0509-0515 一定要看的資安新聞

 

#加密貨幣安全  #漏洞攻擊

全球最大加密貨幣交易中心幣安遭駭

數位貨幣交易所遭駭的情況不斷發生,全球最大交易所幣安(Binance)在5月7日公告,駭客藉由安全漏洞,取得大量的用戶金鑰、雙因素認證碼等資料,然後一口氣領走超過7,000個比特幣,相當於4,200萬美元。

幣安執行長趙長鵬(Changpang Zhao)表示,駭客使用了網路釣魚、病毒等手法入侵,並且耐心等待最佳出手時機,再透過多個看似獨立的帳號,一次領走大量比特幣。遺憾的是,直到駭客盜走比特幣時,觸發多個警報系統,他們才發現遭到攻擊。

雖然,駭客只盜走存放於熱錢包(Hot Wallet)中的比特幣,總共占交易所持有數量的2%。這也讓幣安決定進行全面資安稽核,估計需耗時一周,這段期間只允許交易,暫停存款及取款業務。詳全文

 

#特權帳號漏洞  #漏洞攻擊

以小巧著稱的Alpine Linux,存放在 Docker Hub的映像檔出現根帳號漏洞

思科安全人員發現,Alpine Linux的Docker映像檔裡,出現根帳號(Root)密碼為空(NULL)的漏洞,允許攻擊者繞過密碼檢測,直接存取系統。

這套Linux作業系統以輕巧著稱而受到歡迎,Docker映像檔大小更只有5MB,遠小於大多數的Linux發行版。在Docker Hub裡,Alpine Linux的映像檔下載次數超過千萬。

這項漏洞在2015年首度被發現,並且已經得到修補,但在當年底的迴歸測試中,又陰錯陽差再度出現,導致3.3版以後的Docker映像檔,都存在這個漏洞。為避免系統遭到不當存取,思科建議用戶應該要停用根帳號。詳全文

 

#挖礦攻擊  #應用系統安全

兩大挖礦駭客集團在雲端Linux環境爭地盤

安全廠商Intezer發現,駭客團體Pacha鎖定雲端Linux伺服器,自2018年9月開始,植入變種挖礦軟體Linux.GreedyAntd。這個駭客組織最早由思科發現,不過,相較於該組織先前使用的挖礦軟體,GreedyAntd具備較為特殊的攻擊能力,以致於迄今才被發現。

研究人員指出,GreedyAntd與另一個駭客組織Rocke較早推出的同名挖礦軟體相比,有許多相似之處,包含具備檔案路徑黑名單、關閉防毒軟體,以及鎖定協同工具Atlassian Confluence的漏洞等。不過,研究人員指出,GreedyAntd並非單純模仿,該挖礦軟體植入受害伺服器後,還會移除Rocke,並封鎖Rocke所採用的基地網域,因此研究人員研判,這兩個駭客組織正在搶奪地盤。詳全文

 

#漏洞攻擊  #中國菜刀

微軟SharePoint伺服器的執行任意程式碼漏洞已遭濫用

加拿大國家網路安全中心警告,微軟SharePoint伺服器可讓駭客執行任意程式碼漏洞,目前已有惡意程式用來發動攻擊。該單位在4月底時,偵測到駭客濫用編號為CVE-2019-0604的漏洞,在SharePoint Server植入中國菜刀(China Chopper)後門程式。目前加拿大遭駭的SharePoint系統,分布於學校、公用事業、重工業、製造,以及科技產業單位。微軟也在2月和3月時,修補多個版本SharePoint漏洞。

無獨有偶,沙烏地阿拉伯資安中心也在上周公告,境內企業遭到中國菜刀攻擊,根據推斷,發生時間和加拿大差不多。不過,由於中國菜刀在駭客攻擊時應用算是相當普遍,兩國出現的事件很可能沒有關連。詳全文

 

#漏洞攻擊  #附加軟體安全

ESET發現鎖定微軟Exchange伺服器攻擊的後門程式

資安業者ESET揭露專門鎖定微軟Exchange伺服器的後門程式LightNeuron,它會充當Exchange的傳輸代理程式(Transport Agent),進而干預使用者收發的郵件,再者,駭客集團還能透過電子郵件來操縱LightNeuron。

微軟允許Exchange用戶安裝客製化的附加軟體,來增強處理郵件的能力,其中的傳輸代理程式,受到郵件系統信任的程度等同於垃圾郵件過濾功能,因此,當駭客於Exchange上植入LightNeuron,這個惡意軟體就能讀取及變更任何通過該郵件伺服器的信件,甚至還能撰寫與傳送新郵件,或是進行封鎖。

ESET指出,全球至少3個組織感染LightNeuron,一個是東歐外交部,另一個為中東的區域外交組織,還有一個位於巴西。詳全文

(圖片來源)WeLiveSecurity

 

#物聯網裝置安全  #漏洞濫用

中國製GPS追蹤器傳出安全漏洞

英國資安業者Fidus Information Security披露,某家中國業者製造的GPS追蹤器含有多個重大的安全漏洞,將允許遠端駭客得知用戶位置、啟用麥克風以進行竊聽,或是重置裝置設定,而且該業者與多個品牌合作,在全球市場皆有舖貨,估計光是在英國,就有超過1萬臺含有相關漏洞的GPS追蹤器。

這款追蹤器內建PIN碼功能,但預設為關閉,而且,有兩項工作完全不需PIN碼驗證就能執行──重啟與重置裝置。這樣的情況,導致使用者就算啟用了PIN碼保護機制,一旦裝置遭到重置,遠端的親友完全不需要PIN碼,就能下達任何命令。

Fidus指出,要修補相關漏洞並不難,但這些裝置已被不同的廠商銷售到世界各地,必須大規模召回才能修補。詳全文

 

#物聯網裝置安全  #雲端配置不當

三星SmartThings等十多項專案程式碼、加密金鑰外洩

安全研究人員發現,南韓大廠三星於GitLab上,存放了十多項專案等機密資訊,包括SmartThings的程式源碼、帳密和加密金鑰的資料夾等,均未設密碼公開於網路上,恐有外洩之虞。

三星在4月10日接獲通報,他們表示,這些都只是測試資料,但研究人員看到的某個Android App程式碼,和4月上架Google Play的版本完全一樣,顯示應該不只是測試用的檔案。詳全文

 

#國家級攻擊  #資料竊取

 

北韓政府使用的新型駭客工具曝光!

美國國土安全部(DHS)與聯邦調查局(FBI)聯手,公布了由北韓政府支持的駭客集團Hidden Cobra近期使用的新工具ElectricFish,提醒各界要多加防範。

ElectricFish為命令列的隧道後門工具,駭客便能在回避企業多種網路防護措施下,暗中將機密傳送出去。詳全文

(圖片來源)美國網路安全暨基礎設施安全局

 

#網路犯罪  #用戶身分冒用

偵九隊揭露臺灣網路金融犯罪手法追查細節

當金融科技利用網路與數據創新服務的同時,駭客也可能用來犯罪,因此,刑事警察局偵九隊大隊長林建隆認為,網路銀行必須採取更積極的態度,來避免服務被當成犯罪工具。

網路金融犯罪手法主要可分為兩類型,一是以金融機構或客戶為目標,阻斷金融服務、駭入網站竊取資料、網路盜轉帳或盜領ATM;另一種則是將金融服務作為犯罪工具,包括利用國際金融業務分行(OBU)帳戶洗錢,以及使用金融支付或是人頭戶,進行詐騙。

面對因網路金融服務而衍生的犯罪,林建隆表示,銀行「了解你的客戶(Know Your Customer,KYC)」驗證作業上,不只要識別個人身分,還應該納入數位資訊的檢驗,如IP位址、App資訊,以及載具資訊等。詳全文

攝影/翁芊儒

 

更多資安動態

下一代Android,將能透過Google Play直接更新作業系統元件
防劍橋分析事件重演,臉書控告南韓業者濫用用戶資訊
美國聯邦通訊委員會以國安為由,禁止中國移動進入美國市場
打算讓Firefox整合更多Tor隱私功能,Mozilla贊助研究經費
當企業軟體更新服務被駭客盯上


Advertisement

更多 iThome相關內容