不要错过 - 頁面 17

資安媒體 BleepingComuter 近日發現一批多達 2 億名 Twitter 用戶 Email 地址的資料，在某一熱門駭侵論壇上遭到賤價出售；放上這批資料的駭侵者，開價僅要求 8 個論壇點數，要價約 2 美元。 據 BleepingComputer 的驗證，這批流出資料中的 Email 地址正確性很高。 BleepingComputer 在報導中指出，自 2022 年 6 月 22 起，在多個駭侵論壇與暗網就出現有人兜售大量竊自 Twitter 的使用者資料，包括用戶的電話號碼與 Email 地址。這批資料係為駭侵者於 2021 年時利用 Twitter API 的漏洞來竊得。 雖然 Twitter 在 2022 年 1 月時修復了該 API 的漏洞，但已有許多駭侵者在駭侵論壇或暗網中免費釋出先前竊得的用戶個資。 最近則有駭侵者開始販賣一批約有 4 億名 Twitter 用戶的個資，而今天這批 2 億名用戶的 Email 地址，極可能是整理自前述的 4 億名用戶個資，將重複資料去除後的結果，一共內含 221,608,729 名 Twitter 用戶的 Email 地址。 BleepingComputer 取得這批資料後，得到一個內含 6 個文字檔，解壓縮後大小共 59 GB 的 RAR 壓縮檔；文字檔的內容包括各 Twitter 用戶的姓名、顯示名稱、Email 地址、追蹤人數、帳號註冊日期等欄位。 雖然這批外流的資料中，較機敏的欄位僅含有用戶的 Email 地址，不含其他可識別身分的個資，但駭侵者仍可藉由這些 Email 地址來發動釣魚攻擊；Twitter 用戶最近應提高警覺，勿點選可疑郵件中的連結或開啟附檔。

資安廠商 Emsisoft 日前發表統計報告指出，2022 年全年，美國全境有多達 200 個以上各種公用事業單位遭到勒贖攻擊，被攻擊的公用事業對象包括各級地方政府、大專院校等各級學校、醫療機構等單位。 據 Emsisoft 整理自公開資料所得到結果指出，去年一年美國境內共有 105 個郡縣級政府單位、44 所大專院校、45 所其他學校校區與 24 所醫療保健機構，曾經遭到規模不等的勒贖攻擊。 Emsisoft 指出，該報告的資料來源包括各種資安通報、駭侵攻擊調查報告、暗網流出資訊、第三方提供的情報等等。 統計報告也指出，約有一半左右的攻擊事件，受駭單位所屬資料遭到竊取。 若與 2021 年相比，各級地方政府遭到勒贖攻擊的件數，由 77 起成長到 105 起；但 2020 年則發生了 113 起。 Emsisoft 也指出，2022 年一起發生在阿肯色州米勒郡（Miller）的勒贖攻擊事件，因為透過網路大量擴散，結果造成其他 55 個地方政府也遭到駭侵攻擊；而從已知資料中，僅有麻州昆西郡（Quincy）支付贖金，造成 50 萬美元財政損失。 在教育機構方面，2022 年有 44 所美國大專院校和 45 所其他各級學校校區遭到勒贖攻擊，其中有三所學校支付贖金；支付最多者超過 40 萬美元。醫療方面，旗下擁有 140 間連鎖醫院的 CommonSpirit Health 有超過 62 萬名患者資料遭竊。 各公用事業由於服務人數重多，經常包含社會運作不可或缺的關鍵服務，因此建議應特別加強資安防護能力與人員資安訓練，以防勒贖攻擊造成財務與資料的雙重損失。

資安廠商 Mandiant 日前發表研究報告，指出該公司發現有駭侵團體透過植入惡意軟體的 Windows 10 安裝 ISO 檔，攻擊烏克蘭政府所屬單位，入侵其內部網路系統。 據 Mandiant 的報告指出，這波攻擊係透過 P2P 檔案分享網路 BitTorrent 的網站進行；駭侵者將木馬惡意軟體植入 Windows 10 安裝光碟映像檔，藉以發動供應鏈攻擊。 Mandiant 將這波攻擊行動代號命名為「UNC4166」。該公司在分析烏克蘭政府受到攻擊的部分單位內網時，發現被植入的木馬主要以竊取機密資訊為主，傳送到駭侵者控制伺服器的貟訊，並未含有可用以竊取財物的資訊，也不含任何勒贖工具或加密貨幣挖礦程式。 Mandiant 說，駭侵者在初步入侵受害系統後，隨即進一步布署多種惡意後門 Stowaway、Beacon、Sparepart 等，以便讓駭侵者控制受駭系統、執行指令與程式碼、傳送檔案、竊取資訊如登入帳密和鍵盤輸入等。 Mandiant 也發現一些在 2022 年 7 月預先排程好的工作，以便透過 PowerShell 取得駭侵者下達的進一步攻擊指令。 Mandiant 在報告中指出，這次烏克蘭政府受到攻擊的單位，過去也曾遭到 APT 駭侵團體 APT28 的攻擊。 建議擁有機敏資訊的各公私單位或個人，在安裝軟體時務必循正規管道，使用經驗證安全性可靠的正版軟體，切勿透過 P2P 或社群平台連結安裝來路不明的盜版軟體或所謂破解工具、註冊機，以免遭到植入惡意軟體。

Microsoft 近日指出，近 75% 製造業使用的物聯網系統（Internet of Things, IoT）、資訊科技（Information Technology，IT）系統與營運科技 (Operational Technology，OT）系統，沒有進行必須的資安漏洞修補，因此暴露在高度資安風險中。 Microsoft 在最新一期的「The Cyber Signal」資安專刊中指出，自其收集的每日 43 兆個資安相關信號資料，由全球 8500 位資安專家分析，得到以下必須注意的警訊數字： 製造業採用的知名大廠各種工控產品，含有已知高危險漏洞的數量，自 2020 年到 2022 年間增加了 78%； 在 Microsoft 客戶的 OT 網路中，有高達 75% 的常見工控設備未經修補，含有高危險漏洞。 超過 100 萬台連線 IoT 裝置仍在執行停止支援已久的 Boa 軟體。 報告中也指出，根據 IDC 的統計數字，至 2025 年時全球會有多達 416 億台 IoT 連網裝置，但這些裝置的資安漏洞能獲得更新的比例極低；近年來因為 IoT 與 OT 設備漏洞而造成的實體世界攻擊活動，包括 2021 年發生在美國的 Colonial 輸油管線遭勒贖攻擊、佛羅里達州供水設施遭攻擊投毒事件，以及今（2022）發生在烏克蘭的 Industroyer 斷電事件等。 此外，Microsoft 這份報告也統計了各種 IoT 惡意軟體的來源國排名（僅代表攻擊封包來源，不表示攻擊活動為該國政府支援或發動），前五名依序為中國（38%）、美國（19%）、印度（10%）、南韓（7%）、台灣（5%）。 建議各製造業者應強化自身的資安防護架構，包括將敏感或重要相關系統與外部網路隔開、加強可存取人員控管，並提高從業人員資安素養等。

以色列 Ben-Gurion University 大學的資安研究人員發現一種稱為「COVID-BIT」的全新資料竊取方式；即使電腦完全未連接任何網路，其電源供應器對外放射的電磁波，也可能在近距離內遭到讀取而取得其內部資料。 研究人員指出，這類完全沒有連結網路連線的電腦，多半因為擔負重要任務，例如武器控制系統或重要關鍵基礎設施，或儲存高度機敏資訊，因而必須與內外網路隔絕。 由於無法直接透過網路入侵，傳統上要攻擊這類電腦，都必須經由可出入管制場所的人來實體接觸電腦；然而透過 COVID-BIT 即可遠端接收該電腦的內部資訊。 研究人員開發出一種惡意軟體，可控制受害電腦的 CPU 負載，並利用交換式電源供應應的運作原理，讓該電腦的電源供應器發出 0 - 48KHz 的低頻電磁波。 研究人員在報告中指出，運用 COVID-BIT，攻擊者可以在距離該電腦 2 公尺左右處，以行動裝置或其他設備加裝可隱藏在有線耳機中的微型天線，收集受害電腦經由其電源供應器釋放的電磁波脈衝訊號，加以分析後解出資料。 報告也指出，運用這種方式，受害電腦將可以約 1000 bps 的傳輸速度對外傳送資料，傳送一個 10KB 大小的檔案，約需 80 秒；而一個 4096 位元組的 RSA 加密金鑰檔案，傳送時間最快僅需 4 秒；甚至可以透過這種方式遠端接收即時鍵盤輸入字元。 建議這類隔空透過電磁波接收資訊的攻擊方式，可以透過監控 CPU 不正常的頻率變化來防杜，此外也應加強電腦所在場所的電磁波屏蔽能力；由於這種攻擊方式仍需有人將惡意軟體植入隔離電腦中，因此加強人員進出管制監控亦屬必要。

網通大廠 Juniper Networks 旗下的資安研究人員，日前發現一個過去未曾發現的 Python 後門，專門攻擊VMware ESXi 伺服器，駭侵者能藉以在遭駭侵系統上遠端執行。 VMware ESXi 是一種廣受企業使用的虛擬化平台，可以高效率地運用主機的 CPU 與記憶體資源，同時執行多個伺服器。 Juniper Networks 發現的新後門，很可能是利用兩個十分老舊，存於 VMware ESXi OpenSLP 的漏洞 CVE-2019-5544 與 CVE-2020-3992 來發動攻擊；駭侵者在 /etc/ec.local.d/local.sh 這個指令檔中加上 7 行 Python 指令，啟動一個 web server，以接受來自駭侵者的密碼保護 POST 要求；這些要求可以攜帶以 base-64 編碼的惡意軟體酬載，或是在主機上啟用一個 reverse shell 連上駭侵者的控制伺服器。這種手法可以避免防火牆的阻擋。 Juniper 的資安研究人員，在實際攻擊案例中觀察到駭侵者利用此方式，更改 ESXi 的反向 http proxy 設定，使其可以遠端控制該主機，並發動進一步的駭侵攻擊。 Juniper 提供的暫時處理方案指出，VWware ESXi 伺服器的管理者，應立即檢查伺服器的 /etc/ec.local.d/local.sh 檔案中，是否多出報告中列出的 7 行惡意 Python 程式碼，如發現異常，應徹底檢查主機是否有可疑的設定變更。此外，也應設定 ESXi 主機僅能透過可信賴的主機進行連線。

網通設備大廠 Fortinet 旗下的資安研究團隊，最近發現一個名為 Zerobot 的全新惡意軟體，利用多家廠商的防火牆設備、路由器，以及網路攝影機等各型連網裝置合計 21 個漏洞進行攻擊，植入僵屍網路以發動分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）。 Fortinet 在報告中指出，Zerobot 可「支援」的系統架構十分多樣化，從 i386、AMD64、ARM、ARM64 到 MIPS64、MIPSle、PPC64、PPC64le、RISC64、S390x 等不同架構與裝置，都可能受其攻擊。 Fortinet 的報告也說，Zerobot 利用上述聯網設備合計 21 個漏洞來攻擊上述裝置，並植入惡意軟體以組成龐大的僵屍網路。這 21 個漏洞中，有 8 個是在 2022 年發現的，其餘 13 個漏洞的發現期間在 2014 年到 2021 年之間。 在成功植入設備執行後，會與駭侵者設立的控制伺服器連線，上傳遭駭裝置的一些基本資料，同時等候命令發動 DDoS 攻擊。 據 Fortinet 指出，該公司的資安專家發現 Zerobot 後，也觀察到在 11 月的新版中，加入了許多額外組件與利用新發現漏洞的程式碼，顯示該惡意軟體的開發活動十分積極。 建議各型連網裝置的使用者或管理者，應隨時注意裝置是否提供資安更新或韌體升級，如有新版或更新應立即升級。過於老舊的產品可能已未列在原廠支援之列，若長期缺乏升級服務，應考慮設備汰舊換新。

資安媒體 BleepingComuter 日前發現 Twitter 上有惡意帳號，假冒科技界名人 Elon Musk 之名，針對 Elon Musk 的新 Twitter 追蹤者發動加密貨幣詐騙攻擊。 該詐騙活動的手法，是利用一個使用 Twitter 圖示當做頭像的帳號，先將新近開始追蹤 Elon Musk Twitter 帳號的用戶，加入一個名為「Deal of the Year」的 List 中，該 List 在該文撰稿時，內有 155 個 Twitter 用戶。 在該 List 的頁面上，放了一張偽造的圖片，圖片中盜用 Elon Musk 的頭像與 Twitter 帳號發表假推文，內容詐稱 Elon Musk 將選擇 1000 名追蹤者參加「史上規模最大的加密貨幣贈送活動」，並放置一個名為「freedomgiveaway.net」，看起來似乎是正常網站的網址。 點入該網址便會進入駭侵者設立的詐騙網站，網站內有 Elon Musk 的照片，然後會要求用戶回答一些關於 Elon Musk 旗下企業如 Tesla、SpaceX、StarLink 與 Elon Musk 本人相關的一些問題。不論答對答錯，用戶都會被導向到一處顯示一個比特幣錢包位址的畫面；用戶如果想獲得 5000 枚比特幣的大獎，就必須先存入 0.02 到 1 枚比特幣到畫面上的網址；存入比特幣後，用戶將可獲得 5 倍到 10 倍的比特幣獎金。 當然，類似的詐騙活動，結果都是存入資金的受害者，永遠拿不到所謂的高額獎金。 根據加密貨幣資安廠商 Group-IB 指出，這類加密貨幣詐騙使用的網域名稱數量，今年比去年暴增三倍之多。 BleepingComputer 指出，在該刊發現此一詐騙活動並撰文報導當時，詐騙者提供的比特幣錢包位址，尚無任何比特幣轉入記錄；但該刊認為仍有必要揭露這類詐騙活動。 建議加密貨幣投資者應對明顯不合理的高報酬活動提高警覺，勿任意匯款，也絕對不可透露自己的錢包密碼或復原短語，以免造成損失。

Google 近日釋出 2022 年 12 月的 Android 行動作業系統資安更新，修復多達 81 個資安漏洞；其中有一個嚴重漏洞 CVE-2022-20472，駭侵者可透過此漏洞，經由藍牙連線，無需任何權限即可遠端執行任意程式碼。 這次 Android 資安更新包更新的所有漏洞中，含有以下 4 個嚴重 (Critical) 等級漏洞： CVE-2022-20472：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20473：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20411：存於 Android System 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20498：存於 Android System 的資訊外洩漏洞，影響的 Android 版本為 Android 10 到 13。 其他獲得修復的 Android 資安漏洞類型，包括執行權限提升、遠端執行任意程式碼、資訊洩漏，以及分散式阻斷服務（Denial of Service, DoS）。 資安專家指出，在 Android 系統上的嚴重執行權限提升漏洞，可讓惡意軟體先以較低權限入侵裝置，然後再伺機利用該漏洞提升執行權限，接著載入更具危險性的惡意程式碼酬載，不可不防。 由於 Android 更新通常必須經由裝置原廠提供，無法直接套用 Google 推出的資安更新，因此用戶需注意原廠更新訊息；原廠可能不再支援過於老舊的裝置，應考慮更換為新機種。

資安廠商 Sectrio 日前發表研究報告，指出用於工業與製造業的營運科技系統（Operational Technology，OT）現今面臨的十大資安問題與解決方案。 Sectrio 日前公布的 2022 IoT 與 OT 資安長問卷調查（The IoT and OT CISO Peer Survey 2022）中發現，有 90% 的企業資安長表示，在過去 12 個月中其公司至少發生過一起重要駭侵攻擊事件；多數企業的製造與營運因而停止運作達到 4 天，造成平均 250 萬美元損失。 Sectrio 根據此問卷，分析出現今全球企業面臨的主要 OT 系統資安風險如下： 多數製造業的 OT 系統設備與作業系統版本過於老舊，且未曾或很少進行更新； OT 系統的管理與權責不明：多數公司的 IT 單位與系統擁有較明確的管理權責畫分，但製造業的 OT 系統普遍都有管理權責不明的問題，甚至只有五分之一的製造業者設有資安長，負責 OT 系統的資安維運； OT 資產重要性未獲重視：超過 95% 公司承認未將 OT 系統資安維護視為公司重要例行工作； 日益提高的 IoT 僵屍網路與 DDoS 攻擊風險：許多駭侵者選擇製造業的 OT 系統當做布署僵屍網路的節點，或對企業發動 DDoS 攻擊。 許多 OT 系統直接曝露於公眾 Internet 上，與外網之間沒有強固的防火牆與其他資安設備隔開，等於對駭侵者大開方便之門。 使用可卸除式記憶媒體：許多製造業 OT 系統未對如 USB 隨身碟、記憶卡之類的可卸除式記憶裝置加強管制，大大提高遭到惡意軟體植入的機會。 近期製造業 OT 系統遭各式駭侵攻擊的案例愈來愈多，損失極為驚人；各製造業者應思考資安防護策略，提撥足夠人力與預算，加強 OT 系統的防護與人員訓練。