引起各界高度關注的日誌框架系統Log4j漏洞「Log4Shell」,很快就成為攻擊者大肆利用的目標。之前有多家資安業者指出,他們在這2個星期,看到此漏洞被殭屍網路用於大規模挖礦攻擊,或是植入Cobalt Strike來操控受害電腦。但今天有資安業者指出,他們發現有針對Windows電腦的勒索軟體攻擊行動,會將受害電腦使用者的多個資料夾檔案加密。

論及修補Log4Shell這個漏洞,對於許多IT人員而言,安裝修補檔案很可能會存在影響應用系統運作的風險,有資安業者特別製作「疫苗」,宣稱能在干擾較少的情況下,暫時防堵攻擊者利用Log4Shell的攻擊行為。

行動裝置的安全,很可能因為Wi-Fi和藍牙晶片共用部分軟硬體資源,而讓攻擊者有可趁之機。近期多個歐洲大學聯手發布的研究指出,使用Broadcom、Silicon Labs、Cypress晶片的數十億裝置存在可被攻擊的漏洞,但這些漏洞能否得到妥善處理?有待後續觀察。

【攻擊與威脅】

勒索軟體Khonsari利用Log4Shell漏洞發動攻擊

自Apache Log4j重大漏洞CVE-2021-44228(Log4Shell)被公布以來,許多資安業者和研究人員發現,該漏洞已被用於對Linux主機下手,發動挖礦攻擊,或是拿來植入木馬程式。防毒業者BitDefender指出,他們觀察到針對Windows電腦而來的攻擊行動,勒索軟體Khonsari利用這個漏洞散布,使用AES 128 CBC演算法,加密受害電腦的使用者桌面、文件、圖片等資料夾。同時,他們也看到RAT木馬Orcus的攻擊行動。

針對無法修補Log4j的系統,資安業者推出防堵漏洞濫用的工具

引起資安界高度重視的Apache Log4j重大漏洞CVE-2021-44228,資安業者和研究人員不斷呼籲用戶要儘速升級Log4j,但無法安裝更新程式的用戶要如何因應?資安業者Cybereason於12月10日推出名為Logout4Shell的「疫苗」,讓無法升級Log4j的用戶,能暫時防堵被用來發動漏洞的管道。Cybereason於GitHub上提供這項工具,並表示IT人員僅需具備基本Java技能就可以操作。

伊朗駭客組織Seedworm鎖定亞洲和中東的電信業者下手

賽門鐵克在最近半年內,發現一起針對亞洲和中東的攻擊行動,駭客主要的目標是電信業者,但也有一些IT服務業者,以及1家公營事業公司受害。研究人員指出,他們發現駭客幾乎沒有使用自製的攻擊工具,多半為可公開取得的軟體,以寄生攻擊(LoL)的策略進行攻擊,根據他們取得的證據,攻擊者與伊朗駭客組織Seedworm(亦稱 MuddyWater)有關。

竊密軟體入侵亞洲政府組織的Exchange伺服器

卡巴斯基在調查Exchange伺服器可能存在的惡意程式時,意外發現可疑的IIS附加模組「Owowa」,一旦Exchange啟用了網頁收信介面Outlook Web Access(OWA),Owowa將會竊取使用者在OWA登入的帳密,並能讓遠端的攻擊者在伺服器底層執行命令。研究人員在馬來西亞、蒙古、印尼、菲律賓發現攻擊行動,受害者多為政府組織,此外,他們認為歐洲可能是下一波的攻擊目標。

菲律賓民眾銀行帳戶遭駭,當地央行正監控此事發展,並將協調補救措施

近日菲律賓傳出部分客戶銀行帳戶遭駭,在12月12日菲律賓中央銀行總裁Benjamin Diokno出面說明,指出民眾在社群平臺投訴銀行帳戶遭駭事件激增的情形,當地央行正持續監控,並將與當地金融銀行(BDO Unibank)與菲律賓聯合銀行(Unionbank of the Philippines)合作。目前,BDO表示這次事件是一種複雜的欺詐技術,聯合銀行也已凍結數個帳戶,但相關銀行還無法估計多少資金遭轉移,另根據馬尼拉公報報導,盜取的錢被用於購買比特幣。

巴西衛生部一週內遭到2次網路攻擊

巴西衛生部(MoH)於12月10日凌晨,驚傳遭勒索軟體攻擊後,該單位所有網站停止運作,駭客組織Lapsus$宣稱他們竊得約50 TB資料,該國的國家資料保護局(ANPD)著手調查。但就在12月14日,巴西衛生部長Marcelo Queiroga證實,他們於13日晚間遭到第2次攻擊,導致武漢肺炎疫苗證書系統ConecteSUS,無法依照計畫於14日復原。

印度總理推特帳號遭駭,被用於發布假消息

印度總理Narendra Modi的推特帳號於12月12日上午,遭到不明人士入侵,發布推文宣稱,該國將比特幣視為法定貨幣,政府購買了500個比特幣並打算分配給該國國民。在此推文遭到刪除之前,粗估已影響印度總理7,300萬名粉絲,印度當局表示正在著手調查,並向推特進行通報。但此起事故並非印度總理的推特帳號首度遭駭,2020年9月就曾發生且得到推特的證實。

針對日本政府的資料外洩事故,富士通表示攻擊者是利用ProjectWEB漏洞入侵

富士通經營的專案資訊協作平臺ProjectWEB於今年5月遭駭,影響日本國土交通省、外務省等多個政府部門而引起關注。該公司於12月9日公布調查結果指出,他們發現攻擊者使用數個漏洞來存取ProjectWEB帳號,並以合法帳號來取得額外的存取權限,其中1個帳號被用於非法獲取合法帳密。該公司決定停止提供ProjectWEB,並打算將客戶移轉到新的服務,並宣稱此服務符合零信任資安的要求。

勒索軟體駭客利用社群網站公布受害組織資料,以此脅迫支付贖金的情況增加

為了能讓受害者付贖金,近年來勒索軟體駭客往往在網站上公布受害者的身分,來引起媒體注意,進而形成壓力迫使受害者付錢。但資安業者Emsisoft指出,駭客發現在時下新聞已充斥著各式網路攻擊事故,他們的網站宣傳效果有限,改用社群網站來公開攻擊事故的情況越來越多。繼10月攻擊美國步槍協會(NRA)的勒索軟體駭客Grief,透過推特帳號散布有關消息後,Emsisoft指出,他們也看到其他組織如DoppelPaymer、54bb47h、Marketo,採取更直接的方式將社群網站武器化,以推特做為公布的管道。此外,駭客組織RobinHood則是成立了Tumblr帳號,打算以此公布受害者資料。

台北馬拉松跑者遭詐騙,列本週高風險賣場,警方證實中華民國路跑協會資料庫遭駭

165反詐騙諮詢公布本周解除分期高風險賣場名單,包括:誠品書店、中華民國路跑協會、東森購物、資生堂、樂購蝦皮、老爺酒店與西堤牛排。值得關注的是,上周傳出的中華民國路跑協會、台北馬拉松的相關詐騙案,根據中央社報導,警方在12月14日指出,已受理17件,經初步調查,發現有駭客使用境外IP位址入侵中華民國路跑協會網站資料庫,進而利用所盜取的會員資料進行詐騙。

 

【漏洞與修補】

研究人員發現影響數十億裝置的Wi-Fi漏洞

達姆施塔特工業大學、布雷西亞大學、CNIT、安全行動網路實驗室聯手,揭露一系列的臭蟲,讓攻擊者可藉由裝置藍牙元件下手,操控Wi-Fi晶片的網路流量,以及竊取密碼等攻擊行為,影響採用Broadcom、Silicon Labs、Cypress晶片的數十億裝置。研究人員指出,智慧型手機等現代連網裝置的SoC,具備獨立的藍牙、Wi-Fi、LTE元件,但它們通常共享天線和無線頻譜等資源,而這些共享的資源就能讓攻擊者有可趁之機,跨晶片發動橫向的提升權限攻擊,執行任意程式碼、讀取記憶體內容,或是造成阻斷服務(DoS)。這些漏洞部分能透過韌體修補,有些則必須透過新的硬體才能處理。

微軟發布例行修補,修補6個零時差漏洞

微軟於12月14日發布Patch Tuesday例行修補,當中總共修補了6個已被公開的零時差漏洞,其中最受到注目的是CVE-2021-43890,這項漏洞與統一視窗平臺(UWP)的安裝程式(APPX、APPXBUNDLE檔案)有關,已被攻擊者用於散布惡意軟體Emotet、TrickBot、BazarLoader等。微軟指出,其他5個零時差漏洞尚未被用於攻擊行動。

蘋果修補了同時影響iOS、macOS的越獄漏洞

蘋果於12月13日發布iOS 15.2、macOS Monterey 12.1、watchOS 8.3、tvOS 15.2,修補數個在中國天府盃漏洞挖掘競賽被發現的漏洞。其中,最受到關注的漏洞,是CVE-2021-30955,這個漏洞可被攻擊者以核心層級的權限,讓惡意程式執行任意程式碼,進而越獄iOS設備,此漏洞亦影響macOS。這個漏洞讓盤古團隊在天府盃賽事中,成功攻陷執行iOS 15的iPhone13 Pro。 

Hillrom心臟診斷設備存在零時差漏洞,恐遭攻擊者挾持

美國網路安全暨基礎設施安全局(CISA)近日針對Hillrom旗下的多款Welch Allyn設備提出警告,指出當中存在CVE-2021-43935漏洞,一旦攻擊者利用此漏洞,將能繞過身分驗證,存取特權帳號。這項漏洞的CVSS風險層級為8.1分,Hillrom正在製作修補程式,在此修補程式推出之前,該公司建議用戶暫停使用單一簽入(SSO)的功能。

SanDisk敏感資料保護軟體出現漏洞,能讓攻擊者暴力破解密碼存取

硬碟製造商Western Digital近期針對SanDisk SecureAccess軟體(現在更名為SanDisk PrivateAccess),修補漏洞CVE-2021-36750,該公司指出,這項漏洞與SanDisk SecureAccess 3.0.2採用單向加密雜湊與可被猜測的加鹽密碼,而容易受到字典攻擊有關,他們在近期推出的SanDisk PrivateAccess 6.3.5版中,改用PBKDF2-SHA256演算法,以及隨機產生的加鹽密碼來防堵上述漏洞。

 

【資安防禦措施】

針對國內近期多家證券期貨客戶遭冒名下單港股,金管會公布三大因應措施,並提醒民眾妥善保管密碼

上月國內傳出券商用戶遭不明人士下單港股的情況,除了將成立SF-CERT,後續又有新的因應辦法,金管會在12月14日發布公告,將要求證券商與期貨商採取三大措施,簡單來說,包括:應於網路下單登入時採多因子認證方式的落實;密碼輸入錯誤次數達3次,應中斷連線的落實;對於帳號登入失敗的記錄,以及對登入異常的監控分析。

 

【近期資安日報】

2021年12月14日

2021年12月13日

2021年12月10日


熱門新聞

Advertisement