不要错过

Tinyproxy存在use-after-free安全漏洞(CVE-2023-49606)，可透過傳送特製的 HTTP 標頭導致遠端程式碼執行(RCE)，最近已釋出安全性更新。Tinyproxy 是一個輕量級的代理，可用於 HTTP 和 HTTPS 代理，其優點包括簡單、快速和佔用空間小，非常適合在小型網路環境中使用，全球約有 90,000 台主機安裝了 Tinyproxy 服務，其中仍有超過 50% 尚未修補此嚴重安全性漏洞。 Cisco Talos研究團隊表示，該漏洞位於程式的 remove_connection_headers() 函數中，未正確處理 http header 參數，造成記憶體被釋放後，仍能被錯誤的存取。換言之，攻擊者可透過發送含有特製 http 標頭的 http request，重新利用已釋放的記憶體，進而導致遠端程式碼執行。此漏洞由 Cisco Talos 編號為 CVE-2023-49606，CVSS 評分為 9.8 分，影響版本為 1.10.0 和 1.11.1。 資安業者 Censys 指出，統計到2024年5月3日 為止，約52,000台主機執行存在漏洞的Tinyproxy，這些受漏洞影響的主機分散在不同國家，包含美國約32,846台、韓國約18,358台、中國約7,808台、法國約5,208 台、德國約3,680台。 Cisco Talos於2023年12月22日已報告該漏洞，並發布概念驗證程式（Proof-of-Concept, PoC），他們亦表示曾提醒 Tinyproxy 的軟體維運者此安全性問題，但一直未收到回覆，也未見到任何修補程式釋出，因此2024 年 5 月 1 日公開此漏洞，5 天後，Debian Tinyproxy 的軟體維運者注意到此公告訊息，並通知 Tinyproxy 軟體維運者該問題。Tinyproxy 軟體維運者則指責 Cisco Talos 將報告發送到一個他們不再使用的電子郵件地址，並認為 Cisco Talos 只是隨意從 git log 資訊中找尋電子郵件地址，進行漏洞通報。。 Tinyproxy 軟體維運者已將修補程式發布在其Github上，建議使用 Tinyproxy 的用戶，儘快將軟體更新至 1.11.2 版本，並不要將此服務暴露於網際網路上。

卡巴斯基研究人員發現新型惡意程式並命名為 Gipy，此惡意程通過釣魚網站提供 AI 語音應用程式來感染使用者電腦，進行資料竊取和安裝其他惡意程式, 研究人員發現攻擊多數來自透過 WordPress 架設的網站，並從 Github 下載受密碼保護的 zip 檔案解壓出惡意程式，主要受害地區包括德國、俄羅斯、西班牙和台灣。 隨著 AI 工具普及，更多攻擊者利用這些工具進行惡意活動，顯示犯罪市場對資料竊取工具的需求增加。卡巴斯基在近期的攻擊活動中觀察到，攻擊者會架設釣魚網站，內容是提供AI語音相關應用程式，當使用者從這些網站下載並執行就會中毒，而目前觀察到多數都是透過 WordPress 架設起來。 卡巴斯基研究人員指出，Gipy 惡意程式最早出現於 2023 年，當惡意程式被成功植入，可以竊取使用者電腦資料，並在受害者電腦上安裝其他惡意程式，當使用者執行下載的程式，會正常的執行AI語音相關應程式，並在使用者電腦後台隱性的執行 Gipy 惡意程式，受害者不容易發現。 研究人員發現當 Gipy 惡意程式執行的時候，會從 Github 啟動受密碼保護的 zip 檔案，從中解壓縮出惡意程式，在整個研究的過程中，卡巴斯基研究員目前分析到了 200 多個檔案，並在一封電子郵件裡對這些分析的檔案做一個整理： 資料竊取工具：Lumma、RedLine、RisePro 和 LOLI Stealer 虛擬貨幣挖擴程式：Apocalypse ClipBanker 木馬程式：DCRat 和 RADXRat 後門程式：TrueClient 卡巴斯基研究員表示隨著人工智慧工具的普及，越來越多攻擊者利用人工智慧工具作誘餌來進行惡意威脅活動，Gipy 惡意程式並無特別針對哪個目標國家進行攻擊，但目前最主要受影響的前 4大地區有德國、俄羅斯、西班牙、台灣。 卡巴斯基針對從網路下載檔案，提出相關的安全建議： 下載軟體務必從官網下載，而不是其他第三方平台下載 務必驗證網站的合法性，確保網址是 https 開頭，且憑證是合法的而非自簽憑證或過期的憑證 使用者電腦的帳號密碼務必啟用雙重驗證，並為每個帳戶使用獨立的密碼 警惕任何未知來源的電子郵件和可疑連結

國家資通安全研究院分析近期攻擊攻擊活動，發現駭客針對網擎資訊Mail2000電子郵件系統與MailGates郵件防護系統進行攻擊，透過產品漏洞入侵企業織組織，Openfind網擎資訊針對通報漏洞皆已提供修補程式，請留意Openfind更新資訊。 本月初再度發現駭客對Openfind Mail2000產品進行了零日攻擊，該漏洞主要是由於login_lock_notification.dat未對Login進行緩衝區溢位進行處理，駭客可以繞過檢查並執行JavaScript，從而導致XSS(Reflected Cross-site scripting)安全漏洞，網擎公司偵測發現後，已完成修補並釋出更新，以維護客戶的權益。 同期間亦發現駭客利用CVE-2022-30333漏洞對網擎公司MailGates郵件防護系統進行攻擊，網擎公司為強化MailGates產品安全性，持續釋出安全性更新，並宣導用戶更新至最新版本。 Openfind網擎資訊是一家專注於開發搜尋引擎技術和相關網路應用服務的公司。目前他們為許多重要政府機關和大型企業客戶提供服務。近期發現駭客對Mail2000電子郵件系統和MailGates郵件防護系統發動零時差漏洞攻擊。Openfind公司的電子郵件威脅實驗室已經立即針對這一情況展開研發工作，以更新的方式協助所有客戶立即降低相關風險。 資訊系統漏洞為駭客利用入侵重要管道之一，因此定期更新漏洞為企業組織資訊人員非常重要工作項目，可確保系统安全的重要措施，有助於防止資料外洩、系统毀損，以及駭客攻擊，同時維護組織的聲譽。

Cuckoo惡意程式透過偽裝成音樂轉載程式，引誘使用者下載檔案，攻擊 macOS的用戶，以竊取使用者密碼、歷史瀏灠紀錄、加密貨幣錢包詳細訊息等。 資安研究人員 Kandji 最近發現專門針對 Apple macOS 系統的新型資訊竊取程式「Cuckoo」，這款惡意程式偽裝成音樂轉換應用程式，聲稱可擷取串流媒體上的音樂，並轉換為mp3格式，其程式可以在Apple MAC的Intel及ARM-based環境架構中執行。2024 年 4 月 24 日，研究人員發現了一個具有間諜軟體及竊取訊息行為的惡意 Mach-O 二進位檔案，其應用程式的名稱為 “DumpMedia Spotify Music Converter” 。該惡意軟體最初在 dumpmediacom網站下載Spotify 時被檢測到，後來發現在也存在其他網站上的免費和付費版本。 Cuckoo 偽裝成可以將 Spotify 的音樂轉換為 MP3 的工具，安裝應用程式後，它會開始竊取資料，包括 macOS 鑰匙圈內容、歷史瀏覽記錄、應用程式的訊息、加密貨幣錢包詳細訊息和身份驗證的憑證。Cuckoo也會取得使用者的截圖檔案、網絡攝影機的快照和 WhatsApp、Telegram 等應用程式的資料。 為了獲取更多資料，它進一步要求使用者打開沒有經過驗證的簽名或開發者 ID 的應用程式，以收集主機硬體資訊並確認使用者的位置。如果使用者選擇同意後續的要求，該惡意軟體將可取得Finder、麥克風和下載檔案的權限。 雖然該攻擊活動尚未明確歸因於任何特定的攻擊組織，但研究人員發現它不會攻擊亞美尼亞、白俄羅斯共和國、哈薩克、俄羅斯和烏克蘭的設備。Cuckoo 使用 LaunchAgent 方式持續建立連線，這與 RustBucket、XLoader、JaskaGO 以及 ZuRu 等後門功能相似。 避免Cuckoo惡意軟體攻擊，建議使用者應謹慎下載應用程式，避免不受信任的來源，仔細檢查電子郵件及其附件，並使用可靠的防毒軟體和防惡意程式的解決方案。

ToddyCat 是一個主要針對位於亞太地區的政府機關與國防有關的 APT 組織。該組織的主要目標之一是竊取主機中的敏感資訊，近期卡巴斯基團隊發現ToddyCat已透過一系列複雜的手法取得了工業相關資料。 據2020年的報導，該組織以Exchange Server為攻擊目標，在入侵成功主機上植入木馬程式Ninja Trojan及後門程式Samurai，以便能持續控制設備，並在組織內部進行橫向的擴散。 攻擊活動中，為了從許多主機收集大量資料，攻擊者需儘可能自動化，並使用不同的方式持續掌握並監控被入侵成功的系統。卡巴期基研究團隊表示在這次的攻擊活動中，ToddyCat入侵成功後，使用了多種工具來建立多個對外通道，即使其中一個通道被發現並清除，他們仍然可以存取系統，以確保能持續控制遠端主機，包含反向SSH通道、SoftEther VPN、Ngrok、Kron、FRP client等工具， 卡巴期基研究團隊亦發現ToddyCat使用新的資料蒐集工具，並取名為cuthead，可以用來搜尋特定副檔名或特定的名稱，同時ToddyCat亦利用TomBerBil工具蒐集瀏覽器所儲存的cookie與密碼，進一步竊取敏感資料。 另外，ToddyCat針對通訊軟體WhatsApp資訊也會進行蒐集，依據目前分析情況，其所搜集的內容為網頁版的資料，主因是瀏覽器會將資料儲存在用戶端主機，內容包含了詳細的個人資料、聊天資料、聊天對象的電話號碼及 session 資料，並可以透過名為WAExp的工具複製儲存內容，WAExp會先確認使用者所在的目錄，依Chrome、Edge和Mozilla不同瀏覽器的目錄取得相關檔案，再將取得的資料儲存在特定目錄以取得這些資料。 研究人員發現ToddyCat利用各種工具持續連線到目標主機，且透過自動化的方式搜尋並蒐集有興趣的資料，同時也以不同方式繞過各種防護技術，避免連線程式被系統所偵測。 為了保護組織設備的安全，研究人員建議將提供流量通道的雲端服務資源及IP位址加到防火牆的阻擋清單中，另限制管理者可使用的遠端連線工具，且禁止或監控未經允許的程式。此外，應該要求使用者避免在瀏覽器中儲存密碼，這可讓攻擊者容易取得敏感的資料。

Palo Ato Networks發出告警，該公司PAN-OS防火牆存在命令注入漏洞(Command Injection)，使未經身份驗證的攻擊者能夠在防火牆以root權限執行任意程式碼，並已經在被大量利用攻擊中，建議使用者儘速採取緩解措施或進行更新作業。   Palo Ato Networks表示漏洞存在於設置GlobalProtect gateway或 GlobalProtect portal(或兩者)功能的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火牆，受影響版本如下： PAN-OS < 10.2.9-h1 PAN-OS <11.0.4-h1 PAN-OS < 11.1.2-h3   Palo Ato Networks安全研究組織Unit42發現此漏洞概念性驗證(Proof of Concept，PoC)攻擊程式已經由第三方公開於網路，利用此漏洞的攻擊數量不斷增加。在資安威脅情報研究公司Volexity擴大調查後，發現自2024年3月26日起，多個公司和組織遭受攻擊者利用這個漏洞的攻擊，而且，攻擊者疑似透過在火牆設備上放置Zore-bytes文件以驗證漏洞可利用性。另外，在4月7日Volexity觀察到攻擊者嘗試在使用者端的防火牆部署後門程式，但未成功。4月10日，即發現攻擊者成功地植入了惡意Payload，並下載其它惡意程式，以便進行內部橫向移動和竊取憑證和檔案。   Palo Ato Networks提供用戶透過PAN-OS CLI 的命令，協助辨識裝置上是否有此漏洞被攻擊的跡象： 1.搜尋 gpsvc.log相關紀錄檔 grep pattern "failed to unmarshal session(.+./" mp-log gpsvc.log*   2.若搜尋到的記錄中，”session(“ 與 ”)” 之間的值不像是GUID，而是檔案的路徑或嵌入式shell命令，即需要進一步確認是否與CVE-2024-3400相關。 可能遭利用之輸出結果如下： failed to unmarshal session(../../some/path) 正常輸出結果如下： failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)   Palo Ato Networks已針對CVE-2024-3400釋出更新程式，使用者除了透過官方提供檢測方式自行檢測外，亦應儘速完成更新作業，避免遭有心人士利用漏洞入侵。

一種名為「Darcula」的新型網路釣魚即服務（PhaaS）平台利用超過 20,000 個網域偽冒知名品牌並竊取其憑證，以進行廣泛的釣魚攻擊，目標遍及全球 100 多個國家和地區的 Android 及 iPhone 用戶。這個服務提供200 多個範本，涵蓋了金融、政府、電信及航空等多個行業，攻擊者能夠選擇合適的偽裝進行攻擊。特別的是，Darcula採用了Google Messages的RCS(Rich Communication Services)和Apple的 iMessage協定，而不是以傳統的SMS方式發送釣魚訊息。這種方法增加了受害者對訊息合法性的信任，並利用了 RCS 和 iMessage 提供的額外保護措施，然而這些協定支援點對點加密，造成釣魚訊息難以被內容過濾系統攔截。 Darcula與傳統的網路釣魚方式的不同之處，在於它採用了JavaScript、React、Docker和Harbor等技術，能夠持續更新並增加新功能，而無需使用者重新安裝工具包。這網路釣魚工具包提供了200個網路釣魚樣板，偽冒100多個國家的品牌和組織，釣魚網站的品質也很高，且使用正確的當地語言、標章，還精心設計了內容，以提高詐騙的成功率。 Netcraft已在11,000個IP地址上對應了20,000個Darcula域名，並且每天都會新增120個新的域名。此 外，研究人員指出，Darcula 服務通常使用「.top」和「.com」頂級域名，其中約三分之一置於Cloudflare平台。建議使用者對所有要求點擊的 URL 訊息保持謹慎，特別針對無法識別寄件者、語法錯誤、拼字錯誤或過於誘人的優惠都可能是釣魚訊息。

蘋果於3月5日發布多個更新修補程式，其中包含2個針對iOS zero-day弱點緊急修補更新資訊，弱點編號分別為CVE-2024-23225、CVE-2024-23296，均屬於影響系統核心操作，致使記憶體保護失效，可能造成任意寫入未授權程式之情形，影響範圍包含iOS 17.4、iPadOS 17.4、iOS 16.7.6以及iPadOS 16.7.6。 雖然蘋果尚未透露有關利用這些零日漏洞的攻擊具體細節或幕後團體，但這種無需用戶互動即可利用的零點漏洞對於具有國家支持的駭客組織和高級網路犯罪組織極為搶手。 據稱iOS zero-day弱點已遭政府資助之組織型駭侵團體廣泛利用以植入間諜軟體，攻擊特定族群，在去年蘋果就修補了20個已遭利用的zero-day弱點。鑒於行動裝置iOS系統市占率高，建議使用者應即時更新作業系統，避免不必要損失。 受影響的產品如下: iPhone 8 iPhone 8 Plus iPhone X iPhone XS 及後續機型 iPad Pro 9.7吋 iPad Pro 12.9吋 第一代及後續機型 iPad Pro 10.5吋 iPad Pro 11 第一代及後續機型 iPad Air 第三代及後續機型 iPad 第五代及後續機型 iPad mini 第五代及後續機型

微軟的Exchange Server近期修補了一個嚴重的安全漏洞CVE-2024-21410(CVSS分數9.8)，網路上已有攻擊者利用該漏洞進行攻擊。CVE-2024-21410允許遠端未經身份驗證的攻擊者進行NTLM relay攻擊，從而提升其在系統中的權限並取得機敏資訊。根據最新報告顯示，高達97,000台Microsoft Exchange伺服器可能受到此漏洞的影響，當中28,500台已經確認存在漏洞。 攻擊者可能會以 NTLM 客戶端（例如 Outlook）為目標，利用 NTLM 憑證洩漏的漏洞，將洩漏的憑證中繼至 Exchange 伺服器，取得受害客戶端的特權，並以受害者的身分到 Exchange 伺服器上執行各項操作。 Shadowserver統計，受影響最嚴重的國家包括德國、美國、英國、法國等。微軟已於2月13日針對此問題發布了更新檔，建議系統管理員立即更新Exchange Server 2019 Cumulative Update 14（CU14）以解決此漏洞，該更新增強了NTLM憑證中繼保護。 美國國家資訊安全中心（CISA）已將CVE-2024-21410添加到其「已知遭利用的清單」中，目前尚未發現公開的CVE-2024-21410漏洞攻擊工具，因此也提高了攻擊者使用此漏洞攻擊的門檻。然而，考慮到其嚴重性，應盡早安裝更新程式和實施減緩攻擊的措施，以保護其Exchange伺服器被攻擊利用。

資安廠商Avast近日發表技術報告指出，北韓所屬駭客Lazarus利用Windows作業系統內AppLocker相關驅動程式(appid.sys)zeroday漏洞，取得系統核心(kernel)權限，用以關閉系統內安全防護機制，藉以規避異常BYOVD(Bring Your Own Vulnerable Driver)告警，降低異常行為遭察覺的可能性。 另外，在調查過程當中亦發現關聯至Lazarus族群之惡意程式樣本，包含經過升級版本的FudModule rootkit、新型態的後門等，可躲避Microsoft Defender與CrowdStrike Falcon等偵測防護機制；另提供FudModule相關yara規則可供自我檢測確認自身是否有所影響。 該弱點對應編號為CVE-2024-21338，微軟已納入排程(February Patch)並於近日完成修補，建議企業組織能即時完成作業系統更新，提高資安防護能力，減少遭利用攻擊並造成損失之風險。