資安一周[0318-0324]：惡意軟體MajikPOS竊取使用者信用卡資料，美國運通卡、萬事達、VISA遭殃

重點新聞（03月18日-03月24日）

美司法部指控4名俄羅斯人員，涉嫌參與雅虎2014年5億筆個資遭竊案

美國司法部發出正式聲明表示，他們指控兩名俄羅斯聯邦安全局（FSB）人員和兩名俄羅斯駭客，涉嫌竊取雅虎在2014年發生的5億筆資料外洩案。聲明中指出，這些駭客未經授權存取雅虎會員的資料，之後利用這些受害者個資內容，繼續盜取同一人的Google、Hotmail和其他電子郵件帳戶，這些帳戶包含俄羅斯官員、美國官員、記者、金融機構人員等，其中有3,000萬個帳戶被利用來傳遞大量垃圾郵件。更多資料

PoS惡意軟體MajikPOS出現，駭客公開販售23,400筆遭竊的信用卡資料

趨勢科技於3月15日表示，駭客利用新出現惡意軟體MajikPOS，竊取消費者的信用卡資料，並且公開在網路販售遭竊的信用卡資料，目前查到有23,400筆資料在網路販售。北美地區1月底開始傳出災情，出現零售店刷卡機和PoS機感染惡意軟體MajikPOS。消費者信用卡若透過遭感染機器掃描時，信用卡資料也會立即同步傳回駭客的電腦，目前得知受影響信用卡有美國運通卡、大來卡（Diners Club）、萬事達卡（Mastercard）、Visa和 Maestro等。MajikPOS利用 .NET Framework開發，它會偽裝Windows系統常見的檔案名稱，系統很難偵測到該惡意程式。趨勢科技研究員指出，如果設備有裝設端對端加密（EMVs）晶片，就能減少受感染機會。除此之外，趨勢科技建議，IT人員必須定期檢查，PoS裝置的遠端遙控功能是否暴露在網路上，避免受到外部攻擊。更多資料

資安人員發現Windows新零時差漏洞，利用工作管理員程式1分鐘就可入侵電腦

資安研究人員Alexander Korznikov近日發現一個新的Windows零時差漏洞，駭客僅利用工作管理員與Windows命令列，獲得本機系統帳戶（NT AUTHORITY / SYSTEM）權限，操控任何連接在同一臺伺服器的電腦，之後駭客利用遠端桌面協定（RDP），來竊取任何電腦內的資料。駭客不需要利用任何惡意軟體，在不到1分鐘的時間，連休眠的電腦也能駭。Korznikov目前測試Windows 2012 R2、Windows 2008、Windows 10、Windows 7系統，發現都存在這項零時差漏洞。更多資料

中國程式開發者長期秘密在常見驅動程式建後門

Malwarebytes資安研究人員在中文論壇發現，有不知名中國程式開發者從2013年開始秘密安裝中文潛藏程式（Potentially Unwanted Program，PUP）在某些驅動程式中，如Android開發工具包、Wi-Fi 熱點應用程式、USB驅動程式、日曆程式、驅動程式更新器等中文程式。這些潛藏程式包含後門程式，除了允許第三方可以在Windows電腦上安裝未簽證的驅動程式之外，還能提高使用權限入侵使用者電腦，任意執行程式碼。更多資料

Google報告：2016年駭客入侵網站數量增加32%

Google表示，與2015年相比，2016年被駭客入侵的網站增加了32%，其中，有61%網站因為沒有通過Search Console驗證，所以當駭客入侵時，沒有收到Google警告通知，而且大部分是老舊、未更新的網站，駭客未來會更積極地利用這些網站發動攻擊。除此之外，Google也發現，駭客經常利用目標網站關鍵字，誘拐使用者點擊進入，之後引導使用者進入色情網站、販賣假商品的購物網站，以及藏有惡意程式的網站，可能竊取使用者個人資料或信用卡資料。更多資料

印度麥當勞App洩漏220萬筆用戶個資

根據科技部落格Hackernoon於17日披露，印度麥當勞的手機應用程式McDelivery洩漏了超過220萬筆用戶的個資，包括姓名、電子郵件信箱、電話、住址、社交網站等個資。由於印度缺乏與個人資料保護和隱私權相關的法律，導致當地的企業對個人資料保護不足。目前印度麥當勞高級IT主管還在確認資料外洩的原因。更多資料

思科自曝318款交換機有漏洞，可能已遭CIA滲透

思科於20日發布安全公告，坦言自家高達318款網路交換機產品軟體存在一項漏洞，CIA或外部駭客可利用該漏洞，在遠端下指令來執行惡意程式碼，來取得控制權。這項漏洞位於Cisco 作業系統IOS及IOS XE中的叢集管理協定（Cluster Management Protocol，CMP）。攻擊者可以利用經改造過的CMP專屬Telnet指令，傳送到有漏洞的Cisco產品，來任意執行程式碼，最後取得裝置的所有控制權，或引發受害裝置重新載入惡意程式碼。目前發現，總共有300多臺產品受到影響，包括Catalyst交換機、工業用乙太網路交換機及嵌入式服務。思科呼籲，使用者立即關閉Telnet，改使用SSH通訊，至於其他無法或不願關閉Telnet協定者，可以建立基礎架構，存取控制表（iACL）來強化流量控管。更多新聞

US-CERT警告：駭客利用HTTPS監聽產品，鎖定企業發動中間人攻擊

美國電腦緊急應變小組（US-CERT）近日向全美企業提出警告 ，那些可監聽HTTPS通訊的資安產品，會降低傳輸層安全協定（TLS）的安全性，危及安裝此HTTPS監聽產品有關的所有系統。HTTPS監聽方法是在客戶端與伺服器端之間建立中間代理人，類似中間人攻擊（man-in-the-middle）的手法，這些可執行HTTPS監聽的資安產品會先攔截流量和檢查流量內容，之後重新建立客戶端和伺服器端的連結。但是，US-CERT指出，這些資安產品若未能執行適當驗證或正確傳達驗證狀態，會造成客戶端落入中間人攻擊的風險，目前有58項資安產品受影響。US-CERT建議，企業在計畫導入HTTPS監聽產品時，必須仔細評估其利弊，同時採用其他的措施，確保端對端的通訊安全。更多新聞

無檔案攻擊、DNS PowerShell攻擊疑是同一駭客組織所為

安全業者Morphisec研究人員在3月8日調查，一個利用透過網釣郵件傳送包含惡意巨集的Word檔案，鎖定特定知名企業發動無檔案攻擊。駭客利用郵件釣魚方式，誘騙使用者開啟具有惡意巨集的Word文件檔。使用者開啟文件後，立即啟動巨集，並且利用Windows Management Instrument （WMI）執行PowerShell代理程式，來開啟與外部C&C伺服器連線的後門。Morphisec分析C&C伺服器的腳本發現，它與本月初思科Talos部門發現的PowerShell無檔案攻擊所使用的伺服器十分類似。不僅如此，其他腳本語言及物件與2月初卡巴斯基發現，攻陷大型銀行、電信及政府機構的Meterpreter無檔案攻擊惡意程式，以及最近FireEye發現，竊取處理美國證管會文件的人員的惡意程式有關。Morphisec認為，這起案件可能和今年幾起重大攻擊類似，都是出自名為Fin7的駭客組織。更多新聞

整理⊙黃泓瑜