圖片來源: 

ESET

3/11-3/17 一定要看的資安新聞

 

#漏洞攻擊  #Exchange

Exchange重大漏洞已有超過10組駭客用於發動攻擊

傳出自1月初遭中國駭客組織Hafnium濫用的Exchange漏洞,資安廠商ESET發現在微軟即將發布修補程式前夕,開始有其他攻擊者也利用相關漏洞來發動攻擊!該公司至少發現了11組駭客,他們將這些漏洞搭配不同的作案工具發動攻擊。

除了ESET的發現之外,也有其他資安人員看到不同的攻擊行動也濫用相關漏洞。像是資安研究人員發現名為DearCry的勒索軟體殭屍網路程式Lemon Duck,近期也藉由這些漏洞入侵Exchange伺服器。詳全文

圖片來源:ESET

 

#供應鏈攻擊  #視訊監控

視訊監控系統服務業者Verkada遭駭,15萬臺監視器畫面外流

提供視訊監控服務的業者一旦遭到入侵,很有可能曝露用戶的一舉一動。矽谷專門提供視訊監控系統的Verkada,近日傳出遭到入侵,使得駭客取得15萬臺監視器的即時影像,受害者包含電動車大廠特斯拉、DNS服務業者Cloudflare,以及警察局、醫院、監獄等。而其中發動攻擊的始作俑者之一,疑似就是瑞士開發人員Tillie Kottmann,他曾在GitHub公布50家企業的軟體原始碼,與公布Intel被外洩的資料而引發爭議。詳全文

 

#漏洞揭露

應用交付網路設備業者F5修補BIG-IP與BIG-IQ重大漏洞

應用交付網路設備業者F5近日發布漏洞公告,受影響的系統為BIG-IP與BIG-IQ軟體平臺,共7個漏洞,而其中4個關鍵漏洞的CVSS風險評分,分數高達9.0分至9.9分,分別是CVE-2021-22986、CVE-2021-22987、CVE-2021-22991、CVE-2021-22992,主要都是RCE漏洞,同時,CVE-2021-22986、CVE-2021-22987也與身分驗證有關。美國網路安全暨基礎架構安全署(CISA)也於同日,呼籲用戶儘速修補上述漏洞。詳全文

 

#漏洞攻擊  #Accellion

針對延燒3個月的漏洞攻擊事故,Accellion公布調查結果

駭客近日針對Accellion檔案傳輸系統FTA進行攻擊的事故,該公司於2月初委託FireEye旗下的Mandiant進行調查,並於近日公布最終的調查結果,攻擊者於去年12月和今年1月,濫用不同的漏洞向這套系統的用戶下手。Mandiant指出,駭客對於FTA極為熟悉,使得他們能串連漏洞來發動不需身分驗證的RCE攻擊。詳全文

 

#APT攻擊  #Linux  #Winnti Group

中國駭客瞄準Linux系統植入後門程式RedXOR,臺灣與印度出現受害者

網頁應用程式資安業者Intezer近日揭露,鎖定Linux伺服器的惡意程式RedXOR,背後疑似是中國駭客組織Winnti Group(APT41)出手,相關的攻擊事故已在臺灣和印度出現。而這個惡意程式的名稱由來,與該惡意軟體會使用XOR演算法加密網路流量有關。

研究人員提到,他們看到受害者上傳至VirusTotal的RedXOR,在3月10日,60多款防毒引擎僅有1家判別為有害。詳全文

圖片來源:Intezer

 

#DDoS攻擊

勒索軟體駭客組織REvil推出DDoS攻擊服務,號召企業購買以向媒體施壓

勒索軟體組織越來越猖狂,根據資安研究人員3xp0rt的揭露,發現REvil竟揚言提供DDoS攻擊服務,讓企業買來向媒體恐嚇。而勒索軟體駭客組織濫用DDoS攻擊手法已非首例,有資安業者發現,於2020年下旬,就有駭客藉由這種方法迫使勒索軟體受害者付贖金。詳全文

圖片來源:3xp0rt

 

#漏洞揭露  #網頁瀏覽器

Google瀏覽器再傳出漏洞已遭濫用於攻擊行動

Google再度針對Chrome發布新版本89.0.4389.90,而值得留意的是,本次已是他們於3月的第2個、今年第3度針對已遭濫用的漏洞進行修補。這項已出現攻擊行動的漏洞為CVE-2021-21193,與該瀏覽器的排版引擎Blink有關,一旦遭濫用,將引發使用已釋放記憶體(Use-After-Free)的情況,攻擊者進而能在受害電腦執行任意指令。詳全文

 

#網路釣魚攻擊  #圖靈驗證機制

釣魚郵件攻擊者濫用reCAPTCHA讓受害者更容易上當

網站為了驗證上網用戶是人類的工具,竟然也被駭客用來做為取信受害者的手法!資安廠商Zscaler的研究人員揭露,他們發現有釣魚郵件攻擊的駭客自2020年12月,開始仿造Google驗證真人與機器人的機制reCAPTCHA,而且同時針對多個產業類型的高階員工而來。

該公司指出,一旦受害者開啟附件,就會被引導到假的reCAPTCHA網站,再騙取受害者的微軟帳號資訊。詳全文

 

#開發安全  #軟體供應鏈安全

Google、紅帽與Linux基金會啟動Sigstore開源軟體認證專案

為改善軟體供應鏈的安全問題,最近一項名為Sigstore的專案正式發起,這是由Linux基金會與Google、紅帽等大廠,所共同推動的計畫。

在過去,很少開源專案會透過密碼簽署軟體版本,原因在於金鑰管理的難題,而Sigstore計畫將提供可安全簽署軟體憑證的服務,將免費提供開發者與軟體供應商。對所有開發者而言,Sigstore專案的發展相當值得關注。詳全文

 

#網路詐騙  #金融業

為遏止詐騙與盜刷歪風,銀行公會擬修改安控基準,增加3道關卡防範

在農曆新年期間,歹徒鎖定國泰、台新等銀行用戶,以冒名網路銀行的簡訊騙取帳號與密碼,並將帳戶裡的錢轉走。根據蘋果日報的報導,金融監督管理委員會為了防堵這種情況持續惡化,要求銀行公會研擬對策,銀行公會理監事會於3月初,通過修改「電子銀行業務安控基準」,藉由新增3大措施來因應這類情況。

這些措施涉及數位帳戶、手機支付與ATM轉帳,以及簡訊重設轉帳密碼等情境。首先,民眾以手機門號開立數位帳戶時,必須加入視訊機制查核帳戶所有者;再者,對於手機支付5千元、ATM轉帳1萬元以上,銀行必須通知用戶;第3項新規定,則是針對採用固定密碼轉帳的用戶,銀行需增加防護措施,以防範駭客在民眾重設密碼時下手。

 

 

更多資安動態

美司法部查獲假冒生技公司的網站及域名
英特爾、微軟參與美國軍方DARPA的全同態加密專案
資安業者揭露Supernova攻擊者身分為中國駭客組織
5個駭客論壇於近2個月內傳出遭到入侵


熱門新聞

Advertisement