資安日報

【資安日報】11月1日,研究人員揭露專門供應網路罪犯使用的短網址服務供應商Prolific Puma,駭客經營超過4年未被發現

駭客犯案也有專門的短網址服務可用!資安業者Infoblox揭露惡意轉址服務供應商Prolific Puma,並指出該組織近期申請數千個.us美國網域供駭客運用

2023-11-01

短網址服務 | Prolific Puma | 網路犯罪

資安業者揭露專門支援網路犯罪行動的短網址服務

資安業者Infoblox發現Prolific Puma在過去4年來,註冊了大量的網域名稱以供應短網址給駭客,以便在發動網路釣魚或詐騙攻擊時,躲避安全系統的偵測

2023-11-01

資安週報 | 資安一周 | 資安周報 | IT周報 | 勒索軟體 | 關鍵基礎設施 | 網路釣魚

【資安週報】2023年10月23日到10月29日

本週有兩大攻擊行動相當值得留意,其中一個是思科IOS XE零時差漏洞攻擊行動,駭客疑似更換了後門程式,導致研究人員看到受害設備數量突然減少;另一個則是身分驗證管理業者Okta資料外洩事故,已有多家IT業者表明因此受到波及

2023-11-01

資安日報

【資安日報】10月31日,曝露於GitHub程式庫的帳密資料成為駭客下手的對象!有人從中收集AWS的帳密,將EC2實體拿來挖礦

研究人員揭露利用AWS EC2實體挖取門羅幣的攻擊行動EleKtra-Leak,而駭客取得帳號的來源,就是從GitHub儲存庫挖掘而得

2023-10-31

拜登 | 美國 | 人工智慧 | AI | 行政命令

拜登簽署美國首個AI行政命令

拜登指示聯邦政府機構應該建立AI安全的新標準,以保護美國民眾免受AI潛在風險的危害。包括要求強大AI系統的開發者必須與美國政府分享其安全測試結構與其它重大資訊

2023-10-31

SolarWinds | 美國證券交易委員會 | 證券交易法 | 軟體供應鏈攻擊 | sunburst | Supernova

SolarWinds在2020年被駭是因長期忽略內部安全風險,遭美國SEC提告

美國證券交易委員會(SEC)調查發現,SolarWinds高層在該公司遭到軟體供應鏈攻擊前2年,便得知內部有許多資安問題卻無積極作為,因此控告SolarWinds與該公司資安長詐欺與內控失靈

2023-10-31

勒索軟體 | LockBit | 波音

LockBit宣稱駭入波音並竊走機密

使用勒索軟體LockBit的駭客組織宣稱利用不知名的零時差漏洞攻擊波音公司並取得內部資料,而波音在安全研究業者VX Underground揭發這起攻擊事件當下,還不確定內部系統是否遭駭

2023-10-31

0ktapus | BlackCat

駭客組織0ktapus部署勒索軟體BlackCat,從事檔案加密及破壞,向受害者進行勒索

在2022年初因攻擊身分驗證業者Okta引起各界關注的駭客組織0ktapus,今年下半傳出與勒索軟體駭客BlackCat結盟,並擴大攻擊範圍

2023-10-31

NSA | Shadow Brokers | EternalBlue | StripedFly

惡意軟體StripedFly利用永恆之藍漏洞,感染百萬臺電腦

在2017年被駭客組織影子掮客公布的漏洞「永恆之藍(EternalBlue)」,有研究人員發現早在2016年上旬就被用於散布惡意程式,起初這個惡意軟體的用途,一度被研究人員以為是挖礦,而忽略駭客背後真正的動機,輕忽其帶來的影響

2023-10-30

HackerOne | 白帽駭客 | 生成式AI | OWASP | 大型語言模型 | LLM | 安全漏洞

超過6成的白帽駭客企圖利用生成式AI來發現漏洞

漏洞懸賞平臺HackerOne調查發現,有6成的白帽駭客開始利用生成式AI開發駭客工具,以找出更多的漏洞

2023-10-30

資安日報

【資安日報】10月30日,有人在2016年就利用永恆之藍漏洞,打造惡意軟體StripedFly,迄今仍有數萬臺電腦遭到感染

在2017年造成勒索軟體WannaCry大規模感染的永恆之藍漏洞,曾引發軒然大波,後續造成許多問題,也使得重視網路威脅情報武器化的議題,最近研究人員發現,有另一款利用該漏洞的惡意程式早在2016年就開始攻擊行動,直到最近才被發現

2023-10-30

CVE-2023-42846 | 蘋果 | iOS | MAC位置 | 漏洞

蘋果修補公開iOS裝置MAC地址長達3年的隱私漏洞

蘋果釋出iOS/iPadOS 17.1及watchOS 10.1更新,以修補3年前起就洩露iPhone、iPad及Apple Watch MAC位置的漏洞

2023-10-30

資安日報

【資安日報】10月27日,研究人員揭露新型攻擊手法iLeakage,可透過推測執行漏洞、用瀏覽器竊取蘋果裝置的用戶機密資訊

新型態的處理器推測執行漏洞iLeakage出現在iOS、iPadOS裝置,以及搭載M系列處理器的Mac電腦,攻擊者透過WebKit排版引擎的瀏覽器,就有機會偷取用戶的機密資訊

2023-10-27

google | AI | 漏洞獎勵 | 生成式AI

Google公布AI抓漏獎勵範圍,新增生成式AI類別

Google公開旗下AI產品的安全漏洞通報獎勵標準,徵求外界提供Google Bard等生成式AI服務的漏洞資訊

2023-10-27

醫療業 | iThome 2023資安大調查 | 資安風險圖 | 資安預算 | CIO | CISO | 資安長

【iThome 2023資安大調查系列2】醫療業企業資安風險圖(2023~2024)

社交工程手段對醫療業的威脅,超越了駭客攻擊的風險,與勒索軟體資安事件並列為醫療業未來一年的兩大首要風險。值得留意的是,假消息不實資訊事件的風險,開始快速提高,醫療業者未來一年也不能輕忽

2023-10-27