TWCERT/CC近期發現有四種惡意程式的感染有增加的趨勢,分別名為KratosCrypt、Quant Loader、Isrstealer及Mirai,圖1為遭受不同惡意程式感染的國內IP 數量趨勢概況。
- 6月 03 週三 202015:39
TWCERT/CC 近期監控到四種惡意程式的感染趨勢增加,提醒大家注意防範
TWCERT/CC近期發現有四種惡意程式的感染有增加的趨勢,分別名為KratosCrypt、Quant Loader、Isrstealer及Mirai,圖1為遭受不同惡意程式感染的國內IP 數量趨勢概況。
- 6月 01 週一 202016:15
資安廠商揭露駭侵者針對工業 4.0 的攻擊手法
資安廠商趨勢科技發表研究報告,指出駭侵者可能已經發展出針對製造業採用工業 4.0 架構的工廠的攻擊手法。
資安廠商趨勢科技發表研究報告,指出駭侵者可能已經發展出針對製造業採用工業 4.0 架構的工廠的全新攻擊手法,即使是處在隔離境中的製造設備,也可能遭受攻擊。
報告指出,一般傳統攻擊方式,如使用惡意程式等的攻擊手法,通常會被已經相當普及的網路防護措施阻擋下來;但該公司和米蘭理工大學合作研究,在該校實驗室與知名大型製造業的設備上,實際模擬出駭侵者可能的攻擊流程。
報告說,工業 4.0 整體架構中的弱點,就是在用來操控各項設備與系統的節點上;雖然大多數工業 4.0 的實際設備可以架設於隔離的內網,但操作節點往往必須與外部公眾網路連接。這就給駭侵者可乘之機。
報告指出,多數製造業採用的設備,已經具備傳統 IT 系統的運算效能;這些多餘效能很可能會被駭侵者利用來執行惡意程式碼,而不被企業發覺。
再者,由於多數設備因為處於內網,其安全主要仰賴環境的隔離,設備本身並不具備較強的資安防護能力,因此只要節點遭到駭入,就有可能導致駭侵者長驅直入,導致設備故障、資料遭竊、生產受到影響等問題。
這份報告也建議所有採用工業 4.0 架構的製造業者,對於這些較脆弱的控制節點,如製造執行系統(MES)、人機界面(HMI)、各種客製化的 IIoT 設備,都應加強資安防護,以避免遭到駭侵突破,成為資安防護破口。
- 5月 29 週五 202017:00
Microsoft對新型勒索病毒PonyFinal提出警告,應立即部署防護措施
Microsoft針對近兩個月氾濫之勒索病毒PonyFinal,提出嚴正警告,企業及組織都應立即部署相關防護措施,避免成為新型勒索病毒的受害者。
根據Microsoft的安全團隊於Twitter中一系列的貼文,近兩個月內,有一款名為PonyFinal的基於Java之新Human-Operated勒索病毒逐漸氾濫。此勒索病毒主要是倚靠人為攻擊者突破企業的網路,並且搜集企業系統及主機的資訊後,針對個別主機之架構或環境,進行最有效率的勒索病毒感染及配置。此種模式導致受害主機除了會遭受勒索之外,更可能有其他惡意程式或機敏資料外洩的威脅,並且透過長時間的隱藏和觀察,可在最佳的時間點感染受害主機後進行惡意行為。
- 5月 29 週五 202015:34
ARMv7 處理器內含的記憶體崩潰漏洞,可能導致智慧車輛遭遠端遙控
網通大廠 Cisco 的資安研究團隊,日前發表研究報告,指出一個內藏在 ARMv7 處理器中的記憶體崩潰漏洞,可能導致任何使用此處理器的裝置受到駭侵攻擊;特別是智慧汽車很可能被駭侵者遠端遙控。
這個漏洞發生在 ARMv7 內 GNU glibc 2.30.9000 的 memcpy() 函數,在處理記憶體資料時發生的程式漏洞;不但可讓駭侵者遠端執行任意程式碼,甚至在程式已經無法執行的情形下繼續遙控。
Cisco 的資安研究人員,在針對智慧汽車進行各種資安滲透攻擊的測試時,發現這個嵌入在在智慧車控系統中的 web 伺服器存有整數溢位錯誤漏洞;由於這個嵌入式的 web 伺服器可經由車內的 Wi-Fi 網路連結存取,因此只要能進入該無線網路的人,都可以存取該伺服器,進而發動攻擊。
Cisco 在其研究報告中,完整描述了利用這個漏洞進行概念證實攻擊的方法與步驟。
這個漏洞的 CVE 編號被定為 CVE-2020-6069,其危險程度評分為 8.1 分,評級為「高」。
值得注意的是,雖然有許多 Unix 家族作業系統也都內建 GNU glibc 函數庫,但如 RedHat、SUSE 等 Linux 發行版都不受這個 CVE-2020-6069 的影響。
CVE編號:CVE-2020-6069
影響版本:ARMv7 各版本
- 5月 28 週四 202016:54
五億 Facebook 用戶個資檔案,遭駭侵者以三萬美元求售
資安媒體揭露某駭侵者於駭侵相關論壇上,以三萬美元價格兜售大批 Facebook 用戶個資,據稱受駭用戶人數高達五億人。
資安媒體 HackRead.com 獨家報導指出,某駭侵者於一個惡名昭彰的駭侵相關論壇上,以三萬美元價格兜售大批 Facebook 用戶個資;據稱受駭用戶人數高達五億人。
據該媒體報導,駭侵者於本月12日開始在論壇上出售這批個資。駭侵者宣稱資料收集自 82 個不同國家,其中包括台灣在內。
這批臉書用戶個資的資料欄位相當完整,包括用戶名稱、性別、所在地點、城市名稱、姓氏、職業、婚姻狀態、手機號碼、Emal 地址和臉書個人檔案頁面網址等。
以下是駭客宣稱這批資料中來自主要國家臉書的用戶人數:
阿根廷:230萬人
奧地利:730萬人
孟加拉:380萬人
加拿大:340萬人
智利:680萬人
中國:67萬人
哥倫比亞:1790萬人
捷克:130萬人
埃及:4480萬人
法國:1980萬人
香港:290萬人
印度:610萬人
伊拉克:1700萬人
義大利:3560萬人
日本:42萬人
約旦:310萬人
科威特:446萬人
墨西哥:1330萬人
荷蘭:540萬人
摩洛哥:1890萬人
奈及利亞:1163萬人
阿曼:500萬人
俄國:990萬人
沙烏地阿拉伯:2880萬人
新加坡:300萬人
南非:1430萬人
西班牙:1080萬人
蘇丹:940萬人
敘利亞:690萬人
台灣:73萬人
突尼西亞:1950萬人
阿聯:690萬人
英國:1150萬人
葉門:720萬人
- 5月 27 週三 202015:04
Android 平台漏洞 StrandHogg 2.0 可導致裝置上的 App 遭挾持
資安廠商 Promon 的研究人員,近日發表一篇針對 Android 平台安全性的研究報告,揭露一個名為 StrandHogg 2.0 的嚴重資安漏洞,可能導致用戶手機和平板上的 App 遭到挾持,多種機敏資訊亦可能遭竊。
StrandHogg 2.0 的運作原理,和去年發現的 StrandHogg 相當類似,都可在感染後將自己隱藏在正常的軟體身後;當用戶開啟正常軟體時,真正執行的並不是這個正常版的軟體,而是植入了惡意軟體程式碼的「分身」。
新版 StrandHogg 2.0 除了上述的類似功能外,還能讓惡意軟體偽裝成任意的 Android App;先前的版本只能偽裝成 TaskAffinity 這支 App,甚至能在用戶點按開啟任何 App 時立刻偽裝成該 App。
用戶一旦感染利用此嚴重漏洞的惡意軟體,各種透過遭偽裝 App 進行的活動記錄和產生的資訊,都可能曝露在嚴重資安風險之下;包括各種通聯記錄、相片或影片、各種登入資訊、金融帳戶活動與登入個資、手機所在位置座標資料等,都有可能被竊。
目前尚未傳出有任何攻擊行動是基於 StrandHogg 2.0 這個嚴重漏洞,資安廠商 Promon 發展出了概念證明的範例攻擊程式,同時提供說明影片。
這個編號為 CVE-2020-0096 的危險程度評分高達 7.8 分,屬於「高」危險等級。過去針對第一代 StrandHogg 的修補手法,並不適用於 StrandHogg 2.0。
Google 已針對這個漏洞發表適用於 Android 9、8.1、8 的修補程式;但較舊的 Android 版本仍有近四成的使用量,尚未獲得適當的修補。最新版的 Android 10 並無此一漏洞。
CVE編號:CVE-2020-0096
影響版本:Android 9 與之前版本
解決方案:Android 9、8.1、8 用戶可更新至最新版本,其餘較舊版本尚無修補工具
- 5月 27 週三 202014:06
駭侵者以肺炎為名,透過魚叉式網路釣魚,散布惡意 Excel 檔
微軟資安研究團隊指出,觀測到有駭侵者利用主題為肺炎大流行資訊的魚叉式釣魚信件,散播內含遠端遙控工具的惡意 Excel 檔。
微軟資安研究團隊日前指出,該團隊觀測到五月上旬開始有駭侵者,利用主題為肺炎大流行資訊的魚叉式釣魚信件,散播內含遠端遙控工具的惡意 Excel 檔。
微軟說,駭侵者將信件偽造為寄自約翰霍普金斯大學的疫病相關研究單位,信件標題為「世界衛生組織 COVID-19 疫情報告」(WHO COVID-19 SITUATION REPORT),用以取信被害人。
在這封魚叉釣魚郵件中夾帶的惡意 Excel 檔,名稱為「covid_usa_nyt_8702.xls」,屬於Excel 4.0 格式;打開後會看到一個安全提問訊息;如果用戶同意的話,就會自網路上下載一個巨集程式,同時執行內含的 RAT 遠端遙控工具。
雖然這個稱為 NetSupport Manager 的 RAT 遠端遙控工具,本身並非惡意軟體,而是系統管理者經常用來遠端控機其他主機的常用軟體,但過去經常傳出該工具被駭侵者惡意運用的案例。
以這個案例來說,一旦成功執行巨集中的 NetSupport,駭侵者就會在受害系統中植入多個 .dll、.ini、.exe 等程式,同時安裝一個 VBScript,再透過 PowerSploit 連線到一台駭侵攻擊使用的控制伺服器。
- 5月 25 週一 202011:38
印尼近 230 萬選民資料,遭駭侵團體曝光
印尼選委會表示,該國有近 230 萬名選民的個資,遭駭侵團體於其網站公開;駭侵團體更威脅將公開更多選民資料。
負責印尼大小選舉事務的印尼選舉委員會,於上周五公布資安通報,指出有駭侵團體於其網站,公布近 230 萬名印尼選民的個資;其檔案大小高達 2.36GB。
這批資料是在上周三公布在一個專門討論駭侵相關議題的論壇上,印尼選委會隨後證實這批資料的正確性,並表示部分資料可追溯到 2013 年。資安專家指出,這些個資足以讓受害者面臨後續的詐騙或其他駭侵風險。
印尼選委會否認該批資料係直接自該單位所屬的伺服器中竊得。印尼法律規定,這類選務資料須分享給各政黨與總統候選人,因此有可能是從其他來源外洩。
竊取該批選民資料的駭侵團體,並未自行透露身分,但除了公布這批 230 萬人的個資外,還在該論壇留言,表示將在近期公開另外兩億名印尼選民的個資。
以去年為準,印尼共有一億九千兩百萬名選民,有資格在中央和地方選舉中投票。
印尼最近頻頻傳出個資竊取事件,五月初印尼主要的電子商務平台 Tokopedia 剛發生大規模個資遭竊事件,有九千一百萬名客戶的個資遭駭侵團體竊走。
印尼公民團體十分憂心這類事件一再發生,顯示印尼政府和民間單位的資安防護過於薄弱,漏洞百出。
印尼選委會目前已經開始調查整個駭侵案件的來龍去脈,但公民團體認為這麼大量的選民個人資料,應享有更強大的防護措施。
- 5月 22 週五 202012:50
巴基斯坦三家電信業者,遭駭侵團體 Greenbug 長期竊聽
資安廠商指出,一個名為「綠臭蟲」(Greenbug)的駭侵組織,近來被發現長期駭入巴基斯坦三家電信業者的主機中,進行資料竊取與監聽活動。
資安廠商賽門鐵克(Symantec)日前發表研究報告,指出一個名為「綠臭蟲」(Greenbug)的駭侵組織,近來被發現長期駭入巴基斯坦至少三家電信業者的主機中進行資料竊取與監聽活動。
賽門鐵克說,這個綠臭蟲駭侵團體,利用虛擬「通道」長期和受害電信業者中的某些遭駭主機連線,持續不斷從這些業者中竊取各種機敏資訊。
賽門鐵克指出,Greenbug 混合利用市面上現成的各種攻擊工具,以及「離地攻擊」(Living-of-the-land)手法,以資料庫主機為主要的攻擊目標;先試圖竊取登入這些主機的帳密組合,接著再嘗試登入,以控制受害主機。
在報告中,賽克鐵克認為 Greenbug 和伊朗有關,也可能是過去造成極大破壞的 Shamoon 駭侵團體的分支。Shamoon 曾經在沙烏地阿拉伯的某些目標,發動清空儲存裝置以破壞資料的攻擊行動。
但賽門鐵克也說,目前尚未發現 Greenbug 利用何種管道入侵受害系統,只知道他們從去年十月就開始鎖定攻擊目標;其中一家電信業者的某台主機,被駭侵者透過內建的 Powershell 界面下了一些攻擊用的指令,安裝了一個稱為 CobaltStrike Beacon 的模組,以進行第二階段的駭侵攻擊;更被用來在該公司的內部網路中尋找目標,建立攻擊行動控制伺服器。
- 5月 22 週五 202012:38
泰國 Android 用戶遭 WolfRAT 鎖定,攻擊熱門聊天 App 以竊取資訊
資安廠商指出,一個名為 WolfRAT 的惡意軟體,現正鎖定泰國的 Android 用戶進行大規模攻擊,竊取用戶在熱門聊天 App 中的對談記錄與各種資訊。
資安廠商 Cisco Talos 的研究人員近日發表研究報告,指出有一個名為 WolfRAT 的惡意軟體,現正鎖定泰國的 Android 用戶進行大規模攻擊;用戶一旦不慎安裝含有 WolfRAT 的 App,App 內含的惡意程式碼,就會在背景中竊取用戶於熱門聊天 App 中的對談記錄與各種資訊。
這個 WolfRAT 惡意軟體,目前仍在積極發展中;研究人員指出它會暗藏於偽裝成一般正常的 App 內,一般不那麼熟悉資安議題的用戶,很難光從 Google Play Store 中的訊息判斷其是否為安全的應用程式,甚至會以為這些惡意 App 是 Android 作業系統的必備程式。
一旦用戶下載後,WolfRAT 便會開始竊取用戶在常用聊天軟體如 WhatsApp、Facebook Messenger 中的對話記錄、用戶名單、簡訊通聯記錄等機敏資訊。
研究人員表示,他們也觀察到 WolfRAT 開始針對 LINE 在東南亞的廣大用戶群發動攻擊;即使用戶開啟更強的端到端加密通訊,也還是處在被 WolfRAT 監聽的風險之下。
研究人員說,他們認為 WolfRAT 很可能是由德國境內的惡意軟體開發團隊 Wolf Research 主導開發工作,並透過釣魚郵件或垃圾訊息中的連結來散布,例如在泰國找到的一個惡意軟體控制伺服器,其外顯的內容就是和泰國美食有關。
資安宣導 (2)