回顧7月資安新聞,有多起重大資安事故,國際上的最大焦點,中國上海公安數據庫儲10億中國公民個資外洩最受注目,由於受害規模龐大引發國際關注,後續也傳出該國政府約談阿里巴巴高層的消息,因為該資料庫應是儲存於阿里雲服務的伺服器,還有企業方面,萬豪(Marriott)飯店也傳遭駭客攻擊而導致20 GB資料外洩,該飯店已證實並提及駭客是經由社交工程手法入侵,而社交平臺Twitter也傳出有50萬用戶資料被洩漏。

特別的是,7月國內企業也有兩起重大事件,包括上櫃生技醫療業永昕生物醫藥公告遭電腦病毒攻擊,部分資通訊系統受影響,以及興櫃航運業台灣虎航公告遭網路攻擊,並提及宣導反詐騙聲明,疑有客戶資料外洩情事。

在本月漏洞揭露與修補中,有幾個焦點,例如微軟修補已遭駭客利用的CVE-2022-22047漏洞,OpenSSL修補RCE漏洞CVE-2022-2274,Drupal修補RCE漏洞CVE-2022-25277,以及Atlassian修補Confluence寫死帳密的CVE-2022-26138漏洞,特別的是,本周兩個原型污染(Prototype Pollution)漏洞的消息,一是存在Node.js,一是存在Blitz.js,還有Jenkins公布的多個零時差漏洞,後續修補狀況需留意。

而在7月網路攻擊事件的研究與揭露中,當中呈現了數個不同的攻擊態勢。例如,首先是UEFI的攻擊層面,卡巴斯基發現中國駭客使用UEFI惡意軟體CosmicStrand,特別的是,他們主要是在H81晶片組的技嘉、華碩主機板發現這隻惡意程式,但還不確定是如何滲透植入,微軟本月分析了駭客5大惡意IIS延伸套件手法,並公布新的大規模網釣攻擊手法,是釣魚網站以代理伺服器方式架設於用戶連線至目標網站之間,竊取用戶的憑證Cookie與連線Session,由於可繞過MFA相當引發關注。還有駭客濫用問題的層面需留意,像是有駭客濫用GitHub Actions使用虛擬機器挖礦的攻擊,以及濫用雲端IDE程式編輯器Datacamp連線AWS S3方式偷資料的攻擊,

勒索軟體的威脅上,有兩大趨向是焦點,包括資安業者發現越來越多新的勒索軟體以程式語言RUST打造,像是本月新揭露的Luna勒索軟體,又是一例,以及勒索軟體組織最近開始將竊取得到的資料,不只是威脅要公布,現在更是打造大數據資料庫形式來提供,前者的威脅是駭客要鎖定不同平臺攻擊更容易,後者的威脅是受害者資料更容易被犯罪社群利用。

在防護態勢上,後量子密碼學標準制定終於有最新結果,NIST歷經6年,7月終於揭曉第一批確認名單,資安專家呼籲企業現在就需要開始為公鑰密碼系統升級做準備,全球企業都該有所準備。另外在國內,臺灣企業資安投資抵稅的新版抵減辦法在7月出爐,讓公司強化自身防禦購置資安產品或服務的同時,也將可享短期租稅優惠。

【攻擊與威脅】

駭客聲稱從中國警方取得逾10億民眾個資,有可能是史上規模最大的資料外洩事件

駭客公布大量資料的情況,在3年前,曾有人於地下論壇集結近3千起事故洩露的個資Collection #1,總共有近7.7億個用戶受到波及,但現在這樣的規模將被打破。根據路透社華爾街日報等新聞媒體報導,名為ChinaDan的駭客於駭客論壇Breach Forums,出售檔案大小逾23 TB的資料庫,他聲稱資料來自上海國家警察(SHGA),內容涵蓋10億名中國民眾的姓名、生日、身分證字號、聯絡電話、住址,以及犯罪紀錄,這名駭客開價10個比特幣,約相當於20萬美元。

為了取信買家,ChinaDan公布了其中75萬筆資料,根據這些已被公開的資料,駭客取得的資料涵蓋1995年至2019年,華爾街日報對於其中的部分內容進行驗證,至少有5人的資料正確,該新聞媒體亦表示,某些案件的細節只有警方才會掌握相關資料。

大型加密貨幣交易所幣安(Binance)執行長趙長鵬也針對此事提出看法,指出該公司的威脅情報團隊確實在暗網中,發現兜售上述資料的情況,並表示這些資料來自某個亞洲國家的政府,疑似是部署Elasticsearch資料庫所引入的臭蟲而導致資料外洩,也有可能是政府的開發者在中國開發者社群CSDN撰寫部落格時,不慎外洩相關帳密。但這些資料是否來自中國政府?上海市政府和公安部門都尚未針對此事做出回應。

萬豪飯店遭到駭客入侵,疑外洩20 GB機敏資料

飯店業遭到駭客攻擊,並發生資料外洩的情況,在疫情爆發前發生數起事故,這樣的攻擊行動隨著各國政府對出入境鬆綁又再度出現。資料外洩事故新聞網站DataBreaches於7月5日指出,他們在6月28日獲報萬豪(Marriott)飯店的資料外洩事件,不願具名的駭客組織宣稱在1個月前入侵,並竊得約20 GB的內部資料,當中包含信用卡交易資料,以及萬豪內部的資料。

該新聞網站針對駭客提供的部分資料進行查核,發現資料來自該集團位於美國馬里蘭州BWI機場的飯店,這些駭客也向DataBreaches表示他們入侵了該飯店的伺服器。

萬豪坦承確有此事,並認為他們之所以被入侵,是駭客經由社交工程攻擊員工得逞,進而存取該名員工的電腦。該公司指出,駭客能夠經由該名員工的權限存取相關資源,但目前沒有證據表明能存取其他的資料。這個說法看似合理,但駭客如果進行橫向移動,有可能得以存取其他資源。

該公司亦宣稱,在駭客向他們索討贖金之前就已察覺攻擊行動,並在6個小時就獲得控制,駭客竊得的是較不敏感的內部業務資料,不過他們仍需通知約300至400名受影響的人士,但對於這些人士的身分並未進一步透露。而針對贖金的部分,萬豪疑似贖金價碼過高,而沒有向駭客支付,駭客也表明沒有加密伺服器上的檔案。這起事故已是萬豪自2018年至今的第3次重大資料外洩事件。

駭客外洩近550萬推特用戶資料,疑與行動裝置App漏洞有關

又有駭客從社群網站竊得大量用戶資料,並宣稱是利用平臺的漏洞而得逞。根據資安新聞網站Restore Privacy的報導,有人在地下論壇Breached Forums上,兜售5,485,636名推特用戶的資料,並宣稱他們是透過系統弱點取得,受害者不乏名人與公司行號。

駭客向該新聞網站進一步透露,這些資料是在2021年12月收集,並已有買家正在接洽當中,他們打算求售3萬美元,駭客也聲稱他們利用的漏洞,在今年一月被通報到HackerOne,該漏洞存在於安卓版的用戶端程式,現在已完成修補。該新聞網站也證實部分資料的內容正確。推特則表示正在著手調查此事。

烏克蘭電臺播放總統將政權移交的不實訊息,起因是遭到網路攻擊

俄羅斯駭客不斷透過網路攻擊進行心理戰,先前有散布烏克蘭總統澤倫斯基(Vladimir Zelensky)宣布投降的假影片,現在則是宣稱此人的健康出現狀況。根據新聞網站CyberScoop的報導,烏克蘭媒體TAVR Media旗下的電臺散播不實消息,指出澤倫斯基因健康狀況非常糟糕,且已將該國政權交給他人。

TAVR Media於7月21日發出聲明澄清,該電臺是因為遭到網路攻擊才會出現上述情況,發布與澤倫斯基健康問題相關的消息皆與事實不符。澤倫斯基也透過影片表示,自己持續在總統辦公室坐鎮,而上述宣稱他健康出狀況已經進醫院的消息,僅是俄羅斯散布不實資訊的其中之一。

中國駭客使用UEFI惡意軟體CosmicStrand,在受害電腦上執行Shell Code,鎖定採用H81晶片組的技嘉、華碩主機板

駭客鎖定UEFI韌體下手的情況,研究人員很有可能在多年之後,才找出整個攻擊鏈的樣貌。

資安業者卡巴斯基揭露UEFI惡意軟體CosmicStrand(亦稱Spy Shadow Trojan)的攻擊行動,中國駭客約從2016年開始,鎖定採用H81晶片組的華碩、技嘉等廠牌的電腦下手,一旦CosmicStrand成功入侵電腦的UEFI韌體,就會在每次啟動時載入惡意酬載,並在每個開機流程進行掛勾,最終在記憶體內部署Shell Code來向C2連線,並下載惡意酬載,然後在Windows作業系統核心執行。

研究人員指出,受害電腦遍及中國、越南、伊朗、俄羅斯,但這些電腦似乎都是個人所有,而無法找出所屬的組織或是產業。

雲端挖礦攻擊鎖定軟體開發自動化服務GitHub Actions下手

駭客鎖定雲端的應用系統與虛擬機器(VM)等運算資源,來進行挖礦的情況,使得資安業者提出警告。趨勢科技於7月7日揭露新的挖礦攻擊行動,駭客濫用持續整合(CI)工具GitHub Actions(GHA),並搭配Azure虛擬機器來進行挖礦,至少有上千個GitHub儲存庫與550組程式碼,與此攻擊行動相關。

研究人員指出,駭客同時鎖定Windows與Linux的VM下手,這些虛擬機器的共通點在於,配置了2個處理器核心與7 GB記憶體。他們也從11個GitHub儲存庫裡,找到含有YAML指令碼的檔案,執行後將在VM上挖取門羅幣。研究人員發現,駭客疑似也在GitHub Marketplace上傳他們所使用的GHA,使得其他開發者也可能會受到波及。

駭客意圖透過IIS伺服器延伸套件,在Exchange伺服器植入後門

在針對Exchange伺服器的攻擊手法裡,駭客過往很可能會部署Web Shell來當作後門程式,但隨著資安系統對於這種手法的偵測能力日益提升,駭客開始運用其他的管道入侵。

微軟的資安研究團隊最近提出警告,他們注意到駭客運用IIS的延伸套件(Extension)來建立後門的情況,可說是越來越氾濫,由於這種手法所建置的後門程式,通常會存放在正常應用程式所使用的資料夾裡,並使用相同的程式碼結構,而使得與Web Shell相比,研究人員要確認是否為後門程式變得更加困難。

研究人員以他們發現針對Exchange伺服器的攻擊為例,駭客利用了ProxyShell漏洞部署了Web Shell,但經過一段時間的偵察後,才建置了名為FinanceSvcModel.dll的後門程式並進行滲透。對此,該公司呼籲企業,要經常檢查高權限群組是否被加入不明帳號,應用程式的組態檔案web.config及ApplicationHost.config有沒有出現不明檔案等措施,來防範這種以IIS伺服器延伸套件植入後門的攻擊行動。

Office 365用戶遭大規模網釣攻擊,駭客竊取Cookie與Session資訊可繞過MFA,目的是用於發動BEC詐騙

針對Office 365用戶的大規模網路釣魚攻擊不時有事故傳出,但最近一起事故使用的手法較為不同,而導致駭客能繞過微軟提供的雙因素驗證(MFA)機制。微軟揭露自2021年9月開始的Adversary-in-The-Middle(AiTM)攻擊行動,駭客先是寄送釣魚郵件,然後將收信人引導到釣魚網站,特別的是將釣魚網站以代理伺服器方式設在用戶連線至目標網站之間,進而竊取網頁瀏覽器的Cookie與連線階段(Session)資料,來挾持受害者的Office 365帳號,駭客得手後將這些電子郵件帳號用來發動商業電子郵件(BEC)詐騙。

由於駭客攔截了Cookie和連線階段資料,即使受害者啟用Office 365的雙因素驗證機制,仍無法遏止駭客濫用自己的電子郵件帳號,研究人員指出,至少有1萬個組織受害,且駭客在得手Cookie和連線階段資料後,最快在5分鐘內就發動BEC詐騙攻擊。

又有新的勒索軟體以程式語言Rust打造而成,並採用獨特的演算法

駭客以程式語言Rust打造的勒索軟體,已有BlackCat、Hive,而最近有新的勒索軟體也使用這種程式語言進行開發。卡巴斯基在地下論壇看到有人在宣傳新的勒索軟體Luna,並表明他們只打算與使用俄文的駭客合作。從宣傳的資料來看,駭客已經打造了Windows版、Linux版的勒索軟體,並開發了針對虛擬化平臺VMware ESXi的專屬版本。

研究人員指出,Luna採用的加密演算法是x25519與AES,可說是相當少見的配置。此外,上述版本的勒索軟體使用相同的程式碼編譯而成,但有一些差異,例如,僅有Linux版本必須要下達參數才會執行。

俄羅斯駭客在臺灣等多個國家架設C2伺服器,並用於發動勒索軟體攻擊

駭客組織架設用於攻擊行動的基礎設施,很可能相當複雜且分散在全球各地。資安業者Censys公布俄羅斯駭客架設的15個C2伺服器,並指出這些伺服器不只部署於俄羅斯,還部署在臺灣,以及美國、中國等地。

駭客將部分伺服器用於執行網站的弱點掃描工具Acunetix,或是利用滲透測試工具Metasploit來取得初步的存取權限,然後利用其他的C2伺服器散布惡意程式及勒索軟體。

研究人員發現,這些C2伺服器被用於勒索軟體Karma、MedusaLocker的攻擊行動,前者出現於去年10月,後者則是在今年6月底引起美國發布警告。

烏克蘭軟體開發業者遭到GoMet變種後門程式入侵,駭客意圖對該國政府機關發動軟體供應鏈攻擊

俄羅斯駭客鎖定烏克蘭的攻擊行動,很有可能已經暗中進行一段時間才被發現。思科揭露使用GoMet變種後門程式的攻擊行動,駭客取得開源的GoMet程式碼並加以修改,約從2020年開始,用來攻擊烏克蘭大型軟體開發公司,由於此業者開發的軟體廣受該國多個政府機關採用,研究人員推測這應該是供應鏈攻擊,且很有可能是俄羅斯政府撐腰的駭客所為。

而對於此後門程式的來歷,研究人員表示,開發者使用Go語言打造而成,並包含攻擊者遠端控制的多數功能,且支援在x86與Arm架構的電腦上運作。

駭客組織CuteBoi發動軟體供應鏈攻擊,散布逾1,200個惡意NPM套件

駭客組織散布惡意NPM套件的手法,已經演變成以自動化的方式進行,甚至能突破NPM上架流程的雙因素驗證(2FA)措施。

資安業者Checkmarx近期發現了1,283個惡意NPM套件,駭客CuteBoi運用了超過1千個帳號來上架這些套件,所有的套件共通點,就是都包含了幾乎與名為eazyminer套件完全相同的程式碼,該套件是挖礦軟體XMRig的JavaScript包裝器,用途是徹底運用受害電腦閒置的運算資源。

研究人員指出,這些套件本身看似無害,但內含的eazyminer程式碼所具備的挖礦能力,需要透過外部的工具呼叫,因此,挖礦軟體不會在這些NPM安裝之後就立刻執行,受害者很有可能沒有發現異狀。

但在NPM已從今年初逐步要求套件開發者使用雙因素驗證機制的情況下,駭客又是如何突破並上架套件呢?研究人員根據CuteBoi建立NPM帳號的網域,推測駭客使用了mail.tm的拋棄式電子郵件服務,並透過REST API建立電子郵件帳號,使他們在自動化攻擊流程能夠通過NPM的雙因素驗證機制。該公司指出,目前仍有上千個惡意NPM套件尚未下架,他們設置了專屬網站(https://cuteboi.info/)來隨時更新此攻擊行動的後續發展。

惡意NPM元件恐影響數百個網站與應用程式

有些NPM套件的供應鏈攻擊,因採用了高度混淆的JavaScript程式碼,而使得駭客能進行數個月攻擊行動而不被發現。

資安業者ReversingLabs揭露從2021年12月出現NPM供應鏈攻擊行動,駭客組織IconBurst使用數十個套件,他們使用了與知名套件(如Umbrella JS、Ionicons)相近的名稱,例如上傳ionicio、ionic-icon、iconion-package、ionicon-package等套件,企圖藉由開發者可能會打錯字的情況,在受害電腦部署惡意NPM套件。

這些套件迄今被下載超過2.7萬次,有超過6成是名為icon-package的惡意套件,達到17,774次。研究人員粗估,可能有數百個網站或是應用程式受到波及。

研究人員提出警告,雖然他們已於今年7月1日通報NPM的資安團隊,但NPM套件庫裡的IconBurst惡意套件仍尚未完全移除,研究人員呼籲開發人員安裝套件時仍應提高警覺。

勒索軟體BlackCat打造受害者資料庫Alphv Collections

勒索軟體駭客挾持受害組織的檔案,要脅會賣給他人或對外公布的情況已是常態,但有駭客開始想要利用這些資料,對受害組織產生更大的壓力,例如,之前勒索軟體BlackCat就架設了類似Have I Been Pwned的個資外洩查詢網站,企圖透過個資受到波及的員工或客戶,來向受害組織施壓,而最近該組織又有進一步的做法。

資安團隊VX-Underground發現BlackCat架設名為Alphv Collections的外洩資料庫,內容是不願支付贖金組織的內部資料,目的是希望犯罪社群更能有機會充分運用這些竊得的資料。這些駭客宣稱,使用者不只能利用檔案名稱尋找想要的資料,也能找出Word、PDF檔內容的特定文字,甚至還能從JPG、PNG圖片檔案進行搜尋。

資安業者Cyble指出,這套資料庫系統甚至支援萬用字元(如*)的搜尋功能,使得其他駭客也能運用這些資料進行攻擊行動,例如,找出遠端桌面連線(RDP)的存取資料,而能入侵特定類型的伺服器主機。研究人員指出,過往駭客取得大量外洩資料後,很可能需要抽絲剝繭才能撈出可用於攻擊的內容,而駭客組織BlackCat建置的Alphv Collections則讓攻擊者只需透過關鍵字搜尋,就有機會找到想要利用的資料,而不用浪費時間下載整個資料庫,這樣的情況很可能讓外洩資料的危害更加擴大,因此他們認為,企業應監控外洩資料的流向。

繼勒索軟體駭客BlackCat建立受害者資料庫,LockBit也跟進

勒索軟體駭客為了對受害組織製造更多壓力,他們開始對偷來的資料進行彙整,並提供搜尋功能讓其他駭客能進行運用,繼勒索軟體BlackCat開始採用這種手法後,很快就有其他組織跟進。根據資安新聞網站Bleeping Computer的報導,勒索軟體駭客LockBit將他們公布受害組織的網站大幅改版,首度提供了搜尋功能,讓其他駭客能依據公司名稱,來找到不願支付贖金的受害組織。

該新聞網站指出,雖然LockBit只是提供搜尋受害組織名稱的功能,不若BlackCat外洩資料全文檢索強大,但其帶來的影響仍不能小覷。

雲端IDE程式編輯器Datacamp恐遭到駭客濫用

雲端的整合開發環境(IDE)可讓程式開發人員更容易進行協同作業,但這樣的工具也有可能讓攻擊者降低攻擊門檻,只需網頁瀏覽器就能發動攻擊。資安業者Profero揭露濫用雲端IDE系統DataCamp的攻擊行動,駭客疑似運用進階版Python的IDE模組,部署第三方模組來連線到AWS S3儲存桶,並將儲存桶內的資料藉由DataCamp流出。

研究人員也嘗試在該平臺導入Nmap網路拓撲工具,結果發現,他們雖然不能直接部署該軟體,但可直接透過編譯程式碼的方式產生。研究人員認為,這種濫用DataCamp的攻擊行動很可能不會被發現,因為沒有明確的來源顯示其IP位址的範圍,而難以追溯來源,且類似的雲端IDE系統有可能成為駭客加以濫用的對象。

T-Mobile去年遭網路攻擊的資料外洩事件,決定將支付3.5億美元進行和解

去年8月傳出有駭客於地下論壇,兜售來自電信業者T-Mobile的1億用戶資料,隨後該公司證實約有7,660萬名美國使用者資料外洩,並引起用戶集體訴訟。

T-Mobile於7月22日提交給美國證交所的文件指出,他們決定支付3.5億美元,來與受害用戶和解,並承諾今年和明年總共會提撥1.5億美元來投資資料安全。該公司的決定將有待美國法院核准及執行。

上櫃生技醫療永昕生物醫藥遭遇資安事件,部分資通訊系統受影響

臺灣上櫃公司永昕生物醫藥遭電腦病毒攻擊事件,在7月18日於臺灣證券交易所發布重大訊息說明,指出有部分資通訊系統受影響,目前評估對公司營運無重大影響。值得關注的是,這是繼去年11月雙美實業遭駭客網路攻擊後,近一年內,第二起生技醫療業的重大資安事件。

興櫃台灣虎航公告遭網路攻擊,客戶資料恐遭外洩

廉價航空業者臺灣虎航於7月22日傍晚,於臺灣證券交易所發布公告,證實該公司遭到網路攻擊,他們已聯合外部資安公司協同處理,並通報相關執法單位。該公司評估營運無重大影響,但在網站上公布反詐騙聲明,要旅客留意可能會衍生的網路詐騙攻擊。

駭客宣傳可提供15家業者PLC與HMI破密工具但暗藏惡意程式Sality

工業控制系統(ICS)的管理者,很有可能因為需要管控許多設備而可能會忘掉密碼,有人在網路提供能夠破解可程式化邏輯控制器(PLC)或人機介面(HMI)密碼的工具,但也有人藉由提供這個工具的名義,進而在工控環境植入木馬程式。資安業者Dragos發現,有人在數個社群網站上投放廣告,宣稱提供PLC或是HMI的密碼廠解工具,針對的工控設備廠牌涵蓋了Automation Direct、歐姆龍(Omron)、西門子(Siemens)、台達自動化、富士電子(Fuji Electric)、三菱(Mitsubishi)、松下(Panasonic)、LG、Vigor、Pro-Face、Allen Bradley、Weintek,以及ABB等。

研究人員針對其中一個能解鎖Automation Direct系統的軟體進行分析,發現此工具確實能破解密碼,但是是利用工控系統的已知漏洞來進行,而在提供密碼的同時,此工具也暗中在工控設備植入木馬程式Sality。研究人員呼籲工控環境的管理者,在需要重新取得PLC或MHI的密碼時,應該尋求開發廠商協助,而非透過來路不明的軟體。

以PrestaShop系統架設的電商網站遭鎖定,駭客疑似透過SQL注入手法側錄交易資料

駭客鎖定採用Magento、WooCommerce等知名系統架設的電商網站發動攻擊,可說是相當頻繁,但其他電商平臺的用戶也不能掉以輕心。例如,電商平臺開發商PrestaShop於7月22日提出警告,他們發現駭客正在利用漏洞於電商網站注入惡意程式碼,而可能得以執行任意指令,進而竊取客戶付款的交易資料。

該公司表示,駭客疑似利用PrestaShop的漏洞CVE-2022-36408。這項漏洞存在於PrestaShop 1.6.0.10以上的版本,並搭配特定版本的Wishlist外掛程式就有可能被觸發,而使得駭客能進行SQL注入攻擊。該公司呼籲用戶升級最新版本PrestaShop來防堵相關攻擊。

駭客透過老舊外掛程式鎖定近160萬個WordPress網站,目標是外掛程式WPBakery Page Builder的元件

WordPress外掛程式的漏洞很可能因為開發者不再維護,而成為攻擊者用來對網站下手的管道。資安業者Wordfence針對一起大規模網站攻擊行動提出警告,駭客鎖定WordPress外掛程式WPBakery Page Builder的Kaswara元件下手,利用任意文件上傳漏洞CVE-2021-24284進行攻擊行動。

研究人員自今年7月4日至13日,總共偵測到1,599,852個網站成為攻擊目標,該公司平均一天攔截逾44萬次嘗試攻擊的行動。由於此漏洞CVSS風險評分達到10分,且沒有修補軟體,廠商也不再維護此外掛程式,攻擊者有可能將其用於接管網站,他們呼籲管理者最好移除此外掛程式。

間諜軟體CloudMensis鎖定Mac電腦而來

駭客鎖定Mac電腦開發後門程式,並繞過了macOS作業系統的防護機制來洩露資料。資安業者ESET在7月19日揭露,他們最早在4月時發現一款名為CloudMensis的惡意軟體,駭客主要將其用於從Mac電腦竊密,此惡意軟體具備截圖螢幕畫面、列出電子郵件與附件內容、列出外接儲存裝置檔案,並能透過Shell命令將資料上傳到雲端檔案共享服務。此外,駭客透過Dropbox、Yandex、pClould等檔案共享服務架設C2,而難以追蹤攻擊來源。

研究人員發現,此惡意程式藉由CoreFoundation漏洞CVE-2020-9934,能繞過macOS的Transparency Consent and Control(TCC)機制,而能在不需使用者授權的情況下,取得螢幕截圖與鍵盤輸入的資料。研究人員指出,雖然CVE-2020-9934已得到修補,但駭客還有可能利用其他漏洞來繞過TCC,呼籲用戶使用最新版本的macOS來降低風險。

研究人員揭露瀏覽器快取旁路攻擊手法,有可能導致上網用戶身分曝光

國家級駭客試圖運用各式的攻擊手法,企圖辨識網路上的用戶並進行跟蹤,有研究人員發現新的手法,能讓攻擊者將存取網站的使用者進行解析,將其數位生活拼湊起來,確認目標的身分,進行目標式去匿名化(Deanonymization)攻擊。

紐澤西理工學院(NJIT)的研究人員指出,他們發現攻擊者能透過特製的網站來收集使用者瀏覽器的資料,當受害者瀏覽攻擊者的網站時,此網站會在瀏覽器載入網頁的過程中,發出對於社群網站(如:YouTube、Dropbox、推特、臉書、TikTok等)嵌入式資源的跨網站請求,並忽略使用者身分驗證的Cookie,而這些社群網站會依據使用者的身分做出回應。攻擊者藉由上述的跨網站請求獲得的共享資源,就有機會得知受害者是否為他們鎖定的目標。

最後一步,攻擊者會確認共享資源在受害電腦(或行動裝置)上被載入的情形,他們會針對瀏覽器占用處理器快取的旁路通道資源進行比對,來確認此使用者就是他們鎖定的攻擊目標。

研究人員提出警告,這樣的手法很可能會影響政治人物、參與政治活動的人士,以及記者,而且不光能對於時下主流的網頁瀏覽器進行攻擊,還能對洋蔥瀏覽器(Tor Browser)下手。

惡意軟體Lightning Framework鎖定Linux主機而來,恐被用來部署後門程式與Rootkit

鎖定Linux作業系統而來的惡意軟體最近經常出現,而且很可能難以偵測。資安業者Intezer揭露名為Lightning Framework的惡意軟體,攻擊者可使用SSH連線來對目標主機植入後門程式,或是部署Rootkit。

該惡意軟體採模組化設計,並能透過外掛程式添加功能,研究人員形容此惡意軟體就像瑞士刀,並指出此軟體具備多種與攻擊者互動的功能,例如可在受害主機上開啟SSH連線,並支援多種型態的命令與控制(C2)組態等。模組化設計的做法在Windows惡意軟體其實相當常見,但鮮少有Linux惡意軟體採用。

此惡意軟體主要元件就是下載器,攻擊者在受害主機植入後,就能下載安裝其他模組與外掛程式。至於駭客散布Lightning Framework的方式,則是將其偽裝成GNOME密碼管理器元件Seahorse,而能躲過資安系統的偵測。

研究人員指出,雖然他們尚未看到這個惡意軟體被用於攻擊行動的跡象,但駭客針對Linux開發此種具備高度擴充性的軟體並不常見,而相當值得關注後續發展。

微軟揭露DSIRF駭客鎖定Windows與Adobe Reader零時差漏洞,攻擊奧地利、英國、巴拿馬企業

微軟在7月12日發布每月例行修補(Patch Tuesday)公告時,指出其中有個CSRSS漏洞CVE-2022-22047已遭到利用,但當時並未進一步說明攻擊行動的細節。直到最近,該公司表示,利用這項漏洞的是奧地利「民間攻擊者(Private-Sector Offensive Actor)」,這個組織成立了資安顧問公司DSIRF為幌子,但此公司實際上的業務,是專門開發駭客工具、銷售,並提供攻擊服務。研究人員亦將此駭客組織稱為Knotweed。

研究人員發現,DSIRF將漏洞用來開發惡意軟體Subzero,針對歐洲和中美洲組織發動攻擊,受害組織包含了奧地利、英國、巴拿馬的律師事務所、銀行,以及策略顧問公司。研究人員呼籲用戶應儘速安裝相關修補程式。

除了上述漏洞之外,攻擊者也運用了Adobe Reader的漏洞,但研究人員無法確定其CVE編號。

阿里雲OSS儲存桶遭到鎖定,駭客將其用於散布惡意Shell指令碼

雲端服務用戶的組態配置不當,而遭到駭客攻擊的情況屢見不鮮,例如,有人6月底公布10億中國民眾個資,來源就與配置不當的雲端資料庫有關。

趨勢科技揭露針對阿里雲的物件儲存服務(Object Storage Service,OSS)的攻擊行動,駭客鎖定缺乏安全配置的OSS儲存桶,透過Shell指令碼,取得AccessKey ID、AccessKey secret等配對資料,進而挾持受害者的儲存桶,並用來散布惡意軟體,或是將其用來挖取門羅幣。由於OSS的用途是供阿里雲客戶備份網頁應用程式的資料,這樣的攻擊行動很可能不易察覺。

研究人員發現勒索軟體LockBit 3.0與BlackMatter之間的關連

惡名昭彰的勒索軟體LockBit,駭客發布3.0新版本(亦稱LockBit Black)時,許多人聚焦在同時推出的漏洞懸賞計畫(Bug Bounty),最近資安業者SentinelOne、趨勢科技的研究人員,先後公布對該勒索軟體進行解析的結果,並指出駭客運用了部分勒索軟體BlackMatter的程式碼,而使得LockBit 3.0具備許多BlackMatter的特性。

例如,攻擊者需要下達特定的參數,LockBit 3.0才會執行,再者,這款勒索軟體也會列舉能夠使用的API,來濫用於攻擊行動。上述的特性皆與駭客採用了部分BlackMatter的程式碼有關。

而對於新版LockBit的其他特性,兩家資安業者各有不同的發現。SentinelOne指出,駭客透過Cobalt Strike在受害電腦投放LockBit 3.0,並藉由系統服務來維持在電腦運作,而趨勢科技則發現,駭客在留下的勒索訊息裡,搬出了歐盟的GDPR來要脅受害組織付贖金,若是不從,他們未來將會不斷對受害組織發動攻擊。

資安業者Entrust遭到勒索軟體攻擊

提供身分驗證管理解決方案的Entrust在本月初通知客戶,他們的內部網路在6月18日遭到入侵,部分資料外洩,但除此之外並未透露更多細節,此起事故直到研究人員公布Entrust通知客戶的文件才曝光。

而根據資安新聞網站Bleeping Computer掌握的資訊,該公司是遭到勒索軟體攻擊,威脅情報業者Advanced Intelligence(AdvIntel)也證實此起事故是勒索軟體,並指出駭客是從黑市買到該公司員工帳密來入侵得逞。不過,發動攻擊的駭客身分仍不得而知。

駭客以程式語言Rust打造竊密軟體,並免費提供他人使用

駭客以程式語言Rust打造攻擊工具的情況,已有數個駭客組織用來製作勒索軟體,但現在有也開發竊密軟體(Info Stealer)的人士採用此種程式語言。資安業者Cyble發現,有人在7月3日,於駭客論壇上發布以程式語言Rust開發的竊密軟體,並免費提供其原始碼,研究人員將此竊密軟體命名為Luca Stealer。

此竊密程式主要是針對以Chrome為基礎開發的瀏覽器下手,並能針對其密碼管理與加密貨幣錢包的附加元件,竊取相關帳密資料。在瀏覽器之外,Luca Stealer還能挾持Skype、ICQ、Telegram、Discord等即時通訊軟體,以及Steam、UPlay遊戲平臺的帳號。研究人員指出,在3個星期之中,他們已經看到駭客用於25起攻擊行動。

惡意軟體QBot利用舊版小算盤側載,確保能在受害電腦上正確執行

攻擊者濫用系統內建的應用程式發動寄生攻擊(LoL),來側載惡意程式庫的(DLL Sideloading)現象算是相當常見,但現在有人選擇自行挾帶舊版作系統的應用程式,來確保惡意軟體能正常運作。

研究人員ProxyLife與資安業者Cyble聯手,揭露駭客散布惡意軟體QBot(亦稱QakBot)的攻擊行動,駭客首先透過電子郵件來散布HTML檔案,一旦受害者將之開啟,就會下載受到密碼保護的ZIP壓縮檔案,內容是ISO映像檔。

而此ISO檔的內容,包含了4個檔案,其中比較特別的是內有Windows 7版本的小算盤可執行檔(CALC.EXE),駭客將其用來載入惡意DLL檔案,最後將QBot的酬載注入檔案總管,並執行進一步的攻擊行動。這樣的手法,即使微軟在Windows 10、Windows 11移除了相關系統元件,駭客仍能載入QBot發動攻擊。

因應微軟封鎖來自網路的Office巨集,駭客使用ISO映像檔、RAR壓縮檔打包惡意文件

為了防堵駭客利用Office惡意巨集發動攻擊,微軟自6月開始,針對來自網路上的Office檔案,直接封鎖巨集的功能,但道高一尺魔高一丈,駭客已設法突破這樣的保護措施。

資安業者Proofpoint發現,微軟從去年10月開始宣布要採取相關措施後,有越來越多駭客在發動網路釣魚攻擊的時候,將惡意文件檔案進行包裝,他們會使用ISO、IMG光碟映像檔,或是RAR壓縮檔來挾帶這類文件檔案,使得這些惡意文件檔案不會被加上來自於網路的標記(Mark-of-the-Web,MOTW),而能突破微軟的防護機制,駭客仍然可以引誘受害者啟用巨集來達成目的。

研究人員指出,另一個受到許多駭客採用的手法,則是使用LNK捷徑檔案來執行惡意軟體,自去年10月至今,相關的攻擊行動數量成長近17倍(1675%)。

機器學習模型有可能會被騙過而影響資安系統的偵測能力!研究人員透過人工智慧對抗性攻擊,導致資安防護系統產生大量誤報

近年來為了加速找出資安威脅並做出回應,資安防護系統採用機器學習與深度學習的情況越來越普遍,但有研究人員提出警告,駭客有可能操弄機器學習的機制,進而繞過資安防護系統。

美國要塞軍校(The Citadel)的研究人員指出,他們發現攻擊者有可能藉由特製的假資料,來針對採用深度學習模型的網路入侵偵測系統下手,發動對抗性攻擊(Adversarial Attack),以愚弄神經網路進而改變此網路防護系統的行為。

這些研究人員主要聚焦於DNS放大攻擊手法,並訓練一個專門識別此種攻擊的深度神經網路(準確度達98%)模型來進行實驗,結果在使用TextAttack和Elastic-Net Attack兩種對抗性攻擊手法後,上述透過深度神經網路打造的網路威脅檢測系統的準確性顯著下降,並產生大量誤報和漏報。研究人員計畫日後針對實際運作的網路入侵偵測系統進行相關檢測。

北韓駭客使用木馬程式Konni攻擊歐洲國家,但俄羅斯駭客可能也參與其中

北韓駭客APT37近期動作頻頻,先前在今年初針對俄羅斯外交部發動網釣攻擊,現在目標已擴及歐洲多個國家。資安業者Securonix揭露名為Stiff#Bizon的攻擊行動,APT37使用Word檔案與捷徑檔案,鎖定捷克、波蘭等歐洲國家的高價值組織(High Value Target),以俄羅斯戰地記者的報導為幌子,散布RAT木馬程式Konni。

研究人員指出,雖然從惡意軟體與攻擊手法來看,攻擊者的身分是APT37,但根據這起攻擊行動所使用的IP位址、主機代管業者等資訊,俄羅斯駭客APT28(亦稱FancyBear)也很有可能參與其中。

臺灣iPhone外殼供應商可成科技的營業秘密被外洩,偵察終結14名員工遭起訴

中國企圖重金收買臺灣企業員工,竊取公司關鍵的技術,很可能會嚴重影響我國產業的競爭力。臺灣新北地方檢察署於7月15日指出,中國立訊精密工業為了迅速打入蘋果生產供應鏈爭取訂單,鎖定臺灣市占最高的金屬機殼供應商可成科技,引誘該公司派駐中國的研發團隊,竊取製作iPhone、iPad外殼的營業秘密,宣稱投靠後會提供高額安家費、年薪,並於立訊成功量產後,給予主管職位的方式來進行挖角。此研發團隊的鄭姓主管等14人於離職前,以分工合作方式竊取大量可成科技研發、業務相關的營業秘密資料,企圖攜往立訊使用。

新北地檢署經過1年6個月的偵查及蒐證,並發動4次搜索,訊問相關證人及被告,扣押涉嫌收取立訊安家費、薪資的帳號,全案於7月15日偵查終結,這14人依違反證券交易法特別背信罪、營業秘密法意圖在境外使用而侵害營業秘密等罪嫌遭到起訴。

在去年7月專門針對公益團體捐款人行騙的詐騙集團,刑事局近日宣布破獲,並公布受害規模

國內在去年7月爆發大規模捐款人士遭到詐騙的事故,多個公益團體,如:唐氏症基金會、大甲媽社會福利基金會、育成社會福利基金會等,他們的資訊系統都是交由網軟處理,駭客成功入侵該公司並竊得捐款人資料,交由詐騙集團濫用,現在警方破獲此案並逮捕詐騙集團成員。根據中央社的報導,內政部警政署刑事警察局於7月27日,宣布假冒國內45個公益團體的詐騙集團,這些嫌犯藉由前述取得的公益團體捐款人資料,打電話謊稱扣款設定錯誤,必須操作ATM解除分期付款設定,然而受害者依照指示操作後,就會將存款匯至詐騙集團的人頭帳戶。

專案小組自去年9月至今年5月,共查獲48名車手與幹部成員,總計有188人受害,損失逾3,409萬元,其中單次被騙最高金額為506萬餘元。專案小組在長期蒐證後,於5月24日搜索主嫌羅姓男子的公司,查獲電話卡9,445張、電腦主機9臺、貓池主機24臺、手機15隻等證物。羅男與張姓員工將依詐欺和洗錢等罪嫌送新北地檢署偵辦,並裁定以20萬元與5萬元交保。

刑事局指出,詐騙集團為了避免贓款流向被警方發現,羅男先以公司名義申請大量電話卡,再運用貓池接收蝦皮簡訊驗證碼,註冊數萬個蝦皮帳號供中國的假交易集團運用,設立蝦皮賣場,讓被害人匯款到蝦皮錢包,最後以錢包裡的贓款購買虛擬貨幣泰達幣(USDT)來進行洗錢。

專門管理企業臉書帳號的人士遭到竊密軟體Ducktail鎖定

駭客從職場社群網站LinkedIn上,找尋特定職務的人士竊取臉書帳號的情況,有可能成為駭客對受害組織發動攻擊的管道。資安業者WithSecure揭露名為Ducktail的攻擊行動,駭客透過LinkedIn,針對市場行銷與人力資源部門的人士發動攻擊,藉由網路釣魚的手法,在受害者的電腦植入竊密軟體Ducktail,目標是挾持這類人士的臉書帳號。

由於這些人士的帳號可能具有公司粉絲團的管理權限,駭客一旦得手就有機會冒用這些公司的名義散布訊息,或是向其他員工散布惡意軟體,甚至能為商務郵件詐騙(BEC)攻擊布局。

駭客鎖定DHL收件人發動網釣攻擊,並濫用Telegram機器人接收資料

駭客假冒物流業者DHL來發動網路釣魚攻擊的情況,可說是相當頻繁,但現在有人在竊取資料的過程裡,運用了更為隱密的手法,而使得研究人員可能難以察覺。資安業者Sucuri揭露鎖定非洲突尼西亞的網路釣魚攻擊,駭客捏造了DHL的包裹運送進度查詢網站,並宣稱受害者的物品運送過程出現異狀,必須重新提供寄送資料並線上刷卡支付1.49美元費用,該快遞業者才會繼續處理。一旦受害者依照指示操作,駭客就有可能取得信用卡資料與個資。

但此起攻擊事件與其他的釣魚網站攻擊相比,存在數個較為少見的做法,首先,駭客會對使用者的來源IP位址進行檢查,若是發現使用了VPN服務或是Proxy,此網站便會將使用者重新引導到Google;再者,則是對於竊得受害者的資料之後,將其傳輸到駭客手上的方法也有所不同,駭客濫用了雲端應用程式開發平臺Heroku與Telegram機器人,來進行資料傳輸,並非藉由電子郵件挾帶。這樣的做法能夠直接繞過郵件防護系統的偵測。

自中國10億民眾資料事件曝光,大量使用中文的用戶湧入地下論壇,管理者呼籲要透過英文進行交流

在6月底有人於英文地下論壇BreachForums兜售10億中國民眾個資,並標榜資料來自該國政府機關,引起軒然大波,許多研究人員探討事故發生的原因,但此起事故在網路犯罪圈引發的後續效應也相當值得關注。

資安業者Cybersixgill發現,自上述10億人資料的外洩事故爆發後,有大量使用簡體中文的新用戶在BreachForums進行交流,使得網站管理者發出公告,呼籲用戶要使用英文發送訊息,若不擅長使用英文溝通,可考慮透過翻譯軟體將中文轉成英文。

再者,研究人員發現,該論壇提供中國實體外洩資料的情況大幅增加,光是在7月上半就有25起。相較之下,於3至6月期間,每月平均僅有14起,7月上半就已是這些月份快2個月的數量。

研究人員認為這些現象發生的原因,是在前述的資料外洩事件後,中國駭客認為此英文論壇是他們能夠出售資料新管道。由於使用中文與英文的地下社群鮮少有所交集,這次大量中國駭客湧入英文駭客社群的現象,後續帶來的影響相當值得觀察。

中國政府要求阿里巴巴高層調查10億個資外洩事故

在7月初,自稱ChinaDan的駭客兜售含有10億人民個資的資料庫,並聲稱資料來自上海國家警察,這起事件傳出在媒體報導之前,中國政府和雲端服務業者阿里巴巴早就知情。根據華爾街日報(WSJ)在7月14日的報導,阿里巴巴在媒體揭露之前就得知資料外洩情事,並於7月1日召開內部緊急會議,暫時關閉資料庫檢查相關程式碼,隨後中國監控機構就開始約談該公司的高階主管。

資安業者LeakXI也針對此事公布進一步的調查結果,該公司表示,駭客疑似在6月26日動手偷走資料庫,外洩的資料來源是未受保護的Kibana實例,而使得Elasticsearch叢集採用了預設的使用者名稱及密碼,也沒有其他身分驗證機制來保護資料,而能讓駭客輕易將資料偷走。

駭客竊取SQL Server、MySQL伺服器的網路頻寬,將其出售牟利

駭客從受害電腦竊取的東西,不只是機密檔案、電腦運算能力,就連網路頻寬也能偷來賺錢,其手法是暗中植入代理伺服器軟體(Proxyware),將受害電腦的流量供他人使用如今也針對企業的資料庫系統下手。資安業者AhnLab發現近日有人鎖定SQL Server、MySQL等資料庫主機,透過廣告軟體(如Neoreklami)來植入Peer2Profit或IPRoyal代理伺服器軟體。

其中比較值得留意的是,駭客在濫用IPRoyal的服務牟利時,他們會較為偏好使用CLI版本的用戶端程式,透過命令列的方式來部署,使得受害組織難以察覺遭到攻擊的跡象。

研究人員揭露白俄羅斯駭客UNC1511、俄羅斯駭客UNC2589使用惡意軟體攻擊烏克蘭

美國網路司令部於7月20日指出,他們與烏克蘭國家安全局(SBU)合作,在最近幾個月發現數種惡意軟體,他們公布入侵指標(IoC)供各界防範。針對上述的攻擊行動內容,資安業者Mandiant指出,這些惡意軟體背後的攻擊者,很有可能是由白俄羅斯資助的駭客組織UNC1151,以及與俄羅斯政府有關的UNC2589。研究人員指出,這些駭客會假冒烏克蘭當局宣稱接下來可能會出現的攻擊行動,或是以薪資、防毒軟體為誘餌,來散布前述美國網路司令部公布的惡意軟體。

俄羅斯駭客Turla以提供DDoS攻擊工具為由,對親烏克蘭人士的安卓手機下手

在烏克蘭戰爭裡,力挺烏克蘭的人士會想要利用DDoS攻擊工具,來癱瘓俄羅斯的網路,意圖牽制該國的軍事行動。對此,俄羅斯駭客曾經以散布DDoS攻擊工具為由,鎖定聲援烏克蘭人士的電腦植入惡意軟體,而現在駭客也針對這些人士的手機下手。

Google發現俄羅斯駭客組織Turla,近期以提供Cyber Azov安卓手機DDoS攻擊工具的名義,對想要癱瘓俄羅斯網路基礎設施的人士下手。而Turla製作Cyber Azov的模仿對象,很可能就是名為StopWar的安卓App。

勒索軟體Redeemer 2.0免費提供駭客使用,得手後作者抽成牟利

駭客要發動勒索軟體的門檻可說是越來越低,甚至有人免費提供相關工具,然後在受害者支付贖金時才向其抽成。資安業者Cyble發現,有人在7月5日於地下論壇開始宣傳勒索軟體Redeemer 2.0,並提供免費下載,一旦任何人取得,都能用來發動勒索軟體攻擊,而開發者則會在收到贖金後,收取20%做為報酬。

以軟體服務型式提供的勒索軟體(Ransomware-as-a-Service,RaaS),已讓駭客不需自行開發攻擊工具就能發動攻擊,大幅降低攻擊門檻,但現在有了這種免費提供勒索軟體的作法,將有可能使得勒索軟體攻擊更加氾濫。

泰國民主運動參與者的iPhone手機遭植入間諜軟體Pegasus

與網路間諜軟體Pegasus相關的攻擊行動,之前多半被用於攻擊歐美與中東地區的人士,如今也有鎖定東南亞的攻擊行動而引起人權組織的關注。加拿大多倫多大學公民實驗室(Citizen Lab)、國際特赦組織、泰國法律權利監督機構iLaw指控,泰國政府疑似針對參與民主運動的30名人士下手,在2020年至2021年,對他們的iPhone手機植入Pegasus,而遭到鎖定的人士身分,涵蓋了學生、律師、歌手、女演員等,年紀最小的僅有18歲。

而這起攻擊行動被發現的原因,是因為蘋果在2021年11月,針對可能遭到Pegasus跟蹤的人士提出警告,而使得這些受害者尋求相關社會組織進行調查,進而使得此起事件近日曝光。離譜的是,有些受害者在不到2年的時間裡,手機就被植入Pegasus超過10次,而這些攻擊行動的共通點,駭客都是透過iOS零點擊漏洞Kismet與Forcedentry,來對手機下手。

俄羅斯駭客APT29濫用檔案共享服務Dropbox、Google Drive來規避偵測

為了隱匿攻擊行動,駭客組織濫用檔案共享服務的情況越來越頻繁。資安業者Palo Alto Networks 指出,俄羅斯駭客APT29(亦稱Nobelium、Cozy Bear)今年5月初至6月針對西方外交使團、全球駐外大使館的攻擊行動裡,濫用了Google Drive與Dropbox,散布惡意HTML檔案EnvyScout,並進一步在受害電腦投放Cobalt Strike與其他惡意軟體。研究人員向Google、Dropbox通報,兩家業者已封鎖相關攻擊行動。

駭客組織8220已控制逾3萬臺雲端伺服器組成殭屍網路

駭客組織8220因日前利用Atlassian Confluence零時差漏洞,來將此種協作平臺伺服器用於挖礦而引起研究人員關注,這個組織架設的殭屍網路規模大幅增長,帶來的威脅可說是更加險峻。資安業者SentinelOne提出警告,他們觀察到駭客組織8220所建置的殭屍網路,規模從去年中旬的2千臺伺服器,現在已控制超過3萬臺伺服器。研究人員指出,駭客很可能是因為加密貨幣價格大幅下跌,為了能保有相同的利潤,而增加殭屍網路挖礦伺服器的數量。

駭客濫用Google關鍵字廣告,謊稱受害電腦中毒來進行詐騙

Google關鍵字的廣告相當容易模仿,而讓人難以分辨真假。資安業者Malwarebytes指出,他們近期看到有人濫用這種關鍵字廣告的攻擊行動,駭客投放了YouTube網站的廣告,雖然根據內容來看,其網址正確,同時也顯示了與之相關的網站連結,內容與正常的廣告相同,但是只要使用者一旦點選廣告,就會被帶往一個Windows Defender資安警報的網站,並告知使用者的電腦偵測到可疑活動並予以攔截,疑似是遭到木馬與間諜程式感染,使用者可撥打技術支援專線來處理。

一旦使用者依照指示聯繫「技術支援」人員,就會被要求安裝TeamViewer來遠端控制並修復電腦,而使得電腦遭到控制。

駭客鎖定美國線上訂餐平臺,竊得逾5萬張金融卡資料

隨著疫情蔓延,線上訂餐平臺也跟著崛起,但這類平臺也成為駭客盜取交易資料的攻擊目標。根據資安新聞網站Recorded Future的調查,駭客先後於去年11月與今年1月,發動兩起Magecart攻擊,將惡意程式碼注入參與美國線上訂餐平臺MenuDrive、Harbortouch,以及InTouchPOS的餐廳,結果有超過311家餐廳、共5萬張金融卡資料遭竊,並在暗網市場求售。

研究人員指出,較不知名的線上訂餐平臺已成為Magecart攻擊者的重要目標,因為攻擊這類平臺,很有可能竊得大部分餐廳的交易資料。

網釣簡訊攻擊Roaming Mantis鎖定法國發動攻擊

專門從事網釣簡訊(Smiphing)攻擊的中國駭客組織Roaming Mantis,最近又有新的攻擊行動引起研究人員關注。資安業者Sekoia指出,他們在7月上詢偵測到新的Roaming mantis網釣簡訊攻擊,駭客鎖定7萬名法國人的手機而來,若是使用者的手機執行安卓作業系統,遭到攻擊後會被植入惡意程式MoqHao(亦稱Wroba),此惡意程式偽裝成Chrome並暗中收集資料。

但假如受害者使用的手機是iPhone,還是不能掉以輕心。iPhone用戶點選網釣簡訊連結後,會被帶往釣魚網站,駭客目的是騙取Apple ID與iCloud等相關資料。

比利時政府指控遭到多個中國駭客組織攻擊

中國駭客疑似大肆針對西方國家進行攻擊的情況,最近再度上演。比利時外交部於7月18日控訴,中國政府支持的多個駭客組織:Gallium、APT27、APT30、APT31,鎖定該國的國防部與內政部下手,並要求中國政府出面處理,但除此之外並未對網路攻擊事故進一步說明。對此,中國駐比利時大使館予以否認,認為這是比利時的不實指控。

研究人員揭露可透過SATA排線外洩資料的手法

位於隔離網路環境(Air-gapped)的電腦,因為沒有直接與外部網路連線,而具有較高的安全性,但研究人員還是發現有方法能夠突破這樣的限制,把資料傳送到外部。以色列本.古里安大學(Ben-Gurion University)資安研究人員Mordechai Guri發現名為SATAn的攻擊手法,駭客可在成功入侵位於隔離網路的目標電腦後,利用連接磁碟機的SATA排線發送無線電波,進而將資料傳輸到攻擊者的接收裝置。

雖然這項手法接收器最多只能距離目標電腦1.2公尺,但這種能突破網路隔離措施的手法仍有可能造成威脅。

遊戲業者Roblox內部資料遭到公開,起因是駭客索討贖金不成

駭客鎖定遊戲產業下手的情況,可說是越來越常見。根據新聞網站Motherboard的報導,有駭客公開了4 GB的文件檔案,內容疑似是電玩遊戲Roblox創作者的電子郵件信箱、身分證明文件,以及表單。Roblox向該新聞網站表示,這些資料很可能是因為他們拒絕了駭客的勒索而被公開,他們已尋求外部資安專家進行合作,並強化他們的系統來防堵相關攻擊。而對於Roblox遭到入侵的原因,該公司表示很可能是其中一名員工遭到網路釣魚攻擊所致。

LinkedIn是今年第2季駭客偏好用於網釣攻擊的品牌

駭客組織冒用知名品牌來取信受害者,這樣的情況相當普遍,但他們又偏好那些品牌呢?根據資安業者Check Point針對今年第2季網路釣魚活動進行分析,有45%是使用LinkedIn,其次是微軟和DHL,分別為13%與12%。再者,Amazon與蘋果位居第4與第5,但比例都較今年第一季大幅成長而相當值得留意。

虛擬竉物網站Neopets資料外洩,6,900萬用戶與原始碼遭竊

電玩產業遭到攻擊與資料外洩的情況經常發生,最近又有業者傳出受害。根據資安新聞網站Bleeping Computer的報導,虛擬竉物網站Neopets的資料外洩,駭客在地下論壇以4個比特幣的價格(9.4萬美元)兜售,並宣稱內含6,900萬個會員的帳號及密碼,以及該網站的原始碼。Neopets在他們的Discord伺服器上坦承此事,並著手處理。有人向該新聞網站透露,駭客很可能在先前的資料外洩事故取得網站的原始碼,進而找到漏洞再度行竊。

美國從勒索軟體Maui追回50萬美元加密貨幣

遭到勒索軟體攻擊並選擇支付贖金的組織,因為迅速向執法單位通報,而幸運拿回贖金。美國司法部(DOJ)於7月19日指出,他們從使用Maui的勒索軟體駭客組織手上,成功追回50萬美元的贖金,支付贖金的受害組織都是醫療保健機構──其中,位於堪薩斯州的醫院、科羅拉屬州的醫院,分別向該駭客組織支付了10萬及12萬美元的加密貨幣。該單位表示,由於受害的醫院迅速通報,調查人員能取得更為有效的跡證,進而加速破案。

間諜軟體利用Chrome瀏覽器零時差漏洞攻擊中東用戶

Chrome的WebRTC記憶體溢位漏洞CVE-2022-2294於7月初得到修補,Google公告此漏洞已被用於攻擊行動,但沒有進一步說明細節。本週防毒業者Avast透露,此漏洞被用於間諜軟體攻擊。

研究人員指出,網路間諜公司Candiru打造的間諜軟體DevilsTongue,在今年3月開始利用此漏洞,攻擊黎巴嫩、土耳其、葉門,以及巴基斯坦的用戶。研究人員推測,這起攻擊行動很可能是鎖定當地記者和特定的新聞報導而來。

而針對這項漏洞的影響範圍,研究人員也補充說明,當時Candiru只鎖定Windows電腦下手,但這個WebRTC記憶體溢位漏洞與通訊協定有關,其他瀏覽器也可能受到影響。他們將漏洞細節通報蘋果,蘋果在7月20日發布新版Safari予以修補。

針對預設封鎖Office巨集啟用,微軟表示只是暫時延後

微軟於2月宣布,他們將逐步於Office軟體中自動停用從網際網路下載的VBA巨集,來防堵相關的網路攻擊,但在7月6日傳出有用戶發現,微軟在沒有公告的情況下,取消上述的配置,引發不少用戶反彈。

針對此事,該公司後來於8日進行回應,他們是根據使用者的回饋,暫時取消封鎖VBA巨集的措施,同時該公司加入了額外的調整來改善可用性。微軟強調這是暫時的變動,未來還是會透過軟體更新,來全面停用自網際網路下載的VBA巨集,該公司預計在幾個星期內,公布進行相關變更的時程。

資安新聞網站Bleeping Computer指出,有使用者聲稱在微軟進行上述變動後,找不到解除鎖定的按鈕而無法啟用巨集,也有管理者認為,微軟採取封鎖的做法會干擾使用者的作業流程,因為使用者必須對每個從網路上下載的Office檔案逐一解除鎖定。

辦公室軟體WPS Office傳出審核中國用戶檔案內容惹議

根據中國新聞網站IT商業新聞網報導,有WPS Office用戶指控,該辦公室軟體疑似暗中對於使用者電腦的文件檔案進行審查,一旦發現有被中國政府視為敏感的詞彙,將會導致檔案無法使用。

此消息一出引起中國網友恐慌,不只有人認為此舉侵犯使用者隱私,有文字工作者打算改用其他辦公室軟體,來避免自己的心血可能因此付之一炬。對此,金山軟件表示此起事件是有使用者線上檔案涉嫌違規,他們禁止其他人存取,進而被傳成刪除檔案。但金山的說法讓中國網友不禁質疑,該公司如何得知檔案違規?

臺灣總代理無敵科技也對此發出聲明,強調臺灣用戶均使用在臺灣打包的繁體版本,並僅提供私有雲版本,所有連線均連線至企業客戶自行建置的文檔中心,並無內容檢查疑慮。

勒索軟體HavanaCrypt濫用開源密碼管理器來加密檔案

勒索軟體的攻擊模式出現了新的變化,駭客濫用免費、開源的密碼管理器,來將檔案加密,而有可能讓攻擊過程不易察覺。

趨勢科技揭露了勒索軟體HavanaCrypt的攻擊行動,駭客使用.NET打造此勒索軟體,並將其偽裝成Google軟體更新元件,來入侵受害電腦。HavanaCrypt在開始執行的過程中,會從機碼先檢查受害電腦是否存在GoogleUpdate服務,若是沒有相關服務才會繼續執行。接著,此勒索軟體會偵測受害電腦是否存在VMware Tools、vmmouse等虛擬機器(VM)元件,來確保是在真實電腦上執行。

完成上述工作後,該勒索軟體將從微軟的網頁代管伺服器20[.]227[.]128[.]33上,下載BAT批次檔,竄改內建防毒Micorosoft Defender配置,並終止防毒軟體、Office軟體,以及SQL Server、MySQL等資料庫軟體的運作,刪除磁碟陰影備份(Volume Shadow Copy),並限縮此服務只能備份401 MB資料後,才開始執行加密檔案的行動。

比較特別的是,此勒索軟體在加密檔案的過程裡,使用了開源的密碼管理器KeePass Password Safe作為加密元件,但為何駭客要濫用此密碼管理器?研究人員沒有進一步說明。基於此勒索軟體會將勒索訊息檔案一併加密,研究人員認為HavanaCrypt尚在開發階段,並呼籲組織應加強相關防護來因應勒索軟體威脅。

歐洲央行主席遭到釣魚簡訊攻擊,攻擊者佯稱是德國前總理對其下手

有駭客大膽冒用前國家元首的名義,想要對藉此發動針對特定人士的網路釣魚攻擊,而引發高度關注。根據美聯社與路透社報導指出,有人假冒德國前總理梅克爾(Angela Merkel)的名義,寄釣魚郵件給歐洲中央銀行主席Christine Lagarde,要求使用即時通訊軟體WhatsApp討論機密事務,同時請Christine Lagarde提供驗證碼來建立WhatsApp帳號。Christine Lagarde打電話給梅克爾確認而拆穿駭客的詭計。歐洲央行證實確有此事,並強調沒有資訊外洩的情況,但不願進一步說明細節;德國情報單位、聯邦資訊安全局也向該國國會議員提出警告。

雲端會計系統QuickBooks遭到濫用!駭客將其用於網釣攻擊

攻擊者寄送以軟體訂閱服務為幌子的釣魚郵件,算是相當常見,但現在出現了更難察覺異狀的做法。資安業者Inky約自2021年12月開始,發現有人濫用了雲端會計系統QuickBooks,來針對使用Google Workspace與Microsoft 365的中小企業下手,進行電話詐騙,迄今已有2,272次攻擊行動。這些駭客濫用了QuickBooks的30天免費試用期,用來向受害者發送假的發票,聲稱收信人從Amazon、蘋果、BestBuy購買了軟體並已經成功付款,並說明若是沒有購買卻被扣款,可透過客服電話進行後續退款事宜。

一旦受害者依照指示操作,駭客就會要求提供信用卡資料與其他個資,或是要求存取詐欺網站,來截取受害者的資料,有時候駭客甚至還會要求透過遠端桌面連線來處理問題。但實際上,受害者這麼做將會讓對方握有信用卡資料,而可能遭到盜刷。

研究人員指出,駭客濫用QuickBooks而能發出幾可亂真的發票,而且因為電子郵件來自提供此會計服務的IT業者Intuit,難以與真正使用這套會計系統的用戶進行區隔,他們呼籲使用者收到這類購買通知郵件時,應該通過網路商城網站提供的電話,或是向信用卡公司進行確認。

立陶宛能源業者Ignitis遭到俄羅斯駭客DDoS攻擊

在烏克蘭戰爭中表態支持烏克蘭的立陶宛,不時傳出政府機關或是組織遭到DDoS攻擊,使得立陶宛國家網路安全中心(NKSC)於6月23日提出警告,要相關單位加以防範。根據新聞網站BankInto Security的報導,立陶宛國營能源業者Ignitis約於當地時間7月9日凌晨3時,因網站遭到DDoS攻擊而一度無法存取,到了中午才緩解攻擊行動並恢復網站的運作。

該公司發言人表示,他們已經最近的數個星期裡,接連遭遇DDoS攻擊,但駭客沒有得逞,直到7月9日才因為攻擊強度大幅增加而影響網站運作。而針對攻擊者的身分,俄羅斯駭客組織Killnet聲稱是他們所為。

駭客將網路釣魚工具包植入WordPress網站,竊取PayPal用戶個資

受到許多網站採用的線上支付工具PayPal,遭到駭客鎖定,利用工具來竊取使用者的個資。資安業者Akamai在他們的蜜罐裡,發現駭客針對WordPress網站下手,藉由暴力破解的方式入侵後,植入網路釣魚工具包,此工具包鎖定PayPal用戶,假冒一連串的人類驗證機制與身分驗證機制,進而騙取受害者銀行帳號資料、電子郵件信箱密碼、照片等個資,駭客得手後很有可能將其用於洗錢或是其他網路犯罪。

研究人員指出,這個工具包採用一些獨特的手法來規避資安業者的偵測,像是駭客對於連線的IP位址設置,會避免在資安公司的網域黑名單裡,而有可能因此躲過相關檢測。

惡意軟體ChromeLoader以瀏覽器外掛來入侵受害電腦

駭客不光打造EXE可執行檔或DLL程式庫的惡意程式,也企圖透過瀏覽器外掛程式來發動攻擊。資安業者Palo Alto Networks揭露名為ChromeLoader(亦稱Choziosi Loader、ChromeBack)的惡意軟體,研究人員大約於今年1月開始進行追蹤,駭客以光碟映像檔ISO、蘋果裝置的磁碟映像檔DMG的型式來進行散布,並以提供破解版電玩遊戲或是電影的種子檔案名義,來引誘使用者上當。

一旦使用者依照指示在網頁瀏覽器Chrome上安裝了ChromeLoader,駭客不只能存取瀏覽器的個人設定資料,還能操弄瀏覽器發出的請求,同時也可追蹤使用者使用Google、Yahoo、Bing等搜尋的記錄,進而得知受害者的上網行為。

研究人員指出,雖然駭客一開始主要是針對Windows電腦下手,但他們在今年3月看到鎖定Mac電腦的ChromeLoader,因此Mac電腦的用戶也要提高警覺。

惡意PyPI套件鎖定Windows電腦用戶,攻擊Telegram軟體

駭客使用PyPI惡意套件發動攻擊的情況又有新的攻擊事件,這次是針對Windows電腦的Telegram用戶而來。資安業者Sonatype發現flask-requests-complex、php-requests-complex、tkinter-message-box等惡意套件,flask-requests-complex與php-requests-complex內含的程式碼,會在攻擊過程建立使用者帳號,而能夠讓攻擊者透過遠端桌面連線(RDP)任意存取受害電腦;而第3個惡意套件的行為,引發研究人員注意,因為此套件專門鎖定Telegram電腦版程式的tdata使用者設定資料夾,一旦用戶安裝該套件,Telegram的帳號資料就有可能遭到外洩。PyPI接獲通報後,已移除上述套件。

北韓駭客HolyGhost鎖定全球小型組織,發動勒索軟體攻擊

北韓駭客組織運用勒索軟體的攻擊行動,有可能是為了經濟利益而來。微軟揭露名為HolyGhost(DEV-0530)的駭客組織攻擊行動,這些駭客運用名為H0lyGh0st的勒索軟體,自2021年6月開始發動攻擊,並於2021年9月就有多個國家小型企業遇害,受害組織類型涵蓋銀行、學校、製造業,以及活動企畫公司。

駭客疑似利用網站內容管理平臺DotCMS的漏洞CVE-2022-26352,來入侵受害組織,得逞後在網路環境投放勒索軟體加密檔案,並留下勒索訊息,要脅不付錢就公開竊得的資料。這些駭客通常會向受害組織索討1.2至1.5個比特幣贖金。

研究人員指出,這些駭客很可能與另一個北韓駭客組織DarkSeoul(亦稱Plutonium)有所交流,攻擊的目的很有可能是為了經濟利益而出手。

研究人員揭露針對OAuth身分驗證流程進行帳號挾持的手法Dirty Dancing

身分驗證機制OAuth能讓使用者利用自己的Google、微軟、臉書帳號,來存取網站服務,而不需特別申請個別網站的帳號,但這樣的機制有可能被攻擊者拿來挾持帳號。資安業者Detectify揭露名為Dirty Dancing的攻擊手法,駭客可藉由使用的OAuth回應類型的切換,結合重新導向的URI和第三方JavaScript套件的搭配,從中找到可能用來將Token或是授權碼洩露的弱點,執行OAuth-dance的驗證流程,進而挾持使用者的帳號。研究人員呼籲網站經營者要了解OAuth-dance涉及那些網頁,並避免在這些網頁使用外部指令碼,來減少駭客發動Dirty Dancing攻擊的風險。

勒索軟體Lilith進行雙重勒索,終止瀏覽器、收信軟體運作再進行加密

近期新的勒索軟體不斷出現,繼日前被發現RedAlert、0mega,資安業者Cyble的研究人員看到另一個名為Lilith的勒索軟體,鎖定64位元的電腦而來。

研究人員指出,Lilith很可能是使用Babuk外洩的程式碼打造而成,一旦攻擊者下達執行的命令,此勒索軟體將會先停用Office軟體、SQL資料庫,以及上網應用程式(如Firefox、Thunderbird、Outlook等),然後才透過Windows的API加密電腦大部分的檔案,但過程中會跳過系統檔案、可執行檔(EXE)、程式庫(DLL)等,加密完成後會留下勒索訊息,要脅受害者在3天內向他們聯繫,否則將會公開竊得的資料。

資安新聞網站Bleeping Computer指出,已有位於南美的營建集團疑似受害並支付贖金,研判駭客可能偏好攻擊這種大型企業。

勒索軟體0mega要脅對合作夥伴告狀,向受害企業進行雙重勒索

新的勒索軟體最近幾個月不斷有研究人員揭露相關發現,而相當引人注目。根據資安新聞網站Bleeping Computer的報導,名為0mega的勒索軟體於今年5月出現,鎖定全球的組織下手,並向受害組織進行雙重勒索,索討數百萬美元的贖金,該新聞網站的研究人員看到的勒索訊息內容發現,駭客疑似對每個受害組織竊取不同類型的資料,有些事故駭客揚言會向合作夥伴與貿易協會告狀,破壞受害組織的商譽,企圖索討贖金。

研究人員看到駭客公布其中一個疑似不願支付贖金的受害組織,該組織主要經營電子產品的維修與翻新,並表示他們竊得了152 GB資料。

駭客藉由網路釣魚,入侵NFT遊戲Axie Infinity所屬的區塊鏈金流

NFT遊戲Axie Infinity的區塊鏈網路Ronin Network於今年3月下旬遭駭,被盜走約6.25億美元加密貨幣,美國後來指控是北韓駭客Lazarus所為,而這起事故的調查似乎有了新的進展。根據區塊鏈新聞網站The Block於7月6日的報導,2名知情人士向他們透露,駭客入侵Ronin Network的管道,就是透過人脈網站LinkedIn下手,駭客鎖定1名Sky Mavis資深工程師,聲稱提供更好的薪資條件向他招手,使得這名工程師被騙,但這家提供職缺的公司,實際上根本不存在。

消息人士指出,該名工程師還經過多次面試,以為得到一份報酬極為優渥的工作,並下載了名為「職缺(Offer)」的PDF檔案,使得駭客得以藉由Sky Mavis的IT基礎設施,在Ronin Network裡植入間諜程式,並控制驗證伺服器以取得所需的存取權限。

漫畫閱讀程式Mangatoon外洩2,300萬用戶資訊

外洩資料查詢平臺Have I Been Pwned(HIBP)於7月6日,將漫畫閱讀平臺Mangatoon於今年5月外洩的個資加入其資料庫。這批外洩的資料共有2,300萬名用戶的姓名、電子郵件帳號、社群網站帳號、性別等,甚至包含了加鹽密碼。但不論是經營HIBP的資安人員Troy Hunt,還是其他網友,試圖向Mangatoon通報都沒有得到回應。

專門銷售山寨版思科網路設備的美國男子被捕

山寨版網路設備不只效能與功能不佳,還可能存在資安漏洞,使得執法單位決定大動作逮捕涉案人士來遏止歪風。美國司法部於6月29日,專門銷售山寨版思科設備的Onur Aksoy,該人在美國成立超過19家公司、於Amazon設立15家商店、也在eBay開設10家商店,來銷售冒牌的思科設備。

Onur Aksoy引進的設備由中國不肖業者製造,他們將二手及停產的思科設備,偽裝成思科新款產品,並仿冒該公司的標籤、貼紙、文件,來進行銷售。不知情的買家取得後才發現設備效能、功能、安全性有問題,且經常故障,這名人士不只在美國,亦在其他國家銷售這些設備。美國於去年7月突襲Onur Aksoy的倉庫並扣押了價值700萬美元的仿冒品,也在今年6月將他逮捕。

英國CI資安人員面臨工作壓力,恐出現離職潮

隨著因烏克蘭戰爭而導致的網路威脅急速惡化,資安人員很可能難以再負荷不斷加重的工作壓力而選擇離職,使得企業面臨缺乏相關人力的窘境。網路安全服務業者Bridewell近期針對521名國家關鍵基礎設施(CI)的決策者進行調查,結果顯示9成5考慮在1年內離開現職,其中最主要的2個原因,分別是網路攻擊可能會影響他們的職業生涯,但相關攻擊卻越來越無法避免(42%),其次就是此職務的壓力已嚴重影響他們的個人生活(40%)。

電玩遊戲開發商萬代南夢宮傳出遭勒索軟體BlackCat攻擊

勒索軟體BlackCat(亦稱Alphv)的攻擊行動近期可說是相當頻繁,最近電玩遊戲開發商也疑似遇害。資安研究團隊VX-Underground指出,BlackCat於7月11日聲稱攻陷了電玩遊戲開發商萬代南夢宮(Bandai Namco)。萬代南夢宮也於13日向電玩新聞網站EuroGamer、Video Games Chronicle證實,他們在7月3日遭到網路攻擊,多家亞太地區的子公司內部系統遭到入侵,目前該公司正在調查資料外洩的情況。

研究人員揭露安卓惡意軟體Autolycos,超過1年仍有部分有害的App尚未下架

駭客將安卓惡意軟體上架Google Play市集,藉此引誘使用者上當的情況屢見不鮮,但如今手法變得更加隱密而可能不易曝光。資安業者Evina的研究人員發現名為Autolycos的惡意軟體,他們自2021年6月開始,發現Google Play市集裡出現8個內含此惡意軟體的App,Google獲報半年後才移除其中6款,仍有2款可從市集下載。

研究人員指出,Autolycos與其他惡意軟體不同之處,在於攻擊者執行惡意行為的做法,駭客疑似使用遠端瀏覽器(Remote Browser)連線URL,並將結果透過HTTP請求傳送給手機,而非像其他惡意軟體濫用Webview元件。這樣的手法使得攻擊行為更加難以察覺。

巴基斯坦駭客APT36鎖定印度大專院校,散布CrimsonRAT

駭客將攻擊目標鎖定學生的情況,近期有越來越多的事故發生。思科揭露巴基斯坦駭客組織APT36(亦稱Operation C-Major、Mythic Leopard、Transparent Tribe)自2021年12月發起的攻擊行動,駭客針對印度大專院校的學生下手,藉由網路釣魚的方式,向受害者投放惡意文件檔案,一旦收信人開啟檔案,電腦就有可能被部署木馬程式CrimsonRAT,進而長期洩露受害者電腦的資料,並回傳給駭客。

研究人員指出,駭客使用了巴基斯坦主機代管服務業者Zain Hosting的伺服器,來架設基礎設施,但他們推估這只是其中一部分,APT36很有可能使用了多家主機代管服務的設施來進行建置。

印度駭客組織Confucius對巴基斯坦軍事機構發動攻擊

駭客為了避免遭到追查,很有可能濫用CDN服務來隱匿攻擊來源。中國資安業者安天(Antiy)揭露由印度駭客組織Confucius的攻擊行動,駭客自去年下半,開始假冒巴基斯坦政府員工的身分,針對政府機關與軍事單位進行釣魚郵件攻擊,一旦收信者開啟帶有巨集的文件,電腦就會被植入木馬程式QuasarRAT,以及該組織使用C++、C#開發的木馬程式,在受害電腦部署後門並進行竊密。

研究人員指出,這起攻擊行動比較特別的是,駭客為了避免資安人員追查,他們使用了多種手法,例如,駭客竄改木馬程式的時戳,並使用Cloudflare的CDN服務來隱藏攻擊來源。

此外,這些駭客為了確保打開惡意文件檔案的收信人是他們鎖定的目標,他們也運用了Cloudflare防火牆來過濾來源IP位址,而且使用密碼來保護惡意文件。

MITRE發布的資安通告疑曝露易受攻擊的IP設備主控臺

資安通告若是曝露了過多資訊,有可能使得受到影響的系統更容易受到波及。根據資安新聞網站Bleeping Computer的報導,有讀者發現MITRE發布的4月份高危險漏洞安全公告裡,竟在參考資料裡,不慎列出了受影響的設備遠端管理網頁的連結,並指出一旦公布這類資訊後,攻擊者很有可能利用物聯網搜尋引擎Shodan、Censys等,來尋找存在相關弱點的攻擊目標下手。

該新聞網站向MITRE確認此事,對方竟表示他們過往就列過這種型態的參考資料。CERT/CC漏洞分析師Will Dormann、Jonathan Leitschuh都認為MITRE的做法不妥,並表示在CVE資訊裡列舉易受到攻擊的對象,顯得對受到影響的單位不尊重。Bleeping Computer隨後發現,有部分CVE漏洞的資料來源,其實是中國研究人員在GitHub發布的文章,但MITRE疑似複製這些研究人員的發現,並以自己的名義在GitHub發布相關資訊(例如CVE-2022-25584,現此漏洞在GitHub的說明網頁已遭到刪除)。該新聞網站指出,他們向MITRE確認的數個小時後,前述讀者發現的參考資料已遭到刪除。

Google公布駭客租賃服務手法,並封鎖相關網域

駭客租賃(Hack-For-Hire)服務讓想要發動攻擊的人士,在無須具備相關技術,亦不需曝露身分的情況下,針對特定的目標下手。Google於6月30日指出,他們在追蹤駭客在印度、俄羅斯、阿拉伯的攻擊行動時,發現了駭客租賃服務的興起,對象包含了人權擁護者、政治活動家、記者,但也可能是一般民眾,這些受僱的駭客主要會運用網釣攻擊來入侵受害者的電腦,Google將這些駭客所用於網釣攻擊的網域加入Safe Browsing的黑名單。

駭客聲稱攻陷IBM與史丹佛大學

持續整合工具(CI)Jenkins成為駭客入侵組織的管道,且疑似有大型企業受害。資安業者CloudSEK在一個使用英文溝通的駭客論壇上,發現有人在5月7日聲稱,他們透過Jenkins儀表板的漏洞,成功入侵IT業者IBM,為了證明真有其事,這名使用者也附上了號稱是該公司Jenkins儀表板的螢幕截圖。研究人員指出,根據他們對於前述發文的駭客進行調查,這些駭客過往就曾經兜售IBM的初始存取管道,此外,還銷售多個政府實體(Entitiy)的Web Shell存取管道,因此真有其事的可能性相當高。

這些研究人員發現,駭客藉由物聯網搜尋引擎Shodan,鎖定在網路上公開9443埠的企業資產,然後使用獨有的指令碼進行模糊測試,以便於存在漏洞的組織裡,藉由反向代理伺服器(RProxy)的錯誤配置,來進行攻擊。

除了IBM,駭客也提及他們如何入侵史丹佛大學──他們利用了Sudomy軟體列舉與大學相關的子網域,接著利用httpx程式找到WordPress網站的外掛程式路徑(/wp-content/plugins/),再藉由外掛程式的零時差漏洞來發動RCE攻擊。研究人員認為,上述的攻擊手法很有可能被其他人複製,對其他組織進行類似的攻擊,呼籲組織要落實網站應用系統的各式元件修補,並採取多因素驗證(MFA)等措施來防範相關攻擊。

勒索軟體RedAlert鎖定VMware ESXi伺服器而來

駭客鎖定VMware ESXi虛擬化環境下手,並發動勒索軟體攻擊的情況,近期又有新的勒索軟體出現。資安研究團隊MalwareHunterTeam發現名為RedAlert(N13V)勒索軟體駭客組織,並指出已有組織疑似受害且不願意支付贖金,而遭到駭客公布。

資安新聞網站Bleeping Computer取得勒索軟體檔案並進行解析,指出該軟體可在Linux主機上執行,是針對VMware ESXi所設計,因為,有部分的命令是專門為這類環境而設。例如,如果駭客下達了停止所有虛擬機器(VM)運作的參數,該勒索軟體就會執行esxcli的命令來關閉VM。

該新聞網站指出,此勒索軟體採用了名為NTRUEncrypt的演算法加密檔案,且只對於LOG、VMDK、VMEM、VSWP、VMSN等副檔名的檔案執行加密,然後向受害組織索討門羅幣。此外,駭客可下達非對稱加密的命令,來對受害主機進行加密檔案速度測試 。

值得一提的是,雖然上述勒索軟體鎖定ESXi而來,但研究人員在RedAlert的付款網站上,發現支援Windows作業系統的解密工具,由此推測駭客很可能也有開發Windows版的勒索軟體。

俄羅斯駭客APT29濫用滲透測試工具Brute Ratel C4發動攻擊

最近幾年駭客濫用滲透測試工具的情況相當頻繁,當中又以利用Cobalt Strike的攻擊行動最為常見,但有部分組織疑似開始改用其他工具來規避資安系統的偵測。資安業者Palo Alto Networks指出,俄羅斯駭客組織APT29(亦稱CozyBear、Dukes)約自5月下旬,開始利用名為Brute Ratel C4(BRc4)的滲透測試工具發動攻擊。

BRc4是曾任職於Mandiant與CrowdStrike的紅隊演練專家Chetan Nayak製作,該名資安人員開發的動機就是要將其用於紅隊演練,替代Cobalt Strike,紅隊可在目標電腦上部署Badgers(相當於Cobalt Strike的Beacon),來接收攻擊者下達的命令,進行各式攻擊行為。

研究人員指出,BRc4不若Cobalt Strike廣為人知,而且該軟體特別針對防毒軟體與EDR系統打造,使得這些防護系統幾乎無法察覺攻擊意圖。在APT29發起的攻擊行動中,駭客以寄送求職履歷的名義發動釣魚攻擊,挾帶惡意ISO映像檔,但ISO檔案內含的履歷檔案,實際上是Windows捷徑(LNK)檔案,一旦受害者開啟,就會觸發映像檔裡的OneDriveUpdater.exe,然後透過作業系統的Runtime Broker處理程序來載入BRc4的Badger元件。

值得留意的是,Cobalt Strike與BRc4都是商業軟體,但前者已遭到駭客破解而大肆濫用,後者目前沒有類似的情形,究竟駭客如何啟用BRc4的軟體授權,而能用於攻擊行動?資安新聞網站Bleeping Computer取得Chetan Nayak的說法,很有可能是有客戶的員工洩露出去,威脅情報業者Advanced Intelligence(AdvIntel)則認為,駭客很有可能設立了假的公司,而通過Chetan Nayak對買家的背景驗證流程,成功買到BRc4的軟體授權。

勒索軟體Hive改以程式語言Rust開發,恐更加難以察覺攻擊行動

勒索軟體Hive自去年6月出現後,已為全球帶來相當嚴重的威脅,而當時駭客使用Go語言開發勒索軟體引起研究人員的高度關注,但近期這些駭客再度更換程式語言,重新打造勒索軟體。微軟於7月5日指出,他們近期發現的新版勒索軟體Hive,出現了重大的變化,那就是駭客重新使用Rust程式語言打造勒索軟體,而這是繼BlackCat之後,另一款採用此種程式語言打造的勒索軟體。

研究人員指出,駭客會採用Rust開發的原因,包含對於開發者提供更為友善的程式語法,並對系統資源有較精準的控制而執行更有效率,除此之外該程式語言亦具備各式各樣的密碼程式庫,並提供多種機制實現檔案加密保護,而使得研究人員想要對惡意程式逆向工程將會更加困難。研究人員指出,他們找到了改以Rust開發的多個Hive變種檔案,而這些勒索軟體的共通點,在於能察覺攻擊跡象的防毒軟體並不多,即使能夠將其識別為有害,也無法確認就是Hive的變種。

附帶一提,新版Hive的加密手法也相當罕見且複雜──駭客在記憶體內產生兩組金鑰,以橢圓曲線迪菲.赫爾曼金鑰(ECDH)交換協定,並結合Curve25519和XChaCha20-Poly1305兩種演算法,使用ChaCha20對稱密碼用來加密檔案。

駭客組織Lazarus濫用GitHub,遠端控制惡意軟體VSingle

北韓駭客組織Lazarus(亦稱Hidden Cobra)從2020年開始,利用名為VSingle的惡意軟體攻擊日本組織,但近期這些駭客採用了更為隱密的通訊方式,而使得研究人員更難以追查行蹤。

日本電腦緊急應變小組(JPCERT/CC)於7月5日指出,Lazarus改造了他們的後門程式VSingle,研究人員發現其通訊方式出現變化,此惡意軟體本身有3組預設C2伺服器IP位址,但在上述C2伺服器都無法存取的時候,VSingle會先連上GitHub取得新的C2伺服器IP位址,而過程中會隨機從超過10組使用者與儲存庫名稱裡,隨機挑選其中一組來進行連線,來取得新的C2伺服器位址。

研究人員發現,駭客不只繼續發展先前的Windows版VSingle,也開始使用Linux版惡意軟體,而兩者與C2伺服器通訊、執行命令的方法也有所不同──前者濫用作業系統的API,後者則是利用wget來接收並執行駭客下達的命令。JPCERT/CC認為,駭客利用合法伺服器或是雲端服務來藏匿行蹤的情況,不時有事故發生,他們呼籲組織要管制伺服器能存取的外部網路範圍。

美國非營利婚禮司儀培訓機構的AWS S3儲存桶不設防,曝露630 GB婚禮相關資料

又是AWS S3儲存桶配置不當而造成資料曝露的情況,而且還是與許多民眾的終生大事有關。提供架設網站教學的Website Planet於今年4月26日發現,專門培訓婚禮主持人的美國非營利組織American Marriage Ministries(AMM),他們所屬的AWS S3儲存桶,在2018年3月31日至2022年4月的期間,沒有設置密碼或是採取加密等保護措施,使得該單位存放約18.5萬名牧師與1.5萬對夫妻婚禮的資料,任何人都有可能隨意取用。

研究人員看到逾50萬張任命牧師主持婚禮的證書,以及14萬張婚禮的合照照片。該儲存桶總共存放了高達630 GB的資料,研究人員已向AMM與US-CERT通報,但尚未確定這些資料是否已經遭到駭客存取。AMM於5月11日為此儲存桶採取了保護措施,並表示會著手進一步調查。

舊版SMB檔案服務再遭鎖定!勒索軟體Checkmate攻擊提供相關服務的威聯通NAS設備

駭客鎖定網路儲存設備NAS發動勒索軟體的情況,似乎有越來越嚴重的趨勢,近期有新的駭客組織也發動相關攻擊。威聯通(QNAP)於7月7日提出警告,指出該公司旗下的NAS設備遭到勒索軟體Checkmate攻擊,此勒索軟體鎖定提供舊版SMB服務(SMB v1)的NAS設備,藉由字典攻擊來進行暴力破解,進而在受害的NAS設備加密檔案,並留下檔名為!CHECKMATE_DECRYPTION_README的勒索訊息。該公司呼籲用戶應停用舊版SMB服務,並使用最新版本的作業系統來防堵相關攻擊。

根據資安新聞網站Bleeping Computer的調查,此勒索軟體的攻擊行動首度於5月28日出現,受害者需支付1.5萬美元的贖金,才能換到解密金鑰。

駭客利用Follina漏洞散布惡意軟體Rozena

研究人員於5月底揭露Windows支援診斷工具(MSDT)漏洞Follina(CVE-2022-30190),已有多起利用此漏洞的攻擊行動出現,現在出現了更為複雜的攻擊手法。

資安業者Fortinet發現,有人利用惡意Word文件與Follina漏洞,從即時通訊軟體Discord伺服器下載惡意程式Rozena,並藉由圖示與檔案名稱(Word.exe),將其偽裝成Word主程式,同時,為了不讓受害者察覺電腦遭到攻擊,駭客也下載另一個無害的Word檔案。

一旦Rozena被執行,該惡意程式就會透過PowerShell執行Shikata Ga Nai(SGN)編碼加密的Shell Code,進而啟動反向Shell並連線到攻擊者的主機,完成後門的建置。研究人員呼籲使用者應儘速修補Follina漏洞,來防堵相關攻擊行動。

北韓駭客使用勒索軟體Maui,鎖定醫療保健相關機構下手

勒索軟體的威脅可說是越來越嚴重,除了惡名昭彰的Conti、LockBit、BlackCat、Hive,專門鎖定特定產業、過往不曾發現的勒索軟體也相當值得留意。資安業者Stairwell在上個月發現名為Maui的勒索軟體,研究人員指出,這個勒索軟體與其他同類型的攻擊工具,有顯著不同的功能差異,例如,Maui缺少多數勒索軟體提供勒索訊息功能,也不會向攻擊者回傳加密金鑰,研究人員由此推測,駭客必須手動操作Maui,並指定要加密的檔案。

同一天美國網路安全暨基礎設施安全局(CISA)、美國聯邦調查局(FBI)、美國財政部聯手,針對此勒索軟體的攻擊行動提出警告,並指出是北韓駭客所為,這些攻擊者至少從2021年5月就開始行動,鎖定的目標是醫療保健與公共衛生組織(HPH)。他們呼籲這些單位應透過相關措施來嚴加防範,並藉由Stairwell提供的情資來識別相關威脅。

北美大型IT服務業者SHI遭到網路攻擊

大型IT服務業者遭到網路攻擊,很可能使得使用者受到波及。北美大型IT服務業者SHI傳出於7月4日遭到了專業的惡意軟體攻擊,該公司亦表示他們已快速做出因應,來儘可能減少對於營運的影響。資安新聞網站Bleeping Computer指出,該公司部分網站一度出現資訊系統正在維護的訊息,或是顯示Amazon CloudFront、AWS S3出錯的畫面。該公司正與執法單位著手調查,並強調目前沒有客戶的資料遭到外洩的跡象,該公司的供應鏈無外部系統受到波及。

漏洞懸賞平臺HackerOne員工竊取研究人員通報的漏洞牟利

員工竊取營業秘密的資料,再轉手賣給他人的情況不時傳出,而這樣的資料多半是關於公司的智慧財產(IP),或是重大決策的消息。但如今有漏洞懸賞平臺的員工自肥,將研究人員通報的漏洞私下拿來向客戶索取報酬。

漏洞懸賞平臺HackerOne於7月2日發布資安通告,指出他們在6月22日接獲客戶的調查請求,該客戶發現有人使用rzlr的ID名稱,並透過HackerOne以外的管道,以語帶威脅的方式向他們通報漏洞,其內容與其他研究人員藉由HackerOne提供的資訊相當雷同,雖然多名研究人員通報相同漏洞的情況,在漏洞懸賞計畫可說是相當常見,但這起事件相當不尋常的是,該名通報者刻意尋求其他管道與其聯繫,使得這個接獲漏洞通報的用戶決定通知HackerOne。

經HackerOne的資安團隊調查,是一名員工為了自身利益,截取研究人員在HackerOne通報的資料,然後以匿名的身分在該漏洞懸賞平臺以外的管道透露漏洞資訊,目的是取得額外報酬。根據該公司資安團隊追查,至少有7個客戶受害,HackerOne已解僱該名員工,並打算採取法律行動。

微軟針對惡意軟體Raspberry Robin攻擊行動提出警告

有研究人員去年發現惡意軟體Raspberry Robin的蹤跡,現在出現了新的攻擊行動而引起關注。根據資安新聞網站Bleeping Computer的報導,微軟針對Microsoft Defender for Endpoint的用戶,近期提供的威脅情報指出,他們發現許多用戶的網路環境裡,出現名為Raspberry Robin的蠕蟲,主要的散布途徑是透過USB外接裝置,該蠕蟲程式還會透過合法的Windows工具,來繞過使用者帳號控制(UAC)。微軟已將相關攻擊活動標記為高度風險,呼籲用戶要提高警覺。

勒索軟體Eternity加密各式文件檔案,並利用WMI刪除系統備份

駭客組織Eternity對其他攻擊者銷售各式的惡意程式,包含了蠕蟲軟體、竊密程式(Infostealer)、DDoS攻擊工具等,其中近期該組織販賣的勒索軟體,引起了研究人員的關注。

資安業者CloudSEK指出,他們注意到駭客近期對於Eternity推出的勒索軟體產生器產生高度興趣,研究人員根據找到的Eternity勒索軟體檔案進行分析,結果發現,此勒索軟體由C#和.NET編譯而成,在開始執行後會隨機產生一組密碼,並藉由RSA演算法加密,組成解密檔案所需的sendme.eternityraas,然後對受害電腦的資料進行加密,再透過Base64演算法對這些加密資料進行編碼,將其以sendme.eternityraas檔案存放在電腦的桌面資料夾,完成後會要求受害者將sendme.eternityraas傳送給駭客,而對方在收到800美元贖金後,會從上述檔案取得密碼並傳送給受害者,以便進行檔案解鎖的流程。

而在加密受害電腦的檔案之後,研究人員發現,勒索軟體Eternity還會透過WMI來刪除系統的磁碟陰影複製(Volume Shadow Copy)檔案,並藉由登錄檔讓自己在電腦進入作業系統後就執行,而使得受害者更加難以因應。

勒索軟體AstraLocker釋出解密金鑰

勒索軟體駭客疑似為了避免執法單位找上門而決定收手,但這不代表他們打算就此改邪歸正。根據資安新聞網站Bleeping Computer的報導,勒索軟體駭客AstraLocker打算關閉相關業務,並將解密金鑰上傳到了惡意程式分析平臺VirusTotal,該新聞網站也確認駭客提供的解密程式確實能解鎖檔案,資安業者Emsisoft打算根據駭客的解密軟體,打造能因應組織所有攻擊行動的解密工具。

這些駭客向Bleeping Computer表示,他們不想再發動勒索軟體攻擊,現在想要轉換跑道挾持他人電腦來挖礦。

英國陸軍推特與YouTube帳號遭駭,並用於網路詐騙

駭客針對知名組織、名人的推特或YouTube頻道進行挾持,並用於詐騙的情況,不時傳出相關事故,但最近有一起駭客同時針對上述兩種帳號進行挾持的事故,而引起各界關注。根據加密貨幣新聞網站Web3 Is Going Great的報導,擁有36.2萬人追蹤的英國陸軍推特帳號,以及該單位擁有17.8萬人追蹤的YouTube頻道,於上週末遭不明人士挾持,置換成推銷NFT及加密貨幣交易的詐騙訊息,英國國防部證實此事並著手調查,並於7月4日表示上述的推特與YouTube帳號恢復正常。

青少年透過即時通訊軟體Discord組成駭客團體,出售惡意軟體牟利

網路犯罪的年齡層大幅下降,如今有研究人員發現,未成年的小孩疑似為了零用錢,加入銷售惡意軟體的行列。防毒業者Avast發現了一個Discord伺服器,當中的成員幾乎都是未成年的青少年,他們在打造、交易,以及傳播惡意軟體,這個組織疑似透過惡意軟體產生器與工具包,號稱無需實際撰寫程式,吸引青少年客製化惡意軟體的功能與介面樣貌,加入銷售這些網路攻擊工具,如:勒索軟體、竊密程式、挖礦軟體等。

研究人員建議家長要留意小孩的狀態,若是他們開始使用dox、DDoS、Bot的網路術語,或是家裡網路流量大幅增加,小孩收到來路不明的新禮物等情況,就應該進一步了解,假若他們對駭客行為產生興趣,家長應鼓勵他們從事相關研究,並朝向白帽駭客與資安相關工作發展。

遭到勒索軟體攻擊並支付贖金的荷蘭大學,2年後追回部分加密貨幣

有大學數年前遭到勒索軟體攻擊,因執法單位追回部分贖金而幸運地彌補了損失。根據荷蘭新聞網站人民報(De Volkskrant)的報導,當地的馬城大學(Maastricht University)於2019年遭到大規模網路攻擊,駭客加密了數百臺Windows伺服器與備份系統,影響2.5萬名學生與員工,並向該校索討20萬歐元的比特幣,馬城大學為了讓學生能正常考試與完成論文,選擇向駭客低頭。

荷蘭警方於2020年追蹤到贓款流向,並查封洗錢者的帳戶,追回馬城大學先前支付的部分比特幣,經過2年後近期將歸還給學校。該新聞網站指出,這些比特幣的價值,已從支付贖金時的4萬歐元,現在價值大幅增加為50萬歐元。馬城大學表示,這些追回的贖金將用於幫助經濟拮据的學生。

 

【漏洞與揭露】

微軟發布7月份例行修補公告,揭露84個漏洞的緩解方法

微軟於7月12日發布每月例行修補(Patch Tuesday), 本次總計修補84個資安漏洞,當中有4個為重大(Critical)漏洞。但這些漏洞最引起各界關注的是CVE-2022-22047,此為已遭到駭客利用的漏洞,與用戶端/伺服器執行時期子系統(Client/Server Runtime Subsystem,CSRSS)有關,攻擊者一旦成功利用此漏洞,就有可能取得SYSTEM權限,使得研究人員呼籲使用者應優先修補這項漏洞。而在本月微軟處理的漏洞中,還有CVE-2022-22026與CVE-2022-22049也和CSRSS有關,亦屬重要層級的漏洞。

OpenSSL發布3.0.5版,修補嚴重程度可能比擬Heartbleed的漏洞

 在6月下旬有研究人員揭露加密程式庫OpenSSL的漏洞CVE-2022-2274,這項漏洞使得支援AVX512指令集的64位元處理器在解析2048位元RSA私鑰發生錯誤,進而導致記憶體被破壞,攻擊者一旦利用這項漏洞,就有可能發動RCE攻擊,嚴重程度有可能接近2014年出現的Heartbleed。對此,OpenSSL於7月5日發布3.0.5版予以修補,使用3.0.4版的用戶應儘速更新。

網站內容管理系統Drupal的RCE漏洞得到修補

駭客攻擊網站內容管理系統(CMS)的事故不斷發生,雖大多是針對WordPress而來,但Wix、Joomla、Drupal等系統的漏洞也值得留意。Drupal的開發團隊於7月20日發布資安通告,公告4項漏洞的細節與緩解措施,影響9.3與9.4版,當中最為嚴重的是CVE-2022-25277,一旦攻擊者加以利用,就有可能透過Apache網頁伺服器上傳惡意文件的方式,執行任意PHP程式碼。不過,要觸發這項漏洞存在限制,其中一項就是網站伺服器必須是使用Apache網頁伺服器,Drupal呼籲網站管理員要儘速檢查伺服器是否遭到入侵,並發布9.3.19與9.4.3版修補上述漏洞。

此外,資訊洩露漏洞CVE-2022-25275也影響Drupal 7,網站管理員應升級7.91版來緩解漏洞。

Atlassian修補Confluence寫死帳密的漏洞

企業協作平臺Confluence傳出內建寫死的帳號密碼,引發用戶高度關注,但有別於一般將帳密直接寫入程式碼的情況,這個漏洞竟是附加元件在部署流程裡,自動建立的系統帳號造成。

Atlassian於7月20日,針對Confluence伺服器與資料中心,修補重大漏洞CVE-2022-26138,此漏洞與名為Questions for Confluence附加元件有關,原因在於企業在Confluence伺服器上部署此附加元件後,就會自動建立帳密皆為disabledsystemuser的帳號,此帳號為confluence-users群組成員,駭客很有可能用來入侵此協作系統並發動攻擊。該公司發布Questions for Confluence新版2.7.38、3.0.5來修補漏洞,管理者亦可透過移除此帳號來處理。

Jenkins公布近30個零時差漏洞

持續整合平臺Jenkins於6月30日,公告34個外掛程式的漏洞,這些漏洞存在於29個外掛程式,其中,該公司已修補了GitLab、requests-plugin、TestNG Results、XebiaLabs XL Release等4項元件的漏洞,但值得留意的是,仍有29個漏洞仍有待修補,這些尚未修補的元件已被安裝逾2.2萬次,根據物聯網搜尋引擎Shodan的資料,逾14.4萬臺曝露於網際網路的Jenkins伺服器有可能成為攻擊目標。

JavaScript網頁應用程式框架Blitz.js存在原型污染漏洞

網頁應用程式框架有助於增加開發的速度,但也可能產生更多攻擊面或是潛在的弱點,而引起研究人員關注。資安業者SonarSource揭露JavaScript網頁應用程式框架Blitz.js的漏洞CVE-2022-23631,此漏洞出現在該框架的遠端程序呼叫(RPC)層中,名為superjson的序列化程式庫,一旦攻擊者加以利用,就有可能在沒有經過身分驗證的情況下,對此網頁應用程式框架進行原型污染(Prototype Pollution)攻擊,操縱採用Blitz.js的應用程式,並藉由建立反向Shell的方式,來在受害伺服器上執行任意命令。

研究人員於今年2月7日通報,Blitz.js與superjson於同月10日提供更新版本,研究人員於7月12日公布相關細節。

Node.js存在原型污染漏洞,恐被攻擊者用於RCE攻擊

隨著網頁應用程式框架受到廣泛應用,在JavaScript程式碼裡可能會存在的原型污染(Prototype Pollution)漏洞,也引起研究人員關注。瑞士皇家理工學院(KTH Royal Institute of Technology)的兩名研究人員指出,在今年3月公布Node.js後端程式Parse Server的重大漏洞後,他們又從NPM CLI裡找到2個能被用於原型污染攻擊的漏洞,並指出Node.js的API當中,有11個小工具(Gadget)潛藏被用於RCE攻擊的風險。

聯想筆電UEFI韌體再傳漏洞,波及ThinkBook、Yoga系列等逾70款機種

資安業者ESET發現聯想筆電的UEFI韌體,存在3個記憶體緩衝區溢位漏洞CVE-2022-1890、CVE-2022-1891及CVE-2022-1892,一旦攻擊者加以利用,有機會在取得本機權限後,進一步在開機階段就提升權限,並能執行任意程式碼,進而關閉安全防護功能,該公司旗下ThinkBook、Yoga、Flex、Ideapad等多個產品線都有機種受到影響,總計有70餘款存在上述漏洞,聯想已推出修補程式供用戶更新。而這是該公司筆電產品的UEFI韌體2度發現漏洞。

思科資料中心網路管理系統存在漏洞,恐讓攻擊者取得root權限執行命令

思科於7月20日發布資安通告,修補旗下資料中心網路管理系統Nexus Dashboard的3個漏洞,這些漏洞一旦遭到攻擊者利用,就有可能在沒有通過身分驗證的情況下遠端執行任意命令、讀取,上傳容器映像檔,以及發動跨網站偽造請求(CSRF)攻擊。

其中最嚴重的漏洞是CVE-2022-20857,CVSS評分為9.8分,起因與部分API存取控制的配置有關,駭客可藉由發送偽造的HTTP請求,來存取特定的API,而能夠在受害裝置上執行任意命令。該公司發布Nexus Dashboard 2.2(1e)修補上述漏洞,並呼籲用戶儘速升級軟體。

VMware修補去年11月揭露的vCenter漏洞,在8個月後才為部分版本提供更新程式

資安業者CrowdStrike於去年11月,揭露VMware vCenter Server權限提升漏洞CVE-2021-22048,但VMware直到8個月後,才開始對於部分版本提供更新程式。CVE-2021-22048與該系統提供的整合式Windows身分驗證(IWA)有關,不僅影響6.5、6.7、7.0等多個版本的vCenter Server,也可能波及混合雲平臺Cloud Foundation。

該公司於7月12日發布了vCenter Server 7.0 Update 3f,來修補這項漏洞。而針對vCenter Server 6.5、6.7版用戶,該公司則建議依照先前提供的漏洞緩解指南,將單一簽入(SSO)的組態從IWA移轉為透過LDAP身分驗證的AD目錄架構。

SAP修補ERP系統Business One的高嚴重漏洞

SAP於7月12日發布每月的例行修補,針對20個漏洞的緩解措施進行公告,其中有4個漏洞屬於高風險漏洞,有3個存在於ERP系統Business One,另1個為BusinessObjects的漏洞。而在公告當中最為嚴重的漏洞是CVE-2022-35228,CVSS風險評分為8.3分,這是商業智慧軟體BusinessObjects集中管理主控臺的資訊洩露漏洞,資安業者Onapsis指出,攻擊者一旦利用這項漏洞,有機會在尚未通過身分驗證的情況下,藉由網路取得Token的資料。不過,駭客想要觸發這項漏洞有項前提,那就是需要有使用者存取應用程式的情況下,才能進行漏洞攻擊。

車輛GPS追蹤器MiCODUS MV720存在重大漏洞,恐讓駭客進行跟蹤或控制車輛

GPS追蹤器讓企業能準確掌握車輛的狀態,但這類設備一旦出現漏洞,有可能讓他人進行跟蹤,甚至是遠端中斷車輛動力。資安業者BitSight在MiCODUS MV720車輛追蹤器上發現6個漏洞,當中包含了寫死(Hard-coded)帳密、驗證不當、跨網站指令碼弱點等,其中最嚴重的漏洞是CVE-2022-2107和CVE-2022-2141,CVSS風險評分皆為9.8分,攻擊者可利用前者存取管理伺服器,假冒用戶傳送命令到車輛;後者則是能讓攻擊者不需通過檢查密碼的身分驗證流程,就可以下達命令。

由於此裝置用戶遍及169國、部署逾150萬輛車,涵蓋政府機關、軍隊、警方,以及財星50大企業,影響的範圍相當廣,但研究人員自去年9月開始,多次向MiCODUS通報沒有得到回應,今年初找上美國網路安全暨基礎設施安全局(CISA)協助進行溝通,該公司始終沒有提供修補程式,於是,研究人員與CISA決定公布相關細節,並呼籲用戶最好先暫停使用。

圖像化資料分析系統Grafana修補可能會導致管理員帳號遭到接管的漏洞

資安研究團隊HTTPVoid於6月底,在圖像化資料分析系統Grafana發現OAuth功能的漏洞CVE-2022-31107,一旦攻擊者加以利用,就有機會存取其他使用者的帳號,CVSS風險評分為7.1分,Grafana 5.3版以上都會受到影響。Grafana於7月14日發布8.3.10、8.4.10、8.5.9、9.0.3版予以修補。開發團隊指出,若是使用者暫時無法更新Grafana,也可透過停用所有的OAuth身分驗證機制,來緩解上述漏洞。

IT稽核軟體Netwrix Auditor漏洞恐被駭客用於挾持AD網域

稽核軟體很可能握有高系統權限,而使得此種系統的漏洞引起嚴重的後果。資安業者Bishop Fox發出資安公告指出,他們在IT稽核軟體Netwrix Auditor上找到新的漏洞(尚未取得CVE編號),與不安全的物件反序列化有關,一旦攻擊者加以利用,就有可能在目標伺服器上執行任意命令。

研究人員指出,由於Netwrix Auditor對於指令的執行,是使用NT AUTHORITY\SYSTEM的權限,而使得上述漏洞的危害相當嚴重,除了攻擊者可能將Netwrix伺服器完全破壞,還能進一步挾持受害組織的AD網域。研究人員呼籲,組織應儘速更新Netwrix Auditor至10.5版,來避免此漏洞帶來的資安風險。

資安業者呼籲修補NFS漏洞CVE-2022-30136,比Folina漏洞更容易被利用

在6月份微軟發布的每月例行修補(Patch Tuesday),許多研究人員聚焦在已出現攻擊行動的Follina漏洞(CVE-2022-30190),但最近有資安業者提出警告,有另外一個漏洞攻擊者更加容易利用也相當值得留意。

趨勢科技於7月14日提出警告,微軟在上個月修補的Windows網路檔案系統(NFS)漏洞CVE-2022-30136,可讓攻擊者在沒有通過身分驗證的情況下,對於目標伺服器發送惡意的遠端程序呼叫(RPC),進而在SYSTEM的上下文執行任意程式碼,但若是漏洞利用失敗,還是有可能癱瘓該伺服器。此漏洞影響使用NFS第4版協定的Windows電腦,第2版與第3版NFS協定沒有相關風險。

研究人員指出,此漏洞較Follina更為容易利用,而有可能被用於癱瘓伺服器,他們呼籲使用者應儘速安裝修補程式來因應。

臺廠Moxa修補工控裝置伺服器設備的零時差漏洞

資安業者En Garde Security提出警告,臺灣工控網路通訊業者四零四科技(Moxa)旗下的NPort 5100系列設備伺服器,存在兩個零時差漏洞CVE-2022-2043、CVE-2022-2044,CVSS風險評分為7.5與8.2分,一旦遭到利用,攻擊者很可能藉由越界寫入的手法,或是改變記憶體數值,導致此裝置出現無法回應的狀態。

四零四科技在3月獲報後,於6月上旬予以修補,並表示這些漏洞只存在於2.10版韌體。美國網路安全暨基礎設施安全局(CISA)也於7月26日發布資安通告,呼籲用戶應儘速部署新版韌體。

多家企業級系統軟體著手修補處理器漏洞Retbleed

上星期研究人員揭露影響Intel與AMD處理器的漏洞Retbleed(CVE-2022-29900、CVE-2022-29901、CVE-2022-28693、CVE-2022-23825),近期有多家企業級系統軟體,著手予以修補。根據資安新聞網站SecurityWeek的報導,虛擬化平臺Citrix Hypervisor、VMware ESXi、Xen都已提供修補程式,Red Hat、SUSE、Ubuntu等Linux作業系統也有相關的資安通報。

微軟Teams的貼圖功能存在漏洞,恐讓攻擊者用於XSS攻擊

協作平臺提供的貼圖功能可讓人更容易表達看法,但這樣的功能也有可能出現漏洞,而成為攻擊者利用的目標。研究人員Numan Turle在微軟Teams的貼圖(Sticker)功能裡,發現了能觸發跨網站指令碼(XSS)的漏洞, 起因與微軟採用了舊版JavaScript框架元件Angular有關。研究人員使用HTML程式碼製作惡意iframe,然後透過Teams的貼圖功能傳送後,能夠觸發前述的XSS漏洞。微軟於今年1月6日獲報,並在3月完成修補,研究人員在7月13日公布細節。

Juniper Networks修補網路管理平臺、軟體定義網路系統的重大漏洞

資安業者Juniper Networks於7月13至14日,針對旗下多項產品發布修補程式,其中最為嚴重的漏洞是CVE-2021-23017,CVSS風險評分為9.4分,存在於網路管理系統Junos Space、NorthStar Controller所使用的Nginx解析器元件,一旦攻擊者加以利用,就有機會藉由DNS伺服器傳送偽造的UDP封包,來造成1個位元的記憶體覆寫,導致正在執行的處理程序損毀等情況。

這次Juniper也針對軟體定義網路解決方案Contrail Networking進行升級,修補一組影響程度達到CVSS評分10分的漏洞,其具體做法是更新此系統所使用的容器映像檔Red Hat Universal Base Image(UBI),從RHEL 7升級至RHEL 8。

該公司發布了Junos Space 22.1R1、NorthStar Controller 5.1.0 Service Pack 6與6.2.2,以及Contrail Networking 21.4.0來修補上述漏洞。

思科、Fortinet修補旗下產品漏洞

思科與Fortinet近日修補旗下產品的重大漏洞,並呼籲用戶要儘速修補。思科於7月6日發布資安公告,總共修補了10個漏洞,其中最危險的是CVE-2022-20812與CVE-2022-20813,CVSS評分各為9.0與7.4,影響該公司的Expressway系列軟體,以及TelePresence視訊會議系統等兩套產品,一旦漏洞遭到利用,就有可能讓駭客覆寫任意檔案,或是製造空位元中毒攻擊。

Fortinet也於7月5日修補4個高嚴重性漏洞,這些漏洞為CVE-2021-43072、CVE-2021-41031、CVE-2022-30302、CVE-2022-26117,CVSS評分為7.4至8.0分,影響FortiAnalyzer、FortiClient、FortiDeceptor,以及FortiNAC,一旦遭利用,攻擊者有可能在通過身分驗證的情況下執行任意程式碼,或是存取MySQL資料庫,以及從本地使用者提升為SYSTEM的權限。

Intel與AMD處理器存在Retbleed漏洞

處理器廠商針對推測執行(Speculative Execution)漏洞提供的防護措施,再次出現可被繞過的情況。蘇黎世大學(UZH)研究人員揭露新型態的Spectre分支目標注入(Spectre-BTI)攻擊手法,利用名為Retbleed的漏洞(CVE-2022-29900、CVE-2022-29901),可繞過2018年Google開發的Spectre v2緩解措施Retpoline。有別於其他Spectre變種攻擊手法濫用間接跳躍、呼叫的方式,Retbleed是濫用退回(Return)指令,而能夠突破Retpoline防護機制,這些漏洞影響Intel的第6至8代Core系列處理器(Skylake、Kaby Lake、Coffee Lake),以及AMD的Zen 1、Zen 1+、Zen 2處理器產品線。

這兩家業者分別針對Retbleed提供緩解措施,Intel建議採用名為Enhanced Indirect Branch Restricted Speculation(eIBRS)的機制、AMD則提供了Jmp2Ret來防範Retbleed,但根據研究人員的測試,這兩項機制有可能導致處理器效能下降14%至39%。

微軟修補VM災害復原服務Azure Site Recovery逾30個漏洞

微軟在7月12日發布每月例行修補(Patch Tuesday)公告,當中揭露了84個漏洞的緩解措施,其中有超過三分之一與VM災難復原服務Azure Site Recovery有關,共有32個漏洞。這些漏洞有30個是權限提升漏洞,2個是RCE漏洞。

其中,微軟特別針對DLL挾持漏洞CVE-2022-33675特別提出警告,一旦攻擊者利用漏洞,建立特定名稱的惡意DLL程式庫,就有可能導致此程式庫在Azure Site Recovery的應用程式啟動時一併載入,並以SYSTEM權限執行,CVSS風險評分為7.8分。通報此漏洞的資安業者Tenable指出,這樣的漏洞很有可能讓駭客在發動勒索軟體攻擊時,清除Azure Site Recovery備份的資料而讓組織無法還原。

惡意程式碼恐藉由macOS漏洞繞過應用程式沙箱防護機制

駭客在Windows作業系統濫用含有巨集的Office文件已是常態,但類似的手法也可能因作業系統漏洞而有可能用來攻擊Mac電腦。微軟針對日前通報給蘋果的漏洞CVE-2022-26706公布細節,並指出此漏洞可讓駭客藉由含有惡意巨集的Word檔案,突破macOS的應用程式沙箱,在Mac電腦上執行任意命令。微軟在去年10月通報後,蘋果在今年5月發布的macOS Big Sur 11.6.6修補此漏洞,研究人員呼籲用戶應儘進安裝更新軟體。

Google修補Chrome瀏覽器的零時差漏洞CVE-2022-2294

Google於6月下旬推出Chrome 103版,在2個星期後緊急推出更新,目的是為了修補已被利用的零時差漏洞。Google於7月4日,發布Windows版Chrome 103.0.5060.114Android版103.0.5060.71,以及延伸支援版本102.0.5005.148(Windows、macOS版本),該公司之所以推出這些版本,就是修補已經遭到利用的漏洞CVE-2022-2294,這是WebRTC堆積緩衝區溢位漏洞。相關用戶應儘速安裝新版Chrome來防堵攻擊行動。而這是今年以來Google修補的第4個Chrome零時差漏洞。

網頁框架軟體Django發布新版,修補SQL注入漏洞

以程式語言Python打造的網頁框架Django,最近修補了SQL注入漏洞CVE-2022-34265,所有尚在支援的Django版本,包括3.2版、4.0版,以及尚在測試階段的4.1版都會受到影響。Django軟體基金會發布了3.2.14版與4.0.6版予以修補,並表示4.1版正式版本將包含相關的修補程式碼。

研究人員揭露能遠端打開Honda汽車的Rolling-PWN漏洞

在今年3月,有研究人員發現了能攻擊本田(Honda)汽車漏洞CVE-2022-27254,駭客可截取遙控器的訊號來解鎖車輛,但相關的漏洞可能比預期影響範圍還要來得廣泛。星輿實驗室(Star-V Lab)近日指出,他們在今年1月發現的資安漏洞Rolling-PWN(CVE-2021-46145),雖然當時認為本田使用了滾動式密碼(Rolling Code),而導致相關的漏洞攻擊效果有限,但他們進一步調查後發現,這項漏洞能讓攻擊者輕易破解遠端無鑰匙進入系統(Remote Keyless Entry,RKE),而使得此系統的滾動式密碼形容虛設,讓駭客能藉由中間人攻擊(MitM)來打開車門。

研究人員利用此漏洞成功解鎖10種型號的本田汽車,當中還包含了2022年車款。Rolling-PWN與於本田防範使用者誤觸遙控器的功能Sliding Window有關,此功能在汽車一旦連續收到開鎖或解鎖的命令,會將計數器重新同步,使得舊的密碼仍能解鎖車輛。

汽車雜誌The Drive記者Rob Stumpf也著手進行實驗,成功重現了Rolling-PWN漏洞。對此,本田汽車向新聞網站Motherboard表示,這項發現與今年3月的漏洞CVE-2022-27254類似,他們認為自家RKE不存在相關漏洞。

研究人員指出,漏洞在取得CVE編號的15分鐘後,就可能會有駭客開始嘗試利用

IT人員在執行系統的修補工作上,通常至少需要一天以上的時間,很多人可能會覺得在零時差漏洞之外,大多數的漏洞仍能有幾天的時間緩衝,駭客不會這麼快就出手,但其實不然。資安業者Palo Alto Networks最近指出,駭客會不斷監控軟體開發者的資安公告,是否有新的漏洞資訊,並在漏洞取得CVE編號的15分鐘後,就開始在網際網路上掃描,找出存在漏洞的系統。

 

【資安防禦措施】

NIST選出4款可防禦量子駭客的密碼學演算法

美國國家標準暨技術研究院(NIST)於2016年,針對量子密碼提出標準化的提案(Post-Quantum Cryptography Standardization),並公開徵求適用於這類運算的加密演算法後,最近有了重大突破。

NIST於今年7月5日,將4種量子密碼納入標準,它們是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON,以及SPHINCS+。這4種量子密碼,CRYSTALS-Kyber是應用於上網安全,其餘3種則是適用於數位簽章領域。

該單位指出,他們挑選CRYSTALS-Kyber量子密碼的原因,在於其密鑰檔案較小,以及執行速度較佳等特性;而對於另外三個量子密碼的用途,主要是針對數位簽章提供保護,適用於數位交易與簽署文件,當中又以CRYSTALS-Dilithium最適合做為主力,FALCON適合運用於需要更小的檔案簽章應用程式,至於SPHINCS+,NIST指出與認為此量子密碼的主要價值,在於採用了散列函數,而非其他3個所使用。NIST也表示他們正在評估另外4款量子密碼,並有機會將它們也納入標準。

微軟Windows 11 22H2將帳號鎖住原則列為預設,提高RDP暴力破解難度

為降低RDP相關暴力破解密碼攻擊,微軟預計下半年新版Windows 11 22H2中,將把帳號鎖住原則(Account Lockout Policy)設為預設啟用,也就是10分鐘內10次登入錯誤即鎖住帳號,提高破解難度,而未來之前的Windows版本也可能實施。

臺灣企業資安投資抵稅正式上路,最新投資抵減辦法7月公布

為了幫助產業的進步,政府持續祭出租稅優惠,從早期獎勵投資條例、促進產業升級條例,到現行的產業創新條例,期望帶動相關投資。最近幾年,政府不只是鼓勵產業朝智慧機械製造、5G行動通訊的發展,提供投資抵減的短期租稅優惠措施,更值得關注的是,今年這項措施首度擴及資安投資,讓公司購置資安產品或服務,也將可享投資抵減的短期優惠。

經濟部與財政部在7月4日發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」,新增資安投資抵稅3年優惠,並對資安產品與服務列出明確定義,經濟部表示,企業可至線上投資抵減申辦系統申請。

我國將智慧監控醫院、故宮博物院列為關鍵基礎設施

根據自由時報的報導,行政院正在界定新的關鍵基礎設施(CI)名單,目前已完成關鍵基礎設施主管機關的自評流程,預計於8月至9月呈報行政院複評,行政院將在10月完成指定。這份名單中,傳出臺電中央電力調度中心,以及核一、核二、核三廠皆被納入,但核四廠因為已經封存且停止運作,將不再列為關鍵基礎設施。

而在本次規畫新增的設施裡,包含了24小時智慧監控醫院,以及典藏國家文物的故宮博物院。不過,該報導指出,故宮採用封閉的內部網路,沒有與網際網路連接,相關的資安事宜不必呈報行政院納管。

資安卓越中心公布建置成果

行政院資通安全處於去年8月底,橫向整合跨部會資源,提出資安卓越中心計畫,成立資安卓越中心(CCoE),發展數位應用資安生態系。此計畫由科技部支援資安處辦理,擬定資安前瞻研究、頂尖實戰人才養成、國際合作,以及技術移轉創新育成等發展項目,來規畫並建置資安卓越中心。今天(7月8日)該中心於臺北科技大學發表此建置計畫的成果,除介紹該中心的服務項目,並對於密碼研究、網路威脅防禦、網路資料分析,以及人才培育等工作的推動進行說明。

AWS免費提供美國帳號Root User用戶領取FIDO實體安全金鑰

為了促進AWS用戶採用MFA,保護線上服務帳號安全,Amazon在7月11日正式宣布開放免費下訂實體安全金鑰(Security Key),目前適用對象為AWS美國帳號Root User用戶,且帳戶需最近三個月每月花費達100美元

NPM新版雙因素驗證機制正式上線

為了防範NPM套件遭到挾持,並被竄改成惡意軟體,GitHub日前宣布將強制使用雙因素驗證(2FA),並分階段逐步實施,預計2023年底全面採用。而為了讓開發人員更容易使用此種身分驗證機制,他們也自5月初著手改良,並於近期正式上線。

開發團隊表示,在最近他們推出的8.15.0版NPM裡,使用者在登錄帳號與發布套件的雙因素身分驗證流程中,將透過瀏覽器進行,並允許有效時間維持5分鐘,來減少需要執行驗證的次數。開發團隊宣稱,Yarn專案只需加入不到10行程式碼,就能支援雙因素驗證的功能。此外,在套件的安全性上,新版NPM也加入新的CLI命令,供用戶確認套件的完整性。

PyPI要求最熱門套件的開發者使用雙因素驗證,但有人打算鑽漏洞

鎖定PyPI套件庫的攻擊事故,近期陸續出現數起,使得PyPI打算強制部分用戶採用雙因素驗證(2FA),而引起少部分開發人員反彈。PyPI於7月8日發布資安通告指出,他們即將在數個月內,陸續要求維護最為熱門的套件開發者,使用雙因素驗證,估計至少有3,500個套件的維護者、所有者,將必須通過進階身分驗證流程,才能執行套件的各式管理工作。

PyPI將這些最熱門的套件稱為「關鍵(Critical)」套件,指的是在最近6個月內,下載次數在前1%的PyPI套件,一旦被登錄,該套件將會永久具備這項屬性。維護上述關鍵套件的經營者,將有機會免費取得2個由Google贊助的實體Token裝置Titan。

此舉多數開發者表達支持立場,但也有人不願買單──例如,開發atomicwrites套件的Markus Unterwaditzer收到PyPI通知後,決定將這款每月下載超過6千次的套件下架,並重新以新的名稱上傳到套件庫,來迴避必須採用雙因素驗證的措施。

No More Ransom網站成立6週年,協助逾150萬人免費復原檔案,臺灣也有資安業者加入提供解密工具的行列

為了協助勒索軟體受害者復原檔案而設立的No More Ransom網站,現在成立已滿6年,當初推動的歐洲刑警組織(Europol)公布了執行成果,該網站現在提供了136種解密工具,能解鎖165種勒索軟體加密的檔案,這些工具已被下載超過1千萬次,讓150萬個用戶成功復原檔案。

群創光電加入FIRST國際資安應變組織,成國內高科技製造業首例

面板大廠群創光電在6月25日,正式加入國際資安事件緊急應變小組論壇(Forum of Incident Response and Security Team,FIRST),是臺灣第12個加入這個聯盟的單位,值得一提的是,該公司是臺灣首家高科技製造業加入FIRST的成員。事實上,近期國際間也不乏高科技製造業加入的例子,像是艾司摩爾(ASML)在2020年12月加入,AMD在2021年7月加入。

德國發布衛星網路的資安防禦指引

衛星網路Ka-Sat在烏克蘭戰爭開打時就遭到破壞,使得部分歐洲用戶受到波及,其中德國風力發電廠也因為採用此衛星網路遠端遙控發電設備而受到影響,該國近期也針對這種威脅發布相關的防護指南。

德國聯邦資訊安全辦公室於6月30日,針對空中的基礎設施發布了IT防護的基準配置指南。此文件是德國聯邦資訊安全辦公室與空中巴士旗下的Airbus Defence and Space、德國太空中心(DLR)等機構合作長達一年的成果,目的是確保衛星從製造到正式上線運作的資訊安全,並列出各項保護工作的優先程度。

北約組織打算提升網路攻擊的因應能力

俄羅斯對烏克蘭開戰後,不只頻頻對烏克蘭發動網路攻擊,鄰近國家也出現遭到波及的情況。對此,北大西洋公約組織(NATO)於6月29日在西班牙舉行的高峰會,公布有關的決策,當中特別提及北約盟國正面臨網路空間等不對稱的威脅,他們決定透過軍民合作的方式,來大幅增加網路防禦的能力,並將這項措施與能源的安全,視為盟國提升韌性(Resilience)的重要方針。而這是NATO自去年將網路攻擊視同武裝攻擊看待後,對於盟國之間的資訊安全的重大宣示。

來自俄羅斯的網路威脅導致資安人員工作更加吃重,英國呼籲企業重新檢視相關員工的工作量

在烏克蘭戰爭中,相關的網路攻擊行動已經擴及歐洲其他國家,而使得資安人員工作量急劇增加,有可能難以持續工作,最後選擇離職,使得企業將面臨資安人力更加吃緊的現象。英國國家網路安全中心(NCSC)近日提出警告,他們先前呼籲企業要嚴加防範俄羅斯開戰後的網路攻擊行動,但隨著烏克蘭戰爭已經僵持數個月,企業應留意資安團隊可能因為長期處於高壓的狀態,而使得所屬團隊的員工已經不堪負荷,呼籲要調整因應網路威脅的做法,例如:

●建立依據風險層級為依據的決策模式,來設立有效率且能長期運作的防禦制度 ●賦與第一線人員依據優先程度決策的權利 ●確保工作負載能平均分配個人與團隊,並讓第一線人員能獲得充分休息 ●提供管理者及團隊相關資源來察覺需要協助的員工

為防範間諜軟體攻擊,蘋果計畫在旗下電腦與行動裝置導入新資安功能

間諜程式(如NSO Group開發的Pegasus)鎖定人手一隻的手機下手,針對政治人物或是新聞記者而來,這樣的情況近年來也越來越頻繁,使得手機廠商決定加入相關的機制來強化安全。

蘋果於7月6日宣布,他們計畫在今年秋季發布的iOS 16、iPadOS 16,以及macOS Ventura等作業系統中,提供鎖定模式(Lockdown Mode),來防堵間諜程式攻擊的情況。在這種模式下,即時通訊軟體Messages將停用連結預覽功能,並阻擋圖片以外的附件;網頁瀏覽器也會在大部分的情況下,停用JavaScript的即時編譯(JIT)機制;而在手機鎖定時,該模式將禁止電腦與iPhone進行連接。

此外,該公司亦在漏洞懸賞計畫增列相關類別,並提供最高200萬美元的獎金,他們也打算提供1千萬美元,來支持專門調查這類針對性網路間諜攻擊的組織。

為防堵嘗試RDP帳密的攻擊行為,微軟計畫將防範暴力破解攻擊的政策提供給所有Windows用戶

駭客利用暴力破解的方式嘗試存取遠端桌面連線(RDP),來入侵受害電腦的做法相當氾濫,對此,微軟已開始將防堵暴力破解密碼的新政策Account Lockout Policy,設為預設啟用,只要10分鐘內輸入超過10次帳密,帳號就會被鎖住。而這項新政策已在即將推出的Windows 11 22H2測試版本中,自22528.1000版開始提供,該公司也承諾日後會延伸到其他版本的Windows上。

為推廣行動裝置檢測工具TinyCheck,卡巴斯基設立專屬網站

近期攻擊者透過手機間諜程式跟蹤被害人的情況,不時有事故傳出,使得相關的檢測工具顯得更加重要。卡巴斯基最近針對2年前推出的檢測工具TinyCheck,設置了專屬的網站,並提供相關說明,以便組織將此工具部署於單板電腦Raspberry Pi,以非侵入式的方法,來檢查手機上是否有手機間諜程式活動的跡象──該系統藉由檢查手機對外的流量,並辨識這些流量互動的設備,來找出是否有存取手機間諜程式伺服器的情況。

該公司強調,此系統只會與手機的通訊對象互動,所有分析都會在本地進行,資料不會傳送給卡巴斯基或是其他單位。而此工具在問世之後,已有多個非政府組織採用,近期亦受到歐盟組織、記者、企業的注意,當地執法機構也正在進行相關評估,並打算用於相關事故的調查。

澳洲蒙納許大學啟動漏洞懸賞計畫

許多IT業者為了強化系統安全,紛紛推出漏洞懸賞(Bug Bounty)計畫,讓研究人員與駭客協助找出漏洞,而這樣的做法也有學術單位跟進。

位於澳洲墨爾本的蒙納許大學(Monash University)近期推出了漏洞懸賞計畫,他們在漏洞通報平臺Bugcrowd成立這項專案,研究人員有機會獲得最高2,500美元的獎勵,抓漏範圍包含了該校的網域與行動版App,還有他們使用的網路設施,如VPN和FileShare實例(Instance)等。蒙納許大學資安長Dan Maslin指出,此專案的成立,是他們邁向建校最終成熟階段的重要里程碑。

 

【其他資安新聞】

Zyxel修補防火牆資料夾穿越漏洞

SonicWall修補資安治理系統GMS的重大SQL注入漏洞

美國2022上半揭露逾600個ICS設備的漏洞

Confluence App寫死的密碼遭公布,可能致企業內部資料曝光

行動裝置管理系統FileWave存在漏洞,恐成為駭客入侵組織的管道

勒索軟體LockBit攻擊義大利稅務局,竊得78 GB資料

加拿大小鎮遭到勒索軟體LockBit攻擊,外洩 67 GB資料

針對緝捕北韓駭客的行動,美國將懸賞獎金增加至1千萬美元

惡意軟體Amadey Bot透過下載器散布,在受害電腦進行偵察及竊密

希臘政治人物的手機遭到間諜軟體Predator攻擊

西班牙逮捕涉嫌破壞核電廠警報系統的駭客

Mozilla推出Firefox 103,修補8個漏洞

去中心化音樂平臺Audius遭到網路攻擊,駭客竊走600萬美元加密貨幣

惡意NPM套件攻擊行動LofyLife在受害電腦植入竊密軟體,目標是Discord用戶的Token

藝術組織電子報管理系統WordFly遭勒索軟體攻擊,2週後相關服務仍未復原

辦公室軟體LibreOffice修補可能會遭到暴力破解主金鑰的漏洞

針對Log4Shell漏洞的態勢美國提出警告,可能影響會長達10年

我國資通安全處在7月15日發布6月資通安全月報

西門子修補PCB印刷電路版電路配置檢視設備的漏洞

Elastix網路電話系統遭到鎖定,被駭客植入Web Shell

阿爾巴尼亞遭到網路攻擊,被迫關閉政府線上申辦系統

以色列衛生局遭伊朗駭客組織Altahrea Team攻擊,起因疑與軍事行動有關

立陶宛廣告網站遭受網路攻擊,客戶資料恐外洩

印度證券交易所坦承遭到網路攻擊,但聲稱這是「小」事故,且沒有資料遺失

駭客組織Predatory Sparrow聲稱攻擊伊朗鋼鐵廠,並傳出引發火災

勒索軟體駭客BlackCat也濫用紅隊測試工具Brute Ratel C4

針對俄羅斯頻繁對歐洲國家發動DDoS攻擊,歐盟予以譴責,並呼籲成員國要強化網路韌性

微軟再度啟用Office封鎖機制,停用從網路下載的巨集

資安業者揭露勒索軟體Conti破壞哥斯大黎加政府的經過

駭客假冒記者的名義對新聞媒體發動攻擊

建材廠商Knauf遭勒索軟體Black Basta攻擊

美國羅州下水道系統營運業者遭到勒索軟體攻擊

資安業者Zscaler揭露安卓銀行木馬Joker、Facestealer、Coper透過Google Play市集散布

圖片處理工具ImageGear存在漏洞,恐被用於執行程式碼

臺灣駭客年會HITCON Peace 2022將於8月19日舉行

惡意軟體QBot透過HTML檔案散布,並透過處理程序空心化執行來規避偵測

美國再度警告加密貨幣投資者遭到鎖定,駭客佯稱提供錢包應用程式來騙錢

Cloudflare披露全球DDoS攻擊能力最強大的Mantis殭屍網路

首批NIST認可的PQC演算法出爐,美CISA建議即刻做好六大準備

深入2022年四大科技戰略,看摩根大通如何將科技變成競爭優勢?當中揭露AI應用與資安投入的積極性 

資安業者提供勒索軟體AstraLocker、Babuk、Yashma的解密軟體

駭客假冒CrowdStrike等資安業者,企圖在受害組織植入木馬程式

勒索軟體LockBit停用防毒和EDR,並透過檔案共享軟體外洩受害組織資料

美國要求聯邦機構限期修補CSRSS零時差漏洞

駭客組織Luna Moth假借提供軟體訂閱服務的名義,入侵受害組織

Java專案有2%存在Log4Shell漏洞

微軟Windows Autopatch服務正式上線

資安業者Thales買下身分暨存取管理業者OneWelcome

逾7成教育機構無法防堵勒索軟體攻擊

澳洲迪肯大學遭到網路攻擊,4.7萬名學生個資外洩

蠕蟲程式Raspberry Robin濫用Windows Installer與威聯通設備發動攻擊

駭客假冒大型去中心化交易所Uniswap的名義發動網釣攻擊,得手逾800萬美元

微軟預告明年1月將對Windows 8.1終止支援,用戶開機就會看到全螢幕警示訊息

Mantis成為2022年6月全球最具威脅的殭屍網路

攻擊者以阿富汗和印度的關係為誘餌,鎖定多個國家的政府機關,散布AysncRAT和LimeRAT木馬

以色列捷運公司遭到伊拉克的網路攻擊

研究人員針對新的勒索軟體Hive變種提供解密工具

騙錢軟體可能會停用安卓手機的Wi-Fi網路,暗中訂閱服務

研究人員發現Zoho的AD稽核管理系統存在重大RCE漏洞

GitLab修補重大RCE漏洞CVE-2022-2185

俄羅斯駭客XakNet鎖定烏克蘭大型能源業者DTEK發動攻擊

臺灣46家新創參加SelectUSA Tech競賽打響市場知名,1資安與2醫療新創嶄露頭角

駭客盯上Amazon會員日活動,對買家發動釣魚郵件攻擊

駭客以圖片著作權侵犯為由,散布IcedID軟體

已有657個醫療保健機構疑遭勒索軟體Quantum攻擊

惡意軟體OrBit鎖定Linux主機竊密

駭客組織Bitter鎖定孟加拉軍事單位下手

惡意軟體PennyWise鎖定加密貨幣錢包和瀏覽器資料發動攻擊

 

2022年6月資安月報

2022年5月資安月報

2022年4月資安月報

2022年3月資安月報

熱門新聞

Advertisement