不要错过 - 頁面 12

網路基礎建設供應商 Akamai 日前表示，該公司某一位在亞太地區的客戶，日前遭到強大的分散式服務阻斷 (Distributed Denial of Service, DDoS) 攻擊，攻擊強度峰值最高達 900.1 Gbps 以上，所幸 Akamai 成功阻擋該次攻擊，未造成該客戶網路服務中斷。 DDoS 攻擊方式為針對目標網站，在短時間內發動大量垃圾連線請求，受害者的網路伺服器難以負荷之下，造成服務中斷、App 停止運作等攻擊效果；駭侵者通常會因為各種原因如政治訴求、報復、地緣政治因素或對受害者進行勒贖等原因而發動攻擊。 Akamai 指出，這次攻擊活動發生在本 (2023) 年 2 月 23 日，持續時間約 1 分鐘左右，攻擊量高達 900.1 Gbps，每秒的資料封包數量高達 1.582 億個，成為該客戶有史以來遭到最強烈的 DDoS 攻擊行動。 據 Akamai 的分析結果指出，這波攻擊行動由該公司的流量清洗網路成功化解，主要的流量被清洗到該公司設於香港、東京、聖保羅、新加坡、大阪等地的中心。 Akamai 也表示，這波攻擊中有 48% 的惡意 DDoS 流量由其亞太區的流量清洗機制承受，但該公司全球 26 個流量清洗中心都參與攻擊對抗，沒有任何一個流量清洗中心承受的流量超過總流量的 15%。 Akamai 指出，該目標客戶的網路服務在攻擊之下仍正常運作，並未受到直接或間接的影響。 到目前為止發生過的 DDoS 攻擊中，流量最大的是發生在 2021 年 11 月時，針對 Mircrosoft Azure 亞洲區發動的攻擊，當時的瞬間最大流量高達 3.47 Tbps。 有鑑於 DDoS 的強度日益提高，除了各易受攻擊的組織應有因應方案之外，建議一般用戶也應注意自身裝置的資安防護，以免遭惡意軟體植入，成為發動 DDoS 的僵屍網路一環。

Google 日前推出 2023 年 3 月 Android 資安更新，共修復多達 60 個資安漏洞，其中包括 2 個嚴重等級的遠端任意程式碼執行漏洞，影響 Android 11、12、13 等版本。 這次的更新以兩波推出，分別是 2023-03-01 與 2023-03-05；第一波包括 31 個 Android 元件如 Framework、系統與 Google Play 的更新；第二波則包括 29 個位於 Android 核心與 MediaTek、Unisoc、Qualcomm 等第三方廠商元件的更新。 Google 指出，在第一波更新中，有一個存於 Android 系統的漏洞最為嚴重，可在無需用戶互動，也不需提升執行權限的情形下，遠端執行任意程式碼；另有兩個危險程度評級為「嚴重」等級的遠端執行任意程式碼漏洞 CVE-2023-20951、CVE-2023-20954，Google 為了避免其遭駭侵者利用，未提供相關資訊。 而在第二波更新中兩個嚴重等級的漏洞 CVE-2022-33213 與 CVE-2022-33256，則是存於 Qualcomm 未公開源碼的元件，分別發生在 Qualcomm 的 Data Modem 與 Multi-code Call Processor 中。這兩個漏洞將由 Qualcomm 另行提供說明與更新方式。 第二波中其他來自 Qualcomm、MediaTek 和 Unisoc 的漏洞，Google 在其資安通報中也表示，解決方案也將由各由各原廠自行提供。 Android 裝置用戶可按下「設定」-> 「系統」->「系統更新」->「檢查更新」或「設定」->「安全性與隱私」->「更新」->「安全性更新」等來進行更新，以修補已知漏洞。至於 Android 10 用戶，由於該系統已結束其生命周期，因此將無法取得安全性更新；建議升級至搭載最新版本 Android 系統的裝置。

南韓行動裝置大廠 Samsung 近日為旗下 Galaxy 系列行動裝置推出全新防護機制「Samsung Message Guard」，能夠阻擋聊天軟體傳來含有惡意程式碼的檔案，以「零互動」方式觸發裝置漏洞進行攻擊。 Samsung 指出，「Samsung Message Guard」功能，可立即分析透過各種訊息傳送過來的檔案是否具有資安威脅性，並在其造成破壞之前先行封鎖。 所謂「零互動」攻擊方式是一種複雜成熟的攻擊技巧，透過攻擊某些軟硬體漏洞，以完全不需要以螢幕顯示或操作來和用戶互動的方式，自動執行後續的攻擊行動，例如植入惡意軟體進行監控、資料竊取、大量顯示廣告、訂閱高價服務或發動釣魚攻擊等。 零互動攻擊一個有名的案例，是透過 NSO 的 Pegasus 間諜軟體，利用 Apple iMessage 的 KISMET 和 FORCEDENTRY 漏洞，來針對多國政治人物與媒體記者進行監控。 針對這種攻擊方式，Apple 於 iOS 16 中引進「鎖定模式」(lockdown mode)，讓高危險攻擊對象可採用這種模式，限制各種軟硬體資源的存取，藉以提高資安防護能力。 而 Samsung 推出的「Samsung Message Guard」則是一種在手機中與系統隔開的虛擬空間， 透過訊息程式傳來的 PNG、JPG、JPEG、GIF、ICO、WEBP、BMP、WBMP 檔會先存放於該空間內進行檢測，如果發現可能內含惡意軟體，這樣檔案就會遭到封鎖，無法與裝置作業系統進行互動。 Samsung 指出，Samsung Message Guard 會以背景方式在手機中自動執行，無需用戶手動啟用。此一新資安防護機制已於 Galaxy S23 機種上推出，日後會陸續於執行 Samsung One UI 5.1 與後續版本的其他 Samsung Galaxy 裝置上推出。 鑑於零互動攻擊對手機用戶往往造成嚴重資安威脅，Samsung 行動裝置用戶應隨時注意更新消息，在該機制可用時立即進行更新。

Google 近期開始研究在韌體層面強化 Android 作業系統安全性的各種做法，包括處理器以及其單晶片系統上的其他元件，如無線通訊、媒體運算、安全防護等模組，試圖補強過去飽受詬病的各種 Android 系統資安防護弱點。 Google 表示，過去已有大量攻擊與駭侵案例，係經由 Android 裝置中的次要處理元件之韌體與漏洞來發動攻擊。近期該公司密集與 Android 生態系中的合作夥伴進行合作，以改善系統元件與韌體在和 Android 系統溝通過程中的安全機制，包括以下重點： 在編譯器層級的安全加強：在程式碼編譯過程中加強安全性，以減少各種程式碼執行作業中發生崩潰或其他漏洞所衍生的資安問題； 記憶體安全問題的加強：加強 Android 系統中在記憶體層面的安全性，以減少因記憶體崩潰、釋放後使用、虛無指標 (null pointer) 等問題。Google 也說將在 App 開始使用記憶體前，先將記憶體內容以 0 填滿，以免記憶體內含先前使用過的資料。 不過，資安專家也指出雖然 Google 此計畫的立意相當好，卻可能造成裝置效能的大幅下降，因為裝置需花費更多資源來進行額外的資安防護檢驗；另外，對於使用非標準元件以達成特定功能的 Android 裝置來說，由於未必能享有與主要處理器相同的安全資源，問題可能更為嚴重。 Google 對此指出將致力於這類資安防護機制運作效能的最佳化，以減輕其對 Android 系統運作效能的影響。該公司也說，未來將會擴大於其韌體程式碼中使用 Rust 來實作所有功能，這是一種可確保記憶體運作安全性的程式語言。 由於 Android 系統的先天架構，以及其在市場上有眾多生產廠商的複雜性，使其資安防護功能一向較為薄弱；建議 Android 系統用戶應隨時注意更新軟體與韌體，避免下載不明來源 App，並在原廠停止支援該裝置的安全更新後，盡速汰舊換新。

挪威警方 (Økokrim) 日前宣布破獲 Lazarus 駭侵團體在去年針對熱門區塊鏈遊戲 Axie Infinity 漏洞發動攻擊所竊得的大量加密貨幣資產，總值為 6000 萬克朗，相當於 580 萬美元。 Økokrim 指出，這筆加密貨幣贜款是由 Lazarus 駭侵團體，針對發行熱門區塊鏈邊玩邊賺遊戲 Axie Infinity 的發行公司 Sky Mavis，在 2022 年所進行的攻擊不法所得。Lazarus 於去年 3 月攻擊該遊戲的 Robin bridge 協定，對其部分區塊驗證者取得控制權後，隨即偽造兩筆未經授權的巨額交易，總損失金額高到 6.2 億美元。 Økokrim 說，這是在挪威緝獲的史上最高額贜款；在該局偵辦人員鍥而不捨地全力偵辦，查出不法分子的洗錢路徑，最後終於破獲部分該案被竊款項。 美國聯邦調查局 (Federal Bureau of Investigation) 指出，Lazarus 駭侵團體是在該案發生前數個月，以魚叉式釣魚攻擊手法，在求職網站上針對 Sky Mavis 員工展開假冒的挖角攻擊，要求受挖角員工填寫含有惡意程式碼的假冒履歷文件，使該駭侵團體可以入侵 Sky Mavis 的內部系統。FBI 說，這是 Lazarus 進行加密貨幣竊取攻擊的慣用手法。 Økokrim 表示，這次成功破案，有賴於多國警政與資安單位合作，才能順利破案；其中包括美國 FBI 專家支援追踨駭客的加密貨幣轉帳路線。緝獲的贜款將交由 Sky Mavis 補償蒙受損失的用戶。 建議在金融業、加密貨幣產業或其他機敏事業單位工作的員工，需隨時對各種不明的郵件、檔案或連結提高警覺，以免成為魚叉式釣魚攻擊的對象，造成所屬組織與其用戶的巨額損失。

歐洲刑警組織 (Europol) 日前宣布破獲一個由法國人與以色列人共同組成的駭侵團體，該團體透過企業 Email 攻擊，偽裝多家公司執行長發信指示員工匯款，進而騙取巨額不法所得。 Europol 指出，在該團體犯下的多起案件中，其中一件針對單一公司的攻擊不法所得就高達 3,800 萬歐元，約合 4,030 萬美元。 駭客為避免金流遭到追蹤，使用多重洗錢手法；不法所得輾轉經由歐洲、中國轉匯，最後匯到以色列進行提領。Europol 一共執行 8 次搜索行動，一共逮捕 6 名法國人和 2 名以色列人，查緝 510 萬歐元的銀行存款與 35 萬歐元加密貨幣。 Europol 表示，這次能夠順利破案，有賴 Europol 與多國警方與相關執法人員通力合作，包括 Eurupol 本身、法國、克羅埃西亞、匈牙利、葡萄牙、西班牙等國的檢警人員與資安專家都參與偵辦。 Euporol 指出，駭侵者發動的攻擊活動，屬於企業電子郵件攻擊 (Business Email Compromise, BEC)；駭客駭入目標企業的個人裝置或電子郵件系統，並監視公務通訊內容，當發現有大額轉帳付款時，便偽裝成企業執行長或該企業的客戶，並指示經辦人員將款項轉匯到駭侵者控制的銀行帳戶內。 2021 年 12 月時，這個駭侵團體也曾假冒法國一家大型治金工廠的執行長，成功將高達 30 萬歐元的款項以詐騙手法轉至匈牙境內的銀行帳戶；數日後該駭侵者試圖再次進行詐騙 50 萬歐元時，因該公司已報警而遭到攔截。   建議各公司行號的出納經辦人員，在收到可疑的轉帳目標改變命令時，務必提高警覺，於第一時間向主管與資安單位報告確認，以免發生巨額資金損失。

資安廠商 Sophos 日前發表研究報告，指出 2022 遭到勒贖攻擊最嚴重的 14 大目標，分別是媒體、娛樂與休閒產業、零售業、能源與公用事業、物流與運輸、企業與專業服務、醫療產業、高等教育、營建業與物業管理、IT 科技與電信業、中央及聯邦政府、地方與州政府、初級教育、製造業、金融業等。 媒體、娛樂與休閒產業高居 14 大目標的第一位。據統計指出，2022 年這些產業遭勒贖攻擊較前一年上升高達 147%，且在 12 個月內有高達 79% 曾遭勒贖攻擊。第二名的零售業在 2022 年中有 77% 曾遭勒贖攻擊，其中包括瑞典連鎖超市 Coop，曾因勒贖攻擊其收銀系統而被迫關閉 800 家門市達 3 天之久。 第三名是能源與公用事業，2022 年有 75% 業者曾遭勒贖攻擊；最著名的案例就是 Colonial Pipeline 遭駭，造成美國東岸的燃油供應中斷數日之久。第四名的物流與運輸業，在 2022 年有 74% 業者亦曾遭勒贖攻擊；而在 Sophos 的調查中，物流運輸業在支付贖金後，能救回的資料比例也最低，僅能救回 50% 資料。 第五名的企業、專業與法律服務業，也有高達 73% 在去年曾遭攻擊。資安專家指出多數企業未能隨時更新其使用軟硬體，同時也缺乏資安人員，以致經常遭到損失或快速支付贖款。 之後的行業排名與其遭勒贖攻擊比例如下： 其他：69% 醫療產業：66% 高等教育：64% 營建與物業管理：63% IT、科技與電信：61% 中央/聯邦政府：60% 地方/州政府：58% 初等教育：56% 製造業：55% 金融業：55% 各行各業平均遭勒贖攻擊比例高達 66%，可見勒贖攻擊之為害甚烈，幾乎人人都是受害者。 勒贖攻擊的對象已從早期以金融與大企業為主，發展至今可謂無差別攻擊，人人都可能遭到勒贖攻擊；因此建議不論組織或個人都須提高資安防護能力與意識，並且隨時更新所使用的軟硬體至最新版本。

Apple 日前緊急推出新版 iOS、iPadOS、macOS，以修補一個新發現的 WebKit 0-day 漏洞 CVE-2023-23529；該漏洞可讓駭侵者用於執行任意程式碼。 編號 CVE-2023-23529 的這個全新 0-day 漏洞，是一個存於 WebKit 瀏覽器引擎的錯誤，駭侵者可利用特製的網頁內容來誘發此錯誤發生，並且執行任意程式碼，以發動進一步的駭侵攻擊。 Apple 在資安通報中也表示，該漏洞可能已經遭到廣泛濫用於駭侵攻擊。該漏洞存內建 WebKit 引擎且執行舊版作業系統的 iPhone、iPad 和 Mac 電腦。 目前尚無此 CVE-2023-23529 的 CVSS 危險程度評分與評級相關資訊。 為修補此一漏洞，Apple 緊急發表新版 iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1；適用機種十分廣泛，包括 iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦。 在這次發行的更新版 iOS、iPadOS、macOS 中，除了上述的 CVE-2022-23529 外，Apple 也同時修補另一個漏洞 CVE-2023-23514；該漏洞存於記憶體管理機制中，屬於使用已釋放記憶體漏洞，可讓駭侵者以核心權限執行任意程式碼。 CVE 編號：CVE-2023-23529、CVE-2023-23514 影響產品： iPhone 8 與所有後續機型、iPad Pro 所有機型、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 5 代與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦 解決方案：升級到  iOS 16.3.1、iPadOS 16.3.1、macOS Ventura 13.2.1

美國大型社群論壇網站 Reddit 日前傳出遭到駭侵攻擊。據 Reddit 指出，駭侵者以高度目標釣魚手法，取得員工對內部系統的登入資訊後，入侵 Reddit 後台系統，取得部分內部資料與程式碼。 Reddit 在近日發表的資安通報中表示，該網站在 2 月 5 日稍晚發現遭到駭侵攻擊。駭侵者以高度成熟的釣魚攻擊手法，複製了 Reddit 內部專用系統的頁面，因此成功從某一 Reddit 員工處取得內部系統的登入資訊與二階段登入驗證碼，隨即取得 Reddit 的部分內部文件、程式碼，以及某些後台儀表板和管理系統資訊。 Reddit 表示，在該名員工主動通報後，該公司立即展開行動與調查，以防受害範圍擴大。目前沒有跡象顯示用戶的帳號與密碼遭竊，而 Reddit 產品系統(即用以執行 Reddit 主要功能並儲存多數資料的主機系統) 也並未遭受攻擊。 Reddit 也指出，在被竊的內部資料，可能包括數百名員工的個人資訊，以及某些廣告客戶的相關資料，但不包括信用卡、密碼與廣告績效表現等資料在內。該公司在經過內部調查後，目前認為並沒有任何公眾相關資料遭到駭侵者存取。 Reddit 指出，該公司認為這次攻擊的手法類似先前 Riot Games 遭到攻擊的事件；在該事件中，Riot Games 最熱門的「英雄聯盟」(League of Legends)原始程式碼也遭到竊取，駭侵者很快要求該公司支付 1000 萬美元贖金，但遭到 Riot Games 拒絕。隨後 League of Legends 程式碼就出現在駭侵相關論壇中求售。 針對企業員工發動社交或釣魚攻擊，以取得內部系統登入資訊的攻擊手法日漸普遍，因此建議各單位組織除了須加強內部系統的資安防護層級外，也應加強員工、供應商等的資安教育訓練，避免成為攻擊破口。

資安廠商 WithSecure 日前發表研究報告，指出該公司旗下的資安研究人員，發現 Lazarus 駭侵團體涉嫌於 2022 年第四季針對印度公私立醫療、科技與能源研究單位和其供應鏈發動駭侵監控攻擊，其主要目的推定為情報收集分析。 報告詳細描述 WithSecure 觀察到的駭侵程序；首先是以 Zimbra mail server 軟體中已知的漏洞 CVE-2022-27925 和 CVE-2022-37042 侵入受駭單位的內部網路，並利用另一個已知漏洞「pwnkit」 CVE-2021-4034 來提升自我執行權限到 root 等級。 接著駭侵者利用 shelf webshell 和自製駭侵工具來安裝 proxy、tunnel 和連線中繼工具，並利用受駭者 Windows 網域中使用老舊作業系統 Windows XP 的主機來進一步安裝其他駭侵工具如 Grease、Minikatz 和 Cobalt Strike 等。駭侵者最後取得約 100GB 資料傳送到其設立的控制伺服器，但沒有進行任何破壞行為。 整個駭侵過程自 2022 年 8 月 22 日起，到 2022 年 11 月 11 日為止，約近三個月時間。 WithSecure 的報告指出，由駭侵者的作案手法與駭侵過程途中犯下的各種錯誤，研判後認定該駭侵活動 Lazarus 駭侵團體有高度相關性。 由此份報告中可獲知，駭侵者均使用各種軟硬體的已知漏洞進行攻擊，因此各公私單位的系統管理者，必須隨時更新使用中的各種軟硬體到最新版本，並列入定期維護的標準作業程序，以防駭侵者利用已知漏洞發動攻擊。