由於COVID-19(新冠肺炎、武漢肺炎)疫情的蔓延,許多APT駭侵組織或有心人士利用相關內容,散布以此為主題的釣魚郵件。近期資安人員PARTHI發現APT組織MustangPanda以COVID-19疫情為誘餌,發送假冒政治人物發言且含有惡意附件的電子郵件。其中假冒政治人物的文檔為冒充我國副總統陳建仁,內容聲稱副總統在臉書說明COVID-19社區傳播的特性以及台灣沒有發生社區傳播,還提到美國疾病管制與預防中心列出有社區傳播風險的目的地就包含台灣,如下圖所示。
- Mar 25 Wed 2020 17:00
-
駭客利用疫情主題散布惡意程式,接獲不明郵件應保持警覺以免受駭
由於COVID-19(新冠肺炎、武漢肺炎)疫情的蔓延,許多APT駭侵組織或有心人士利用相關內容,散布以此為主題的釣魚郵件。近期資安人員PARTHI發現APT組織MustangPanda以COVID-19疫情為誘餌,發送假冒政治人物發言且含有惡意附件的電子郵件。其中假冒政治人物的文檔為冒充我國副總統陳建仁,內容聲稱副總統在臉書說明COVID-19社區傳播的特性以及台灣沒有發生社區傳播,還提到美國疾病管制與預防中心列出有社區傳播風險的目的地就包含台灣,如下圖所示。
- Mar 25 Wed 2020 15:00
-
美國與香港電信業者遭全新僵屍模組的暴力 RDP 連線攻擊
資安廠商發現一個全新的 TrickBot 模組,針對美國和香港的特定業者發動暴力 RDP 連線攻擊。
資安廠商 BitDefender 的研究人員,近日發現一個全新的 TrickBot 模組 rdpScanDll,最近開始針對美國和香港的特定業者,發動暴力 RDP 連線攻擊。
BitDefender 是在今年一月三十日時發現全新 TrickBot 的攻擊行動;根據其攻擊的 IP 進行分析,發現主要的攻擊目標,是美國和香港的電信業者。
一般來說,典型的 TrickBot 攻擊是在 2016 年開始出現的,當時以數位銀行的登入資訊取得為主要的攻擊目的,但近年其攻擊範圍和樣態也開始增加,不但新增了多種新功能,被攻擊的目標對象也擴及金融業之外的其他業種。
BitDefender 指出,目前觀測到的 TrickBot 和 rdpScalDll,會針對目標對象,以暴力嘗試法試圖連入受害者的 RDP 遠端桌面,以取得控制權;他們也發現主要控制這些僵屍模組的控制伺服器多半位在俄羅斯,而且每個月會新增約一百台控制伺服器的 IP,每次的攻擊區間約持續 16 日之久。
這些僵屍網路攻擊模組,主要透過垃圾郵件散布,但最近也觀測到駭侵者透過其他管道散布。
除了電信業者外,BitDefender 也觀測到香港與美國的教育機構、金融服務業等業種,也受到這個駭侵攻擊的威脅。
由於這個攻擊模組的架構,可以加掛各種攻擊用的外掛套件,所以相當具有彈性,可以根據駭侵者的需求,進行各種調整和修改,結果就是這個模組出現很多複雜和先進的變種,攻擊的樣態和目標也變得更為多元。
- Mar 20 Fri 2020 09:57
-
Adobe 發布2020年三月資安修補包,共修補九個嚴重漏洞
Adobe 發布2020年三月資安修補包,一共修補九個嚴重漏洞,以及其他次要資安漏洞。
Adobe 公司日前宣釋出 2020 年三月的資安修補包,修補包括 Adobe Acrobat 與 Adobe Reader 等常用軟體在內的共十三個資安漏洞。
這些本次得到修補的資安漏洞共有十三個,其中有四個屬於中等危險程度的「Important」等級,漏洞的來源樣態包括資料外洩或執行身分等級權限提升。
這四個中等程度的漏洞編號分別是 CVE-2020-3804(資料外洩)、CVE-2020-3804(資料外洩)、CVE-2020-3800(記憶體位址外洩)、CVE-2020-3083(不安全的程式庫載入導致 DLL 挾持)。
其他九個漏洞則屬於高危險的「Critical」等級;而這九個嚴重等級資安漏洞的樣態,則以遠端執行任意程式碼為主;其 CVE 編號分別為 CVE-2020-3795、CVE-2020-3799、CVE-2020-3792、CVE-2020-3793、CVE-2020-3801、CVE-2020-3802、CVE-2020-3805、CVE-2020-3807、CVE-2020-3797。
Adobe 指出,尚在使用 Acrobat DC、Acrobat Reader DC、Acrobat 2017、Acrobat Reader 2017、Acrobat 2015、Acrobat Reader 2015 的 Windows 與 MacOS 用戶,請盡快升級到最新版本,以修補上述資安漏洞。
過去 Adobe 公司經常會在微軟發表 Patch Tuesday 每月資安修補包時,同步推出自己的當月資安修補包。
- Mar 19 Thu 2020 09:22
-
協作通訊平台 Slack 被發現重大漏洞,可能導致大量帳號遭盜
- Mar 17 Tue 2020 15:32
-
八百萬筆歐洲區 Amazon 和 eBay 等大型電商顧客交易資料遭曝光
資安專家在網路發現一個未受保護的大型資料庫,內含數百萬名歐洲 eBay 和 Amazon 等大型電商業者顧客的各種資料,而且只要用搜尋引擎就可以找到。
資安廠商 Comparitch 的專家 Bob Diachenko 指出,這個資料庫中的資料多達八百萬筆交易資料,主要是透過 Amazon、eBay、Shopify、PayPal、Stripe 等電商或數位支付業者提供的 API 收集。
專家表示,這個存在 AWS 上的 MongoDB 資料庫,並未加上任何保護措施;當今年 2 月 3 日時被發現後,一直在網路上放了五天才撤下;在這段期間,任何人都可以透過簡單的網路搜尋找到這個資料庫。
由於一名顧客可能產生多筆交易資料,所以目前不易估計受影響人數的規模;但其中有一半的資料是來自英國的顧客,其他的來自歐洲其他國家。
據 Comparitech 公司的分析,製作這個資料庫的,可能是一家進行跨境加值型營業稅分析的第三方公司。目前沒有證據指出這個資料庫在曝光期間曾遭到任何不當存取,Amazon 在接獲通報後,也已展開調查,而可能涉及製作該資料庫的第三方公司,則在 2 月 8 日自網路上撤下了這個資料庫。
- Mar 16 Mon 2020 12:10
-
微軟發表 2020 年三月 Patch Tuesday 資安修補包,修補漏洞達 115 個
微軟近期發布 2020 年三月例行資安修補包,針對旗下產品的 115 個資安漏洞進行修補,建議所有微軟產品用戶即刻安裝。
微軟每月例行發表的 Patch Tuesday 資安修補包於日前發布,繼二月修補了 99 個資安漏洞後,三月的修補漏洞數達到 115 個。
在這 115 個得到修補的資安漏洞中,其中包含 26 個可讓駭侵者遠端執行任意程式碼中的漏洞,例如 Microsoft Word 被發現的 CVE-2020-0852 漏洞,係透過特製的檔案進行駭侵;即使用戶沒有打開該檔案,還是會遭到攻擊。
再如 CVE-2020-0684 這個漏洞,駭客可利用寄送特製 .LNK 檔案給受害者,當受害者開啟後,即會被導向到含有惡意程式碼的網頁。
除微軟外,Mozilla 也推出新版 Firefox 瀏覽器,版本號碼為 74。在這個版本中,TLS 1.0 和 TLS 1.1 這兩個老舊的加密協定預設為關閉,同時針對擴充套件實施更嚴格的資安規範。在這版本中也針對 Facebook 的用戶追蹤器加入了阻擋反制機制。
- Mar 13 Fri 2020 17:30
-
Microsoft Exchange伺服器存有資安漏洞,建議立即更新至最新版本
Microsoft Exchange伺服器被發現CVE-2020-0688的資安漏洞,這個漏洞是Exchange伺服器未能在安裝時產生唯一的金鑰,導致駭客能以系統權限傳遞任意物件,進行遠端程式攻擊。
- Mar 13 Fri 2020 16:38
-
Windows 被發現全新漏洞,利用此漏洞的惡意程式感染率高,請立即進行更新
這個漏洞存在於 Microsoft Server Message Block (SMB) 協定 3.1.1 版本,亦稱為 SMBv3,用來在內部網路與 Internet 上的電腦、印表機、其他連網裝置間進行各種資料交換與分享。
CVE-2020-0796 這個資安漏洞,就是透過發送特殊封包給 SMBv3,即可在 SMB Server 或其他 SMB Client 上執行任意程式碼。該漏洞影響1903 / 1909版本的Windows 10和Windows Server。
在思科資安團隊先前發表過的研究報告中,用了「Wormable」這個字來形容本漏洞,意思是指透過這個漏洞進行的駭侵攻擊,可以直接在網路間感染一台又一台的未修補裝置,不需要和任何實際的管理者或使用者互動。
在這份被撤回的文件中也說,尚未進行安全更新的用戶,最好事先在防火牆和其他設備上關閉 SMBv3 使用的 TCP 通訊埠 445,以防利用這個漏洞的惡意軟體在網路上到處流竄。
據微軟表示,目前還沒有觀察到利用這個漏洞進行的大規模駭侵攻擊事件。用戶可先關閉 SMBv3 壓縮,同時在企業的防火牆上封鎖 TCP 連接埠 445;但這只能防範來自外網的攻擊,如果內網已有電腦感染,此法無效。
◎建議措施
- Mar 12 Thu 2020 11:26
-
專家警告,全美眾多連網醫療裝置,因多種原因易遭駭侵
據一份最新研究報告指出,全美有大量可連網之醫療用裝置,因為包括資安防護配置不當、作業系統老舊等原因,曝露在駭侵攻擊的風險之下。
資安廠商 PaloAlto Networks 的資安研究人員,日前發表研究報告,指出全美國有眾多連網醫療器材與裝置,因為各種不當資安配置,或作業系統版本過於老舊,因而曝露在極高駭侵攻擊風險之下。
這項研究分析全美上千家醫療院所中的 120 萬台醫療相關 IoT 裝置。報告指出,有 83% 的醫用影像裝置仍執行在老舊且已失去原廠支援的作業系統,其中 56% 執行 Windows 7,11% 執行 Windows XP;仍保有原廠支援的裝置數量比例僅有 17%。
另外,有高達 98% 的醫療廠所,其 IoT 裝置的網路通訊內容並未加密;72% 醫療場所的內部網路,將各種醫療器材與一般 IoT 裝置混用,而這些 IoT 裝置中又有 57% 含有中等程度以上的資安漏洞尚未修補。
報告也分析過去針對醫療院所發動的駭侵攻擊,指出有 41% 的攻擊行動鎖定這些裝置的資安漏洞發動駭侵,另外有 51% 的駭侵攻擊和醫療影像裝置有關。
進一步細分攻擊的類型,除了上述 41% 的攻擊鎖定裝置漏洞外,有 33% 以惡意軟體發動攻擊,另外 26% 則針對使用者的操作疏失發動攻擊,如釣魚郵件等。
- Mar 11 Wed 2020 14:30
-
東南亞多國發生大規模信用卡資料外洩事件,資料外洩卡量近 32 萬張
東南亞多個國家最近發生多起信用卡資料遭外洩事件,共有多達近 32 萬張卡片資訊遭竊;受影響國家包括新加坡、馬來西亞、菲律賓、越南、印尼、泰國。
印度資安新創公司 Technisanct 日前發表研究報告,指出至少六個東南亞國家的大批信用卡資料遭到駭侵者竊取,包括信用卡有效期限、CVV安全碼和用戶的可識別個人資訊均遭外洩。
該公司指出,在外洩的近 32 萬張信用卡中,受害最深的是菲律賓,共有超過 17 萬張信用卡資訊外洩;馬來西亞有三萬七千多張,新加坡則有兩萬五千張左右。
該公司表示,發現有大量信用卡資訊,被駭侵者在暗網上販售。由於這些資料除了卡號外,還有信用卡安全碼和用戶的個資,所以很容易用來盜刷。儘管有些刷卡機制需要進行二階段驗證(例如輸入簡訊傳遞的隨機安全碼),但還是有很多交易場合缺少這類額外的安控機制。
該公司在發現此一事件後,立即以 Email 通報各國的資安緊急事件處理單位(CERT),並建議各國 CERT 立即採取行動,以免災情擴大,但至今沒有一個國家對此發表回應。
南華早報就此事採訪馬來西亞官方資安主管機關、中央銀行、金融主管機關等。
馬來西亞第二大的聯昌國際銀行(CIMB Group Holdings)向南華早報表示,該行沒有發現被入侵導致資料外洩的具體情事。
- Mar 10 Tue 2020 17:09
-
數百萬台 Toyota、Hyundai、KIA 汽車面臨無線車鑰遭駭侵者複製的風險
- Mar 09 Mon 2020 16:40
-
近年出品之 Intel 處理器,內含難以修復的資安漏洞
資安廠商 Positive Technologies 上周發表研究報告,指出近年出品的 Intel 各型 x86 處理器,內含無法修復的資安漏洞,恐將造成大規模針對此漏洞的駭侵攻擊。
這個漏洞之所以無法修復,是因為該漏洞存在於處理器的 ROM 區塊;該區塊中一個稱為 Intel Coveraged Security Management Engine (CSME) 的重要區塊出現程式漏洞,而這個區域的程式碼是寫死(Hard coded)在硬體中的,因此難以更動。
CSME 是 x86 電腦系統中最低階的資安驗證系統,但因為該漏洞的存在,駭侵者可以透過特殊設計的程式碼來欺騙 CSME 中的驗證程序,導致整台電腦的所有安全驗證體系,包括儲存資料的加密、DRM、硬體的加密數位簽章等都將因此失效;攻擊者甚至可以透過該漏洞,在極低階的硬體上直接執行任意程式碼,所有軟體的防毒防駭機制均無法偵測。
Intel 雖然早在 2019 年初就知道這個漏洞的存在,也已發表修補程式,但據 Positive Technologies 的報告指出,這個修補程式只從一個方向阻擋利用此漏洞的駭侵攻擊,仍有相當多方法可以利用此漏洞進行駭侵攻擊。
根據 Intel 的資安通報,這個漏洞的 CVSS 危險程度評級達 7.1 分,屬高危險等級。
