在今天的資安新聞中,美國針對17家企業提出警告,已有110萬名客戶遭到撞庫(Credential Stuffing)攻擊而受害,這樣的情況相當值得留意,這些企業包含了網路零售業者、連鎖餐廳,以及食品配送服務業者等,而這些客戶的資料已流入地下論壇。由於在撞庫攻擊中,駭客會透過取得的帳密,嘗試存取多種網路服務帳號,若是使用者都設置相同的帳密,這些網路服務的帳號就有可能遭到駭客挾持。該政府單位也呼籲企業也要針對網站加強防護。

而除了針對購物網站的撞庫攻擊,惡意軟體透過網管工具散布的現象,近期也有數起攻擊事件。而最近,有駭客組織使用了名為Atera的遠端監控與管理軟體(RMM),在受害電腦植入ZLoader,攻擊者使用IT管理軟體入侵受害電腦,主要原因是能夠取得高權限,以便後續攻擊階段可持續控制受害電腦。

操作科技(OT)的設備安全,也開始逐漸受到重視。臺灣主導半導體產業的產線設備資安標準SEMI E187,近期正式上路,美國也有由醫療機構所組成的醫療照護供應鏈協會(HSCA),近期特別針對醫療設備的資訊安全,發布新的指引,讓醫療機構能在添購設備或是服務的過程中,就選用從產品設計就將資安納入的產品。

【攻擊與威脅】

駭客針對17家公司進行撞庫攻擊,竊得110萬名客戶帳號

美國紐約州總檢察長辦公室(NY OAG)近日向17家公司提出警告,這些公司約有110萬客戶的帳號,在撞庫(Credential Stuffing)攻擊事件中遭駭。NY OAG經過數個月監看網路社群後,發現上述遭到外洩的用戶帳密,來自網路零售業者、連鎖餐廳,以及食品配送服務業者,他們通知相關業者,以便能夠讓消費者儘速重設密碼。NY OAG也呼籲企業應採取相關防禦措施,包含監控網站是否遭到Bot機器人攻擊、採用雙因素驗證(MFA)等。

惡意軟體ZLoader帶有微軟簽章,並透過網管軟體遠端「部署」

資安業者Check Point指出,駭客組織MalSmoke自2021年11月開始,使用名為ZLoader的金融木馬(亦稱Terdot、DELoader),從111個國家或地區,竊取數千名受害者的帳密資料。研究人員指出,駭客散布該金融木馬的管道,疑似是利用名為Atera的遠端監控與管理軟體(RMM)試用版本,來控制受害電腦,最終植入具有微軟簽章的ZLoader。

駭客組織Elephant Beetle花費數個月,在拉丁美洲金融機構進行詐欺交易,竊得數百萬美元

資安業者Sygnza發現名為Elephant Beetle(亦稱TG2003)的駭客組織,該組織使用超過80種工具,鎖定全球各地的組織,迄今已竊得數百萬美元。研究人員指出,這群駭客擅長針對Linux作業系統上的Java應用程式出手,且非常有耐心,會願意花費數個月偵察受害組織環境,並研究金融交易流程,最終才利用操作流程的缺陷發動攻擊。他們看到駭客運用Primetek Primefaces、IBM WebSphere Application Server、SAP NetWeaver Application Server等應用系統的漏洞,而能夠遠端執行任意程式碼。

iOS惡意軟體可讓裝置假裝關機,然後進行偷窺、竊聽

在過往許多iOS的惡意軟體攻擊中,受害者往往可透過重新啟動裝置,就有機會阻止惡意軟體在記憶體內運作,但這樣的方式可能已經不管用。資安業者ZecOps公布名為NoReboot的攻擊手法,這種方式可讓受害者以為iPhone已經關機,但實際上惡意軟體藉由挾持關機命令,而使得受害手機實際上維持開機的狀態,惡意軟體仍能繼續執行,並從麥克風與鏡頭,進行竊聽甚至是偷窺的行為。研究人員指出,由於這並非iOS作業系統的缺陷,蘋果很可能不會進行修補。

記者通報中小學教育網站曝露教職員個資,竟被指控入侵網站

聖路易斯郵報(St. Louis Post-Dispatch)記者Josh Renaud,在10月中旬向密蘇里州政府通報,該州的中小學教育部網站DESE,網站的程式碼曝露了逾10萬名教職員的社會安全碼,並在相關單位處理完成後進行報導。但密蘇里州州長Mike Parson顯然不買帳,不只在10月13日指控該名記者是駭客,12月底還召開記者會,打算起訴這名記者,認為他入侵了DESE。

基本上,網站的程式碼只需透過網頁瀏覽器就能檢視。美國聯邦調查局(FBI)指出,此起事件為DESE網站的配置錯誤,Josh Renaud的行為並非真正的入侵;而新聞網站The Verge認為,Mike Parson顯然不了解網站的運作方式。

愛心協會服務商網軟遭駭事件有後續消息,警方指出資料庫均未加密,也沒有PCI DSS認證

去年7月底到8月,國內爆發假冒多個愛心捐款協會的詐騙案,當時iThome首先追查到是背後的資訊服務商網軟遭駭,該公司在8月3日向客戶(愛心協會)表示遭駭,相隔一段時間後,他們也已發布資安公告,特別的是,最近這起事件有了後續消息,根據天下雜誌的報導,警方指出外洩的資料包括:捐款人姓名、住址、Email、電話、捐款方案、財務狀況,且資料庫並未加密,甚至,該公司有接受紙本信用卡扣款授權書,並會登打到系統,但公司卻沒有遵循PCI DSS及認證,同時,公益團體使用該公司服務卻也不曾注意。目前,網軟已決定不儲存卡號與處理紙本刷卡授權書,但被駭範圍仍無法確定,已外洩的個資可能達6萬筆。附帶一提的是,此事件也突顯非營利組織(NGO)本身特性,可能與企業不同的狀況,政府、科技大廠如何提供幫助也將成為議題。

 

【資安防禦措施】

美醫療設備採購組織發布供應商的資安評估指南

由美國14個醫療設備採購組織所成立的醫療照護供應鏈協會(HSCA),近期提供相關設備的業者或服務商,發布新的網路安全指引,提及透過MITRE建立醫療設備的威脅模型劇本,以及這類設備的生命安全週期的管理等。他們提及醫療機構與設備製造商簽訂合約時,所需要留意的細節,而且最好要有資安團隊參與採購流程,以確保所有接到醫療機構網路上的設備,從設計之初就將資安納入考量。

 

【近期資安日報】

2022年1月5日,研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日,從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日,Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日,加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日,密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日,資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日,IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

2021年12月24日,Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

2021年12月23日,阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

2021年12月22日,Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

2021年12月21日,比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

2021年12月20日,Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

2021年12月17日,Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

熱門新聞

Advertisement