不要错过 - 頁面 3

美國聯邦調查局（Federal Bureau of Investigation, FBI）與網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA），日前聯合發表資安通報，指出一個名為 Royal 的勒贖團體，自 2022 年 9 月起犯下多起勒贖攻擊，總共要求的贖金高達 2.75 億美元。 FBI 在通報中更新了於 2023 年 3 月發出的資安指引，指出自 2022 年 9 月以來，Royal 勒贖團體的攻擊行動，至少有 350 個以上受害個人或團體。 如同其他勒贖團體的攻擊手法，Royal 勒贖團體會先竊取受害者的資料，然後再將其加密並要求高額解鎖贖金；如果受害者拒付贖金，被竊的資料就會遭到 Royal 公開在其網站上。 兩個單位也指出，Royal 勒贖團體最常用於入侵受害者電腦系統的手法，是藉由釣魚郵件來騙取受害者的系統登入資訊。 資安廠商 RedSense 旗下的資安專家也指出，Royal 在今年 9 月時更名為 BlackSuit，並放棄原先使用的駭侵工具與組織架構；新的組織架構更加企業化，更接近其來源駭侵團體 Conti2 的組織與運作方式。 今年 3 月時 FBI 與 CISA 已經在針對 Royal 勒贖團體發布的資安通報中，提供防範該團體進行駭侵攻擊的指引，包括該團體典型的攻擊手法、流程等詳細資訊，以協助各單位阻擋其攻擊，並且攔截進行攻擊用的惡意程式碼酬載。

Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 58 個資安漏洞；其中含有 5 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量僅有 58 個，較上個月（2023 年 10 月）的 104 個資安漏洞大為減少；而在這 58 個漏洞中，僅有 3 個屬於「嚴重」等級，另有 5 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 15 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 執行權限提升漏洞：16 個； 資安防護功能略過漏洞：6 個； 遠端執行任意程式碼漏洞：15 個； 資訊洩露漏洞：6 個； 服務阻斷（Denial of Service）漏洞：5 個； 假冒詐騙漏洞：11 個。 本月的 Patch Tuesday 有 5 個 0-day 漏洞，其中有 3 個已遭大規模濫用的兩個，分別如下： 第一個 0-day 漏洞是 CVE 編號為 CVE-2023-36036，存於 Windows Cloud Files Mini Filter Driver 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，提高自身的執行權限到 SYSTEM 等級，但駭侵者是如何運用此漏洞發動攻擊的，目前仍屬未知狀態。 第二個已遭用於攻擊活動的 0-day 漏洞是 CVE-2023-36033，是存於 Windows DWM Core Library 中的執行權限提升漏洞，駭侵者可利用此漏洞獲得 SYSTEM 權限。 第三個已用於攻擊之中的 0-day 漏洞為 CVE-2023-36025，存於 Windows SmartScreen 中，屬於資安防護機制略過漏洞；駭侵者可利用特製的 Internet shortcut 來跳過資安檢測程序與警示訊息顯示。 CVE 編號：CVE-2023-36036、CVE-2023-36033、CVE-2023-36025 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶應立即套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

東歐國家斯洛維尼亞最大電力公司 Holding Slovenske Elektrarne (HSE)，日前遭到勒贖攻擊，導致該公司部分系統與檔案遭到破壞；但該公司表示供電並未受到影響。 HSE 的電力供應，占斯洛維尼亞國內電力消費的 60% 以上，因此算是該國關鍵基礎設施之一。該公司係於 2001 年由斯洛維尼亞政府設立，目前屬於政府持有的國營企業；其發電方式相當多樣，包括水力發電、火力發電、太陽能發電，甚至還擁有煤礦。HSE 同時也在義大利、賽爾維亞與匈牙利設有分支機構。 據當地媒體報導，攻擊事件係發生於 2023 年 11 月 22 日，該公司於 11 月 24 日發現攻擊事件後，隨即通報斯國資安主管機關，並與警察單位、第三方資安業者與專家合作處理，避免災情擴大到斯洛維尼亞其他機構與系統。 據 HSE 在官方聲明中表示，該公司尚未接獲任何支付贖款的要求，且受到影響的系統，目前侷限於 Sostanj 火力發電廠與 Velenje 煤礦；該公司的供電能力與供電系統運作保持正常。 當地的資安專家指出，這次攻擊事件很可能與 Rhysida 勒贖團體有關；美國資安主管機關 FBI 與 CISA 日前曾針對 Rhysida 勒贈團體的攻擊技術、策略與手段發布資安警訊。 資安專家表示，由於 Rhysida 在攻擊後，通常只會以 Email 來通知受害者，要求受害者以信內提供的密碼，到該團體在暗網設立的網站登入以「協商」贖款，在 Email 中不會有贖金相關金額的資訊。 建議各關鍵基礎設施應加強各類資安防護能力，避免因勒贖或其他型態的資安攻擊，而導致資料外洩，甚至無法正常運作。

Eurocom 旗下的資安專家，近日發現針對藍牙連線通訊的全新攻擊方法 BLUFFS；這些攻擊手法可以介入裝置間的藍牙加密通訊，除可假扮成連線對象裝置外，還可發動各種中間人攻擊（Man-in-the-middle attacks）。 BLUFFS 一共包括六種攻擊手段，其運作原理係應用四個不同的藍牙標準漏洞（其中兩個是未被發現的新漏洞）；這些漏洞發生於裝置間進行藍牙連線時的連線階段解密金鑰的交換流程。 利用這些漏洞的組合，BLUFFS 可以產生出長度較短、較易預測出來的 SKC 金鑰，接著再利用暴力試誤法來試圖解碼藍牙通訊的內容，以便假扮藍牙通訊中的通訊方，進而發動後續的中間人攻擊。 Eurocom 的研究人員不只發展出理論上的攻擊手法，同時也開發出概念驗證工具，可實際進行模擬攻擊；由於該漏洞存於藍牙通訊的基礎架構上，因此不分硬體製造商，所有從 Bluetooth 4.2 到 2023 年 2 月方才發布的最新版本 Bluetooth 5.4，都含有此漏洞。 Eurocom 在研究報告中也提供了對多種市售藍牙晶片與裝置的攻擊結果，各大廠牌推出的各種產品中的藍牙晶片幾乎無一倖免，全部可以使用 BLUFFS 中的六種攻擊手法加以攻擊得逞。 藍牙標準制定者 Bluetooth SIG 已接獲 Eurocom 的通報，並建議廠商在實作藍牙連線時提高加密金鑰長度限制，並使用 Mode 4 Level 4，並在裝置配對時使用 Secure Connection Only 模式，即可避免遭到 BLUFFS 攻擊。

歐洲刑警組織（Europol）、歐洲檢察官組織（Eurojust）日前會同七國執法單位，在烏克蘭境內多處同步執行搜索，成功破獲一個大型勒贖集團，遭該集團攻擊的受害者多達 1,700 個，分布遍及全球 71 國。 超過 20 名來自挪威、法國、德國、美國的調查人員，在行動開始前夕於烏克蘭首都基輔會合，並在荷蘭設立協調行動用的虛擬指揮中心，會同烏克蘭警方於該國境內 30 處以上地點，於 2023 年 11 月 21 日同步展開執法行動。展開搜索行動的城市包括 Kiev、Cherkasy、Rivne、Vinnytsia 等地。 警方行動大有斬獲，不只成功逮捕該勒贖集團的 32 歲首腦，同時也逮捕其他四名集團成員，並扣押多種犯罪相關工具與證物，包括電腦系統、多片 SIM 卡與大量電子犯罪記錄等。 據 Europol 發表的新聞稿指出，該勒贖團體同時利用多種不同的勒贖工具進行攻擊，使用的惡意軟體包括 LockerGoga、MegaCortex、HIVE、Dharma 等；在進行攻擊後，該團體會要求受害企業以比特幣將贖款匯款到指定的加密貨幣交易所帳號，以換取解密用的金鑰。 Europol 也指出，該團體通常先透過暴力試誤法與 SQL 注入攻擊，以及夾帶惡意軟體附檔的釣魚信件，來取得受害企業系統的登入資訊，之後再利用 TrickBot、Cobalt Strike、PowerShell Empire 等惡意軟體來操控受害企業的內網，再啟動勒贖軟體。所有受害企業合計有超過 250 台伺服器遭到加密攻擊，損失高達數億歐元。 建議各公私單位必須強化資安防護與人員教育訓練，避免勒贖團體利用資安漏洞或釣魚成功，因而遭到攻擊，蒙受重大損失。

資安媒體報導，近日一次勒贖攻擊造成獨立遊戲 Ethyrial: Echos of Yore 中所有 17,000 玩家的帳號資料，以及帳號中儲存的遊戲中寶物與進度全部遭到刪除。 Ethyrial: Echos of Yore 是由獨立遊戲開發廠商 Gellyberry Studios 開發的多人線上角色扮演遊戲，提供使用者免費遊玩；但玩家也可以選擇每月付費以支持遊戲開發。該遊戲仍在早期開發階段，最近開始在 Steam 遊戲平台上開始提供「搶先體驗」版，提供玩家嘗鮮體驗，然而卻在近日遭到勒贖攻擊。 在遭到攻擊後，Gellyberry 於官方 Discord 聊天室發表公告，指出該遊戲在上周五清晨突然遭到不明來源攻擊，伺服器中所有的資料和備份檔都遭到加密鎖定，駭客並要求支付數額不明的比特幣贖金；該公司鑑於多個案例在支付贖金後仍無法取得解鎖密鑰，因此決定不予支付，並且將手動重建伺服器，並且建立新的帳號與遊戲角色資料庫。 Gellyberry 表示，受到影響的 17,000 名玩家，其帳號與儲存的遊戲進度、遊戲內寶物都將復原，並且還會獲得一個進階版的遊戲寵物，以感謝玩家對這段期間不便之處的支持與體諒。 Gellyberry 也表示，為防範這類攻擊再度影響玩家權益與遊戲開發運作，今後會提高遊戲資料庫的離線備份頻率，同時要求所有連線到開發伺服器時必須使用 P2P VPN，並且限制可存取的 IP 網段。 受到影響的玩家須註冊一個新帳號，然後要求平台進行手動資料復原。 服務大批用戶的平台營運者，必須強化資安防護措施，以免因各類攻擊造成服務中斷，或是使用者機敏資訊外洩。

資安廠商 Recorded Future 近日發表統計報告指出，由多個駭侵團體所發動的加密貨幣相關攻擊，自 2017 年以來已經累積竊得超過 30 億美元的不法資金。 包括 Lazarus、Kimsuki、Andariel 等多個駭侵團體，近年來將其攻擊目標集中在加密貨幣相關產業與個人，利用多種方式竊取加密貨幣資金；光在去年一年之間犯下的加密貨幣相關竊案，竊得金額就高達 2022 年全年加密貨幣所有竊案損失金額的 44%。 Recorded Future 在報告中指出，駭侵組織原先以攻擊國際銀行轉帳匯款系統 SWIFT 為主，在 2017 年第一次加密貨幣泡沫發展時，開始轉向進行加密貨幣攻擊。一開始先以南韓的加密貨幣交易所為攻擊對象，之後轉而攻擊全球各地的加密貨幣交易所與個人。 駭侵團體在 2017 年犯下 BitThumb、Youbit、Yapizon 等多家南韓交易所攻擊事件，當時竊得的加密資金約為 8270 萬美元；而在今年犯下的 Atomic Wallet 與 AlphaPo、CoinsPaid 攻擊，合計便已竊得 2 億美元。 Recorded Future 也指出，在 2022 年一年之間，各駭侵團體竊得的加密貨幣總額高達 17 億美元，相當於其全國經濟總額的 5%，更是其國防軍事預算的 45%。聯合國一份機密報告也指出，2022 年駭侵者竊取的加密貨幣資金，約在 6.3 億美元到 10 億美元之間。 建議加密貨幣機構、交易所與投資人應提高資安防護能力，慎防駭侵者以漏洞、釣魚攻擊等手法竊取加密資金，造成鉅額財損。

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安指引，要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼，以提升資安保護層級。 資安專家指出，為了簡化生產與大量軟硬體裝置的管理與操作流程，很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼；這種做法雖然能夠大幅降低操作的複雜性，但卻會造成極大的資安風險。 一旦駭侵者利用往往廣為人知的預設密碼發動攻擊，除了採用預設密碼的設備或軟體本身可能遭到駭侵之外，駭侵者也可藉以發動進一步的攻擊，最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。 CISA 在其資安警訊中提出兩點要求，要求廠商必須對客戶可能發生的資安後果負起責任，同時必須在組織架構與領導兩方面來達成這個目標。 CISA 進一步指出，軟體開發廠商必須在設計、開發與出貨等階段嚴格落實上述要求，不提供產品的預設密碼，才能預防顧客因預設密碼而可能蒙受的攻擊損失。 CISA 說，多年以來的經驗證明，期待顧客在產品購入後變更預設密碼是不切實際的，因為顧客通常不會主動更改密碼；唯有在產品設計製造階段就消除預設密碼的存在，才能減少現今因未能更改預設密碼而導致的大量攻擊損失。 CISA 要求製造商須提供不重複的設定階段密碼，避免提供相同的預設密碼給顧客；製造商亦應提供單次有效密碼供顧客進行產品初次設定；一旦設定完成後，該密碼即行失效，無法再次用於登入。 CISA 也敦促各廠商應在流程上導引顧客使用多重登入驗證，以進一步保護軟體或裝置的登入安全。 各硬體設備或軟體系統廠商，建議可以參考 CISA 此次發布之資安指引，避免提供預設密碼，以強化使用者的資安防護能力。

一個名為 Nex Team 的資安專家團隊，近日發現一個存於 WordPress 備份用外掛程式 Backup Migration 中的嚴重漏洞，駭侵者可藉以遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2023-6553，其危險程度評分高達 9.8 分（滿分為 10 分）；危險程度評級亦達最嚴重的「嚴重」（Critical）等級。該漏洞可讓駭侵者以相對簡易且無需通過身分認證的方式，即可利用特製的連線要求，在 /includes/backup-heart.php 檔案中注入 PHP 程式碼，進而遠端執行任意程式碼，並取得遭駭 WordPress 網站的控制權。 該漏洞影響 Backup Migration 外掛程式的所有版本，包括 Backup Migration 1.3.7 在內。據 WordPress 外掛程式目錄頁面上的統計指出，該外掛程式的下載安裝次數已超過 9 萬次。 Nex Team 是在由 WordPress 資安廠商 Wordfence 舉辦的漏洞懸賞大賽中提報本漏洞的，而 Wordfence 在接獲漏洞通報後，已於第一時間（12 月 6 日）立即通報給該外掛程式的開發單位 BackupBliss，且開發者也在數小時後緊急推出更新版本 Bakcup Migrarion 1.3.8，更新速度十分快速。 但另一方面，根據 WordPress.org 上 Backup Migration 外掛程式下載頁面上的資訊，在 Backup Migration 推出新版後，仍有近 5 萬個採用該外掛的 WordPress 網站，尚未更新到已修復該漏洞的新版本，因此這些 WordPress 網站仍曝露在極高的駭侵風險之下。 建議採用該外掛程式的 WordPress 網站，應盡速更新到最新版本。

Apple 日前緊急針對兩個新發現的 0-day 漏洞 CVE-2023-42916 和 CVE-2023-42917 發布較舊產品適用的更新版本作業系統，受影響裝置的使用者應立即套用更新。可能已有駭侵者利用這兩個 0-day 漏洞發動攻擊。 這兩個 0-day 漏洞都存於 Apple 各項作業系統內建瀏覽器的 WebKit 瀏覽器引擎中，屬於越界讀取漏洞；駭侵者可利用特製的網頁來誘發記憶體崩潰，藉以竊取使用者的機敏資訊，甚至執行任意程式碼。 Apple 日前已針對執行新版作業系統 iOS 17、iPadOS 17、macOS Sonoma 推出這兩個 0-day 漏洞的緊急修補更新；這次推出的是 iOS 16.7.3、iPadOS 16.7.3、tvOS 17.2、watchOS 10.2，針對上次未能修復的舊版作業系統與 Apple TV、Apple Watch 提供資安更新。 受此漏洞影響的 Apple 產品如下： iPhone 8 與後續機型、iPad Pro (所有機型)、iPad Air (第 3 代) 與後續機型、iPad (第 5 代) 與後續機型、iPad mini (第 5 代) 與後續機型； Apple TV HD 與 Apple TV 4K (所有機型)； Apple Watch Series 4 與後續機型。 所有仍在使用這些 Apple 產品的使用者，應立即升級作業系統到最新版本，以修復這兩個已遭用於攻擊的 0-day 漏洞。