不要错过 - 頁面 10

資安廠商 Wiz 旗下的資安專家，近日發現一個全新的 Linux 惡意軟體 PyLoose；該惡意軟體衍生自常見的開源加密貨幣挖掘惡意軟體 XMRig，其特色是會藏在受害電腦的記憶體中挖掘加密貨幣，難以透過資安防護工具加以偵測。 據 Wiz 的資安專家指出，這個名為 PyLoose 的惡意軟體是個相對簡單的 Python 指令檔，附有一個預先編譯過的 base64 編碼 XMRig 挖礦程式；XMRig 經常出現在各種以挖掘 Monero 加密貨幣為主的惡意軟體中，會竊取以雲端主機為主的受害電腦 CPU 運算資源來為駭侵者挖掘加密貨幣，獲取不法利潤。 專家說，PyLoose 的特色是不需要在受害主機的磁碟系統中寫入任何檔案，所以各種以檔案數位簽章和惡意軟體特徵碼掃瞄來偵測惡意軟體檔案存在的資安防護工具，就難以偵測出 PyLoose 的存在。 根據 Wiz 的資安專家觀測指出，PyLoose 是資安史上首個以 Python 編寫的無檔案資安攻擊方式，該公司自 2023 年 6 月 23 日起觀測到 PyLoose 的大規模攻擊行動，至今已確認至少 200 個攻擊案例。 Wiz 在報告中指出，駭侵者會先利用一個類似 Pastebin 的網站「Paste.c-net.org」，以 HTTPS GET 要求來取得無檔案的 PyLoose 酬載，然後直接將 PyLoose 載入 Python 的 runtime 記憶體中執行。 Wiz 也在報告中指出，目前尚無法得知利用 PyLoose 來發動攻擊的駭侵者具體身分，且因這個駭侵者採用的手法相當新穎且十分成熟，目前很難研判駭侵者到底是誰。 建議雲端主機的管理者應避免讓主機與服務直接曝露於外網，且應確實做好登入權限防護，包括強式密碼與多重登入驗證；同時對系統指令的執行設定限制。

Microsoft 日前推出 2023 年 7 月例行資安更新修補包「Patch Tuesday」，共修復 132 個資安漏洞；其中含有 6 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 132 個，較上個月（2023 年 6 月）的 78 個資安漏洞多了很多；而在這 132 個漏洞中有多達 6 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 37 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：33 個； 資安防護功能略過漏洞：13 個； 遠端執行任意程式碼漏洞：37 個； 資訊洩露漏洞：19 個； 服務阻斷（Denial of Service）漏洞：22 個； 假冒詐騙漏洞：7 個； Edge -Chromium 漏洞：0 個。 本月的 Patch Tuesday 有 6 個已遭大規模濫用的 0-day 漏洞： 第一個是 CVE 編號為 CVE-2023-32046 的 Windows MSHTML Platform 權限提升漏洞；該漏洞存於 Windows MSHTML 系統之中，可讓駭侵者以 EMail 或惡意網站，透過特製的檔案將自身執行權限提升執行受影響軟體用戶相同的等級。 第二個值得注意的漏洞是 CVE-2023-32049，是存於 Microsoft SmartScreen中的資安防護功能略過漏洞。駭侵者可利用此漏洞，讓用戶自網路下載或開啟可能有資安風險的檔案時，系統不會顯示資安警訊提示。 CVE 編號：CVE-2023-32046 等 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

全球網通產品大廠 Cisco 日前發表資安漏洞警訊，指出該公司部分網通產品內含一個高危險性漏洞 CVE-2023-20185，可能導致駭侵者在未經授權的情形下，讀取甚至竄改網站之間相互傳輸的加密資訊。 該 CVE-2023-20185 漏洞存於 Cisco Nexus 9000 資料中心系列的骨幹交換器，詳細受影響機種為 Cisco Nexus 9332C、9364C 與 9500，且交換器需處於 ACI 模式，設定為多網站拓樸架構，且已啟用 CloudSec 加密功能，並執行 firmware 14.0 之後的版本。 Cisco 指出，該漏洞是因為在實作 CloudSec 加密時的編碼出現問題，處於 on-path 位置的駭侵者將可利用此漏洞來攔截網站間的加密通訊，甚至予以解碼、竄改。 CVE-2023-20185 的 CVSS 危險程度分數高達 7.4 分（滿分為 10 分），危險程度評級為「高」；到目前為止，Cisco 尚未針對這個漏洞發表更新版本的韌體。 Cisco 指出，使用受此漏洞影響裝置的用戶，可以關閉 CloudSec 相關功能，以暫時解決此一漏洞；使用者可依 Cisco 公布的指引，在不同機型上檢查是否已開啟 CloudSec 功能並將其停用。 另外 Cisco 也指出，目前尚未發現有駭侵者利用 CVE-2023-20185 漏洞發動大規模駭侵攻擊的跡象。 CVE 編號：CVE-2023-20185 影響產品：Cisco Nexus 9332C、9364C 與 9500。 解決方案：依照 Cisco 提供的指引，在不同機型上檢查是否已開啟 CloudSec 功能並將其停用。

西非國家象牙海岸警方日前會同國際刑警組織（INTERPOL）、非洲刑警組織（AFRIPOL）與資安廠商 Group-IB、資通業者 Orange，以及美國特勤局（US Secret Service）旗下的犯罪調查部門、德國與英國相關單位和多位資安專家的協助之下，合力捕獲大型跨國網路犯罪集團 OPERA1ER 的一名要角，並繼續深入追查。 OPERA1ER 網路犯罪集團又稱為 NX$M$、DESKTOP Group 和 Common Raven，近年來涉及多起使用惡意軟體、釣魚和商業電子郵件攻擊（Business Email Compromise, BEC）等方式，跨國攻擊非洲、亞洲和拉丁美洲的多家金融機構。 據偵辦單位指出，OPERA1ER 犯罪集團，光在 2022 年的一年之間，就對上述各地 15 個國家的金融機構，發動至少 30 次以上的攻擊活動，得手的不法所得約在 1,100 萬美元到 3,000 萬美元之間。 這場針對 OPERA1ER 的跨國共同司法行動，其代號為「Operation NERVONE」，由象牙海岸警方發動追捕行動，成功逮捕一名該集團的重要人物。目前正在進行進一步的清查。 據報導指出，Group-IB 和 Orange 旗下的 CERT-CC 部門，自 2019 年起就開始追蹤 OPERAT1ER 的不法活動，查出在 2018 到 2022 年之間有 35 次成功的攻擊活動與該集團有關。 調查也表示，OPERAT1ER 犯罪集團成員均說法語，據信主要在非洲地區活動，主要透過各種開源攻擊工具和如 Metasploit 和 Cobalt Strike 等框架發動攻擊。 鑑於跨國網路攻擊行動日益頻繁且猛烈，建議各國金融機構與各種規模企業均應提高資安防護能力，並特別防範 BEC 等針對商業組織的攻擊行動。

資安廠商 Pradeo 旗下的資安研究人員，近日發現有 2 個上架於 Google Play Store 中的 Android App，會暗中竊取用戶手機中的多種資料，並傳送回伺服器。這兩個 App 的下載次數合計高達 150 萬次。 這兩個 App 分別名為「File Recovery & Data Recovery」和「File Manager」，都是由同一個署名為「wang tom」的開發單位上架於 Google Play Store，都是屬於檔案管理型的應用軟體。前者的下載安裝次數達 100 萬次，後者則有 50 萬次之多。 Pradeo 的應用軟體行為分析引擎，發現這兩個 App 儘管在其隱私權與 App 所需權限中聲明該兩支 App 不收集使用者資料，但實際上卻會自使用者的手機中竊取下列機敏資訊，而且未曾告知使用者： 裝置記憶體、連線的 Email 通訊錄和社群平台上的用戶通訊錄； 以該 App 管理或復原的圖片、音訊和影片檔案； 使用者即時所在地資訊； 行動電話國碼； 網路供應商名稱； SIM 卡供應商的網路代碼； 作業系統版本號碼； 手機廠牌與型號。 Pradeo 也說，這兩個 App 如同其他多種 Android 惡意軟體，會將自己的圖示自手機主畫面中隱藏起來，讓使用者難以發現並且刪除；Pradeo 也指出這兩個 App 同時也會濫用使用者授與的執行權限，將自己放在背景中，使用者一開機就會自動執行。 這兩個 App 目前已遭 Google 下架。 建議 Android 手機使用者即使在官方的 Google Play Store 中下載安裝軟體，也應提高警覺，仔細閱讀其他使用者的意見回饋。如遇要求過多權限的 App，應拒絕授與並立即刪除。

美國資安最高主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）日前通令全美聯邦政府下轄各單位，應即刻修補發生在 iPhone 上的兩個 0-day 資安漏洞 CVE-2023-32434 與 CVE-2023-32435。 這兩個漏洞由資安廠商 Kaspersky 發現，與其相關的攻擊活動命名為「Operation Triangulation」；Kaspersky 是在該公司莫斯科與全球多處辦公室所屬員工持有的 iPhone 上發現該攻擊活動。據報該攻擊活動自 2019 年起就開始進行，且一直持續至今。 Apple 也在上周三緊急發表資安更新，修補包括這兩個 0-day 漏洞在內的多個 iOS 資安漏洞；Apple 也表示已經獲知這兩個漏洞已遭大規模用於針對 iOS 15.7 之前版本的攻擊之上。 受這兩個漏洞影響的 Apple 產品，包括 iPhone 8 和後續機型、iPad Pro（所有機型）、iPad Air（第 3 代）和後續機型、iPad（第 5 代）和後續機型，以及 iPad mini（第 5 代）和後續機型。 CISA 已將這兩個漏洞，連同其他近期發布的多個嚴重漏洞加入其 KEV 名單中，所有美國聯邦政府轄下民事與執行單位，都應在 7 月 4 日前完成修補。 建議建議各公私單位參考 CISA 不定期發布的最新 KEV 名單進行資安修補，以避免遭駭侵者透過已知但未及修補的各式資安漏洞發動攻擊。

美國紐約市教育局（New York City Department of Education, NYC DOE）日前指出，有駭侵者透過 MOVEit 資安漏洞入侵該局一台伺服器，竊取多達 45,000 學生的個人機敏資訊。 NYC DOE 指出，這 45,000 名學生的資料，係在伺服器間轉檔的過程中，遭到駭侵者利用 CVE-2023-34362 MOVEit 漏洞竊得。雖然 NYC DOE 在該漏洞公開後立即予以修補，但駭侵者是在該漏洞仍為 0-day 漏洞期間就利用該漏洞竊得資料。 NYC DOE 表示，目前正在與紐約市資安相關單位合作調查本次個資外洩事件；就目前掌握的資訊來看，遭到不當存取的伺服器中文件約有 19,000 筆，除了有 45,000 名學生的個資遭到外洩，另有若干 DOE 員工和相關服務廠商人員的資料也遭到竊取。 NYC DOE 說，受此次駭侵攻擊影響而外洩的資料類型，包括社會福利號碼（Social Security Number）和員工編號等。NYC DOE 也說，由於 MOVEit 漏洞的影響和攻擊活動相當廣泛，目前美國聯邦調查局（Federal Bureau of Investigation）正在擴大偵辦。 據資安專家指出，Clop 勒贖團體已開始利用藉由 MOVEit 漏洞攻擊所取得的資料，對多個對象進行勒贖要脅；受到該團體勒贖的單位，包括殼牌石油（Shell）、喬治亞大學（University of Georgia）、喬治亞大學系統（University System of Georgia）、Heidelberger Druck、聯合健診學生資源（UnitedHealthcare Student Resources）等公私單位在內。 建議各公私單位應立即修補 MOVEit （CVE-2023-34362）漏洞，並調查在漏洞修補之前是否發生入侵事件，以了解資料是否遭竊並予以應對。

資安廠商 ThreatFabric 旗下的資安研究人員，近日發現一個命名為 Anatsa 的全新 Android 木馬惡意軟體，自今年 3 月起開始攻擊位於美國、英國、德國、奧地利、瑞士等國境內使用者，竊取取銀行相關資訊。 據研究人員指出，這個 Anatsa 木馬軟體藏身在多個於 Google Play Store 中上架的 Android 應用程式內，且總下載安裝次數已超過 30,000 次。 ThreatFabric 指出，這並不是 Anatsa 木馬軟體第一次的活動，先前的攻擊活動發生自 2021 年 11 月，當時有超過 300,000 萬次下載安裝次數。 該公司於 2023 年 3 月偵測到 Anatsa 開始再次活動，與前一次 Anatsa 的活動相同，木馬惡意程式都藏身在如 PDF 檢視編輯工具等辦公室應用與生產力工具類的 App 內，且當 ThreatFabric 通報 Google 並由 Google 將惡意 App 自 Google Play Store 中下架後，駭侵者總能很快再上架新的惡意 App 到 Google Play Store 中。 另一方面，ThreatFabric 也說，上架到 Google Play Store 的軟體，原先都不含惡意程式碼，以逃避 Google 的上架審查；但在使用者安裝到手機中後，便會更新並載入惡意程式碼。 ThreatFabirc 指出，在這次的攻擊行動中，Anatsa 會竊取多達十多家銀行與網路券商的金融相關資訊，包括登入帳號密碼、信用卡詳細資訊、付款資訊等，而竊取手法包括利用釣魚網頁畫面覆疊等。 建議 Android 用戶即使在 Google 官方 Play Store，於下載應用程式前也應仔細閱讀用戶評價，且如果 App 要求多種顯非必要的存取權限，應立即關閉並移除該 App。

資安廠商 ThreatFabric 旗下的資安研究人員，近日發現一個命名為 Anatsa 的全新 Android 木馬惡意軟體，自今年 3 月起開始攻擊位於美國、英國、德國、奧地利、瑞士等國境內使用者，竊取取銀行相關資訊。 據研究人員指出，這個 Anatsa 木馬軟體藏身在多個於 Google Play Store 中上架的 Android 應用程式內，且總下載安裝次數已超過 30,000 次。 ThreatFabric 指出，這並不是 Anatsa 木馬軟體第一次的活動，先前的攻擊活動發生自 2021 年 11 月，當時有超過 300,000 萬次下載安裝次數。 該公司於 2023 年 3 月偵測到 Anatsa 開始再次活動，與前一次 Anatsa 的活動相同，木馬惡意程式都藏身在如 PDF 檢視編輯工具等辦公室應用與生產力工具類的 App 內，且當 ThreatFabric 通報 Google 並由 Google 將惡意 App 自 Google Play Store 中下架後，駭侵者總能很快再上架新的惡意 App 到 Google Play Store 中。 另一方面，ThreatFabric 也說，上架到 Google Play Store 的軟體，原先都不含惡意程式碼，以逃避 Google 的上架審查；但在使用者安裝到手機中後，便會更新並載入惡意程式碼。 ThreatFabirc 指出，在這次的攻擊行動中，Anatsa 會竊取多達十多家銀行與網路券商的金融相關資訊，包括登入帳號密碼、信用卡詳細資訊、付款資訊等，而竊取手法包括利用釣魚網頁畫面覆疊等。 建議 Android 用戶即使在 Google 官方 Play Store，於下載應用程式前也應仔細閱讀用戶評價，且如果 App 要求多種顯非必要的存取權限，應立即關閉並移除該 App。

美國紐約市教育局（New York City Department of Education, NYC DOE）日前指出，有駭侵者透過 MOVEit 資安漏洞入侵該局一台伺服器，竊取多達 45,000 學生的個人機敏資訊。 NYC DOE 指出，這 45,000 名學生的資料，係在伺服器間轉檔的過程中，遭到駭侵者利用 CVE-2023-34362 MOVEit 漏洞竊得。雖然 NYC DOE 在該漏洞公開後立即予以修補，但駭侵者是在該漏洞仍為 0-day 漏洞期間就利用該漏洞竊得資料。 NYC DOE 表示，目前正在與紐約市資安相關單位合作調查本次個資外洩事件；就目前掌握的資訊來看，遭到不當存取的伺服器中文件約有 19,000 筆，除了有 45,000 名學生的個資遭到外洩，另有若干 DOE 員工和相關服務廠商人員的資料也遭到竊取。 NYC DOE 說，受此次駭侵攻擊影響而外洩的資料類型，包括社會福利號碼（Social Security Number）和員工編號等。NYC DOE 也說，由於 MOVEit 漏洞的影響和攻擊活動相當廣泛，目前美國聯邦調查局（Federal Bureau of Investigation）正在擴大偵辦。 據資安專家指出，Clop 勒贖團體已開始利用藉由 MOVEit 漏洞攻擊所取得的資料，對多個對象進行勒贖要脅；受到該團體勒贖的單位，包括殼牌石油（Shell）、喬治亞大學（University of Georgia）、喬治亞大學系統（University System of Georgia）、Heidelberger Druck、聯合健診學生資源（UnitedHealthcare Student Resources）等公私單位在內。 建議各公私單位應立即修補 MOVEit （CVE-2023-34362）漏洞，並調查在漏洞修補之前是否發生入侵事件，以了解資料是否遭竊並予以應對。