最近的2至3個星期裡,資安業者不斷揭露盯上購物季的電子商城Magecart側錄攻擊行動,駭客的攻擊手法又比起過往更加隱密,且有不少側錄攻擊是鎖定WooCommerce軟體架設的商城而來。但在交易資料的安全之外,因疫情而升溫的線上掃貨Grinchbot惡意程式攻擊,也是值得注意的現象,攻擊者透過這種機器人,在短短幾秒之內搶下數百種商品,讓一般消費者無法直接買到,被迫要加價向網路黃牛購買。這種情況究竟有多嚴重?美國在11月底通過《停止Grinch Bot法案(Stopping Grinch Bots Act.)》,並獲得多個消費者組織的支持。

除了網路購物存在個資外洩與網路黃牛的問題,零售業的實體門市也是攻擊者下手的目標──跨國連鎖商店Spar在北英格蘭有部分門市遭到攻擊,而使得營運受到衝擊。另一個攻擊行動隱含的資安危機同樣要留心:北美有多家零售業者的收銀機(POS),印出了大辭職(Grand Resignation、亦稱Big Quit)勞工運動文宣,雖然是煽動員工要求集體爭取加薪、待遇不佳就應該考慮另謀高就,但這隱含了攻擊者能夠入侵門市並操控收銀機為所欲為的資安威脅。

說到了美國因武漢肺炎而出現的大辭職運動,因武漢肺炎變種病毒Omicron疫情升溫,相關網釣攻擊近期也有再度增加的現象。其中有人假冒英國國家衛生部(NHS)的名義來對當地民眾下手,使得當地的消費者保護組織特別提出警告。

【攻擊與威脅】

掃貨惡意程式Grinchbot攻擊流量在黑色星期五增加7成

在11月的購物季,各電商平臺無不磨拳擦掌,推出限定、限量的商品來吸引顧客,但購物黃牛透過機器人程式蒐括這些限定商品,再轉手高價賣出的現象也值得注意。資安業者Imperva指出,有人利用名為Grinchbot的機器人,在11月的購物季大肆搶購限定商品的現象,較10月份多出了73%的流量。而在整個11月裡,又以黑色星期五和網路星期一達到流量高峰。

Magecart側錄攻擊鎖定WooCommerce電商網站而來

側錄線上交易的Magecart攻擊行動,過往有不少事故是針對Magento電子商務平臺而來,但資安業者RiskIQ最近提出警告,他們發現近期鎖定WooCommerce電子商務平臺的攻擊增加,並介紹新的側錄工具WooTheme、Slect、Gateway,呼籲電商網站留意。

駭客濫用Google Tag Manager服務,發動Magecart側錄攻擊

駭客針對電子商城網站發動Magecart攻擊,自2020年起開始運用多項Google的服務,如今又多了一種「Google Tag Manager(GTM)」,這項工具的用途,是提供網站管理者部署Google Ads、Google Analytics、Floodlight或第三方合作夥伴的程式碼,而無須大幅修改網站本身。但攻擊者運用這項工具自建容器發動攻擊,極為難以察覺。資安業者Gemini Advisory指出,他們自2021年2月4日開始,觀察到至少有316個電子商務網站,感染了木馬化的GTM容器,被攻擊者用來發動Magecart側錄攻擊。

連鎖商店Spar遭到網路攻擊,波及330家英國門市

在全球擁有1.3萬家門市的Spar,傳出英國北部門市遭到網路攻擊,使得許多店家被迫暫停營業,或是只能使用現金交易。根據當地媒體BBC報導,攻擊者鎖定位於蘭開夏郡普雷斯頓的James Hall & Company下手,該公司經營Spar當地的收銀機和IT系統,使得他們經營的逾300家門市受到波及。英國國家網路安全中心(NCSC)證實確有此事,並與蘭開夏郡警方著手調查事故發生的原因。

北美零售業者收銀機被挾持,列出辭職運動標語

根據Motherboard的報導,北美多家零售業者的IT人員發現,他們的收銀機(POS)系統傳出遭到挾持,而陸續印出武漢肺炎疫情下當地流行的「大辭職(Grand Resignation、亦稱Big Quit)」勞工運動文宣,企圖煽動員工離職或是參與罷工運動。這個情況資安業者GreyNoise也提出類似的觀察,並表示攻擊來源主要是來自荷蘭的代管業者,受害者主要位於北美,約有十多起事件。

駭客使用Omicron變種病毒為誘餌,鎖定英國民眾發動網釣攻擊

最早在南非發現的武漢肺炎變種病毒Omicron,近日大舉入侵近40個國家,南非5歲以下兒童大量感染而住院,許多人士即使已經施打2劑疫苗仍然染疫,引起全球恐慌。英國消費者保護組織Which指出,他們發現2個聲稱是英國國家衛生服務部(NHS)的釣魚郵件,內容指出打算為收件人提供免費的PCR測試,來檢測變種武漢肺炎病毒Omicron,一旦收信人點選連結,就會被引導到冒牌的NHS網站填寫資料,並要求支付1.24英鎊的手續費。Which指出,攻擊者並非以收取手續費為目的,而是要竊取受害者的信用卡資料,且在過程中會要求填寫母親的姓名,以便攻擊者接管帳號後,繞過NHS網站的安全問題。

Line Pay外包商員工不慎將行銷資料上傳GitHub,13萬人資料外洩,Line發現後已刪除並公布調查結果

Line Pay服務在12月6日發布公告,說明在11月24日發現,有外包集團公司員工在9月12日,未經許可在GitHub上傳了用於調查使用者參與特定行銷活動的相關資訊,Line公司在發現當日,已將相關資訊從GitHub中刪除,並在11月30日完成存取狀態等調查,這些外洩資訊曾被存取11次。這次事件牽連全球13萬3484人用戶,包含臺灣7萬1631人與日本5萬1543人,資料內容主要是用戶識別碼(不同於Line ID)、商店管理編號,以及活動相關資訊,但不包含用戶姓名、地址、電話,以及信用卡與銀行帳號等資訊,因此確認對用戶沒有影響。

北歐精品酒店集團遭到Conti勒索軟體攻擊

北歐精品酒店(Nordic Choice Hotels)集團於12月2日發出公告,表示他們的IT系統遭到電腦病毒攻擊,導致員工無法協助客人訂房、登記入住、退房,以及處理收費的事宜,他們改以人工處理因應,該集團亦向挪威資料保護局和挪威國家安全局等執法單位通報此事。而到了12月6日,該集團公布初步調查結果,表示目前尚未發現資料遭到外洩的跡象,並透露他們遭到名為Conti的勒索病毒攻擊,但沒有收到攻擊者的勒索訊息。

威聯通警告鎖定NAS的挖礦攻擊行動

臺灣NAS業者威聯通(QNAP)於12月7日發布資安通報,警告用戶新的挖礦攻擊正鎖定該廠牌的NAS設備而來,該公司指出,一旦攻擊者成功入侵,就會執行名為[oom_reaper]的處理程序,此處理程序約會占用50%的中央處理器資源。此外,這個處理程序會模仿核心處理程序,其PID通常大於1000。QNAP呼籲用戶要使用最新的作業系統及附加元件,並且使用強密碼,如果發現NAS遭到感染,則要依照公告的步驟,使用Malware Remover移除惡意軟體。

加密貨幣交易所BitMart被盜走1.5億美元加密貨幣

加密貨幣交易中心BitMart在12月5日證實遭到駭客入侵,指出駭客存取了以太坊(ETH)及幣安智能鏈(BSC)的熱錢包,使得駭客得以提領價值1.5億美元的加密貨幣資產。這起事故最早是區塊鏈資安業者PeckShield發現,起因是他們看到不尋常的大量匯出交易。BitMart宣稱,受到影響的熱錢包僅存放少數資產,其他的錢包則不受影響,在展開徹底的安全檢查之後,該公司預計於12月9日進行系統維護,屆時將暫停所有的交易。

間諜軟體Pegasus監控美國國務院官員

根據Motherboard、華盛頓郵報、路透社等新聞網站報導,至少有9名美國官員收到蘋果公司的警告,他們的手機疑似最近幾個月遭到攻擊者利用iOS漏洞ForcedEntry,來植入以色列網路攻擊公司NSO Group所製作的間諜軟體Pegasus。這些受害者的身分,是處理烏干達事務的美國官員。NSO Group向Motherboard透露,他們已停用發動此起攻擊的使用者帳號,並將與相關的政府當局合作,提供有關資料,以便釐清案情。不過,NSO Group強調,他們被禁止使用美國的電話號碼,而難以得知是那個組織所發動的攻擊。

Google與代管業者合作摧毀Glupteba殭屍網路

攻擊者濫用Google服務的情況相當常見,但別以為Google只會封鎖遭到濫用的帳號和服務。Google於12月7日宣布,他們與網路基礎設施、代管業者聯手,關閉殭屍網路Glupteba所使用的伺服器主機與網址,同時他們也找出發動攻擊的2名俄羅斯駭客,並向美國法院提告。該公司指出,該殭屍網路粗估超過百萬裝置受到感染,受害者遍布美國、印度、巴西,以及東南亞。Google亦封鎖1,183個遭濫用的Google帳號、870個廣告服務帳號,並關閉用來散布殭屍網路病毒的6,300萬個Google Docs文件。

成立半年的Hive勒索軟體已有逾350個組織受害

新興勒索軟體駭客組織Hive崛起的現象,引起研究人員的注意。資安業者Group-IB指出,這個駭客組織於資料外洩網站(DLS)上,列出48個不願付贖金的受害組織,而根據他們的調查,實際遭到攻擊的受害組織數量,自2021年6月底到10月16日,總共超過355個。

17個惡意NPM套件利用即時通訊系統Discord發動攻擊

廣受許多開發人員使用的Node.js套件管理器(NPM),最近幾個月已有多起惡意套件的事故,而最近一起攻擊行動,駭客更是同時濫用即時通訊平臺Discord。資安業者JFrog近期發現了17個惡意NPM套件,其共通點是會竊取Discord用戶的Token,研究人員推測,攻擊者竊取此種Token的目的,可能是要掩飾其他攻擊行動,或是用來散布惡意軟體。

 

【漏洞與修補】

圖像化資料分析系統Grafana修補路徑穿越漏洞

開源的圖像化資料分析解決方案Grafana於12月7日緊急發布更新,修補路徑穿越漏洞CVE-2021-43798,這項漏洞的CVSS風險層級為7.5分,影響本地建置的8.0.0-beta1至8.3.0版Grafana用戶,一旦這個漏洞遭到利用,攻擊者可存取Grafana資料夾以外高權限資料夾路徑,例如存放使用者密碼的/etc/passwd/。Grafana指出,這個漏洞源自於該分析系統安裝的外掛程式URL,而導致該系統容易遭受攻擊。Grafana於12月3日獲報並著手修補,但7日他們得知漏洞已遭公開,且有概念性驗證攻擊程式,決定緊急提供修補程式。此外,Grafana Cloud實體的用戶不受影響。

金融科技平臺的GraphQL恐存在API授權漏洞

最初由Meta開發的開源資料查詢語言GraphQL,因具備較為強大、高效、靈活的網頁API開發特質,也被用於金融產業,但專注API安全的資安公司Salt Security指出,他們調查一家不願透露名稱的企業,所建置的大型金融科技(FinTech)平臺,結果在GraphQL的API串接上存在漏洞,導致一旦遭到利用,攻擊者可對收集他人個資,或是提出未經授權的交易請求。

日誌框架系統Apache Log4j 2修補RCE漏洞,用戶盡速更新至最新版2.15.0

Apache Log4j 2是基於Java的日誌框架,近日他們發布了新版本2.15.0,當中修補了一項遠端程式碼執行漏洞,用戶盡速升級最新版本。根據阿里雲安全團隊的說明,Apache Log4j2的某些功能存在遞迴解析功能,而攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞,並指出Apache Struts2、Apache Solr、Apache Druid、Apache Flink都受影響。目前CVE漏洞編號CVE-2021-44228僅從GitHub Advisory Database找到相關資訊,NIST NVD尚未公開

開源客服系統GOautodial存在路徑穿越漏洞

資安業者Synopsys於12月7日,揭露開源的多合一客服軟體GOautodial漏洞,這個軟體在全球擁有超過5萬個客服中心採用,這些漏洞一旦被攻擊者利用,可在未經身分驗證的情況下存取系統配置資料,或是能使用通過身分驗證的使用者帳號,藉由不受限制的上傳文件漏洞,來執行任意程式碼。GOautodial獲報後約於10月下旬修補相關漏洞。

USB設備網路共享元件存在漏洞,波及多家雲端虛擬桌面解決方案

隨著居家辦公變得普遍,組織開始相當依賴雲端服務,其中,能讓使用者將本地端的USB設備,延伸在組織提供的雲端虛擬桌面上執行,有賴於將USB設備透過網路執行的技術術(USB over Ethernet)達成。資安業者SentinelOne指出,他們發現開源的Eltima SDK,存在27個漏洞,波及Amazon Workspaces、NoMachine、Eltima USB Network Gate等,部分業者獲報後已著手修補。

頂級網域註冊業者的漏洞恐導致Google、Amazon網域遭接管

資安顧問公司Palisade指出,他們在10月8日發現,頂級網域(TLD)服務業者Tonga網路資訊中心(TONIC)的註冊系統存在SQL注入漏洞,導致攻擊者可以修改「.to」頂級網域下,任何網域名稱的名稱伺服器,覆蓋這些網域的DNS設置,將流量重新導向攻擊者的網站。例如,一旦有人控制google.to,將能藉由惡意的account.google.com網址,來竊取Google用戶的Token。

再者,由於.to廣泛被應用於產生短網址,Amazon(amzn.to)、Uber(ubr.to)和Verizon (vz.to)等公司的短網址可能會遭到濫用。他們通報TONIC後,這個漏洞在24小時內就獲得修復。

研究人員揭露由預設URI觸發的Windows 10重大RCE漏洞

利用Windows預設的統一資源標識碼(URI),來執行通用Windows平臺(UWP)應用程式、微軟Office軟體的手法,近期已有攻擊者用於網路釣魚攻擊,誘騙使用者下載惡意程式,但這種機制潛藏的危機恐怕不止於此。資安業者Positive Security揭露,他們發現一項透過IE 11或舊版Edge瀏覽器(採用EdgeHTML排版引擎),與Teams串連而形成的RCE漏洞,攻擊者可藉由Windows 10、11在ms-officecmd:的URI預設值,而能觸發這項漏洞。該公司指控,微軟獲報後雖然發布修補程式,但未完全解決,迄今Windows 11仍存在相關漏洞。

 

【資安產業動態】

臺灣資安鑄造公司成立舉行揭牌儀式,盼帶動資安智慧聯防與產業合作

今年7月,資訊工業策進會(資策會)資安所傳出籌備臺灣資安鑄造公司已有進度的消息,在12月8日,臺灣資安鑄造股份有限公司(資安鑄造)正式宣布技轉成立,將透過自主研發的工業物聯網威脅偵測系統,新建立跨IT、OT與5G的供應鏈資安監控平臺,可整合多元資安技術服務,快速偵測資安事件,並聚焦供應鏈安全,針對地方SI、5G、醫療、電商、工控與晶片產業提供合作模式。此外,有意投資資安鑄造的美國矽谷創投Draper Associates與東元,都參與揭牌儀式。隨著該公司的成立,對國內資安生態的幫助與影響,也將成為國內資安領域持續關注的焦點。

臺NAS廠接連跨入企業資安領域,群暉正式推出C2 Identity與C2 Transfer

臺NAS大廠群暉切入SaaS服務領域,在12月9日舉行C2雲服務發表會,宣布四款SaaS服務在臺上線,除了適用個人與企業的C2 backup,以及類似1Password、LastPass的個人密碼管理工具C2 Password,特別是還有企業資安防護的C2 Identity、C2 Transfer,都在11月中下旬陸續上線,並提供歐洲法蘭克福、北美西雅圖與亞太臺灣(11月上線)的資料中心選項。其中C2 Identity,是能整合企業服務的混合身分驗證系統,用戶可使用Google、Apple、Synology帳戶註冊登入。此外,另一NAS大廠威聯通在今年也跨入企業資安領域,推出實體的網路防護設備ADRA NDR,鎖定中小企業需求,提供偵測、分析與隔離的功能。

記憶體廠商華邦電子聯手物聯網資安業者Karamba,針對汽車推出網路安全解決方案

臺灣DRAM及快閃記憶體製造商華邦電子於12月8日宣布,他們將與物聯網資安業者Karamba Security合作,共同推出適用於汽車的網路安全防護解決方案。該方案由華邦的安全快閃記憶體TrustME與Karamba XGuard搭配,宣稱能讓車廠符合UN R155等汽車網路安全標準的要求。

趨勢科技發表2030專案,從當前科技潮流審視網路資安未來情境

趨勢科技在11月與12月間陸續於全球發布2030專案,當中包含讓讀者可閱讀的報告白皮書,以及可觀賞的系列影片,並設有報告獨立網站。在12月8日,趨勢科技在臺宣布推出此份報告,這是趨勢科技的一項前瞻研究計畫,當中並非是要敘述一個必然發生的未來,而是從當前科技發展與潮流預測可能情境,不只是讓大家思考未來可能的樣貌,也希望激起更多討論,以提醒政府、企業與個人,隨著科技逐漸滲透於日常,對於網路犯罪的未來發展應提早作準備或有所關注。其中有幾個焦點,包括:AI工具使網路範圍門檻降低而氾濫,社交工程詐騙與假訊息更加真實,大量物聯網環境的威脅,網路攻擊溯源更加困難,還有5G、6G網路興起,以及Everything as a Service的結果,而演進的攻擊趨勢。

 

熱門新聞

Advertisement