
痞客邦
留言(0)
人氣()
越來越多企業單位讓員工遠距辦公,來因應企業可能遭遇之各種緊急事件。因此遠端視訊會議(video-teleconferencing,VTC)相關系統的使用量遽增,引發相關資安議題。身為遠端視訊會議的使用者,我們該如何做好資安防護呢?以下八點資安防護提醒:
1、選用無資通安全疑慮的視訊會議軟體
twcert 發表在
痞客邦
留言(0)
人氣()
國際刑警組織指出,儘管全球COVID-19(新冠肺炎、武漢肺炎)疫情持續爆發,但試圖在醫院關鍵系統中植入惡意勒贖軟體的攻擊行動,最近仍然大量增加。
國際刑警組織發出警告,指出儘管全球COVID-19疫情持續爆發,各國醫院收治大量肺炎患者,即將不堪負荷,但試圖在醫院關鍵系統中植入惡意勒贖軟體的攻擊行動,仍然大量增加。
一個名為 Maze 的勒贖軟體,公開了從某一家藥品試驗公司取得並加密的資料,在暗網中叫賣;另一個知名勒贖軟體 Ryuk 則是每天都傳出醫療院所遭其攻擊的消息。
雖然有部分「業者」宣稱不會針對醫療體系進行資安駭侵攻擊,但事實上針對醫療院所和相關產業的攻擊活動,還是不斷升高。
媒體也報導說,一個俄語的駭侵組織,上周勒贖攻擊了兩家歐洲醫療產業公司,其中一家是藥廠,另一家是醫材製造商。
有鑑於這類針對醫療體系的駭侵攻擊,在疫情持續擴大之際仍大加肆虐,國際刑警組織也對其 194 個會員國發出紫色警示,要各國對可能的勒贖攻擊提高警覺,嚴加防範。
國際刑警組織指出,近來的勒贖攻擊樣態,多是透過假冒國際或各國政府單位的公文或指示,假稱含有疫情相關重要資訊,誘使相關人員誤開,進而植入惡意軟體。
國際刑警組織建議各國的衛生單位,應提升資安防護意識與防護等級,勤於升級其轄下的軟硬體設備,取得並安裝最新資安修補軟體,同時對不明郵件和文件檔案提高警覺,並加強資料離線備份工作,確保即使遭到攻擊也能迅速回復正常運作。
twcert 發表在
痞客邦
留言(0)
人氣()
資安廠商指出,近來針對 Cisco WebEx 視訊會議軟體用戶發動的詐騙更新攻擊,正在大量增加,目的在於竊取登入視訊會議用的資訊。
資安廠商 Cofense 的研究人員日前發表研究報告,指出近來由於COVID-19(新冠肺炎、武漢肺炎)疫情擴散影響,大量人員在家遠距工作,視訊會議系統使用量大增;該公司觀察到近期有駭侵者針對 Cisco WebEx 視訊會議軟體用戶發動詐騙更新攻擊,且攻擊次數正在大量增加。
這波針對 Cisco WebEx 的釣魚信件攻擊,其訊息內容偽裝成由 Cisco 公司發送的緊急資安修補更新,透過假造的 meetings@webex[.]com 地址寄送,主旨例如「Critical Update」或「Alert!」等,目的在於誘使用戶點擊信件中的惡意連結,以竊取用戶登入視訊會議用的資訊。
詐騙信件內容則是回收使用一封由 Cisco 在 2016 年 12 月發出的真實更新訊息,更新的對象是編號 CVE-2016-9223 的資安漏洞;雖然這個漏洞早在 2016 年底就已經修補完成,但現在卻被駭客用來當作取信於受害者的詐騙訊息。
信件最後邀請用戶加入自動更新方案,但在「加入」按鈕中埋入釣魚網頁的 URL;用戶點按後就會進到一個假的登入頁面,要求輸入用戶在 WebEx 用來登入的帳號與密碼。
這個詐騙網頁為了取信於受害者,其詐騙網址甚至還有 SSL 憑證;資安公司建議用戶,在當下疫情快速擴散,人心惶惶的時刻,收到各種可疑信件時,必須更加提高警覺,以免受害。
twcert 發表在
痞客邦
留言(0)
人氣()
