不要错过 - 頁面 10

十分受全球網友歡迎的社群聊天室服務 Discord，日前開始發送 email 通知部分用戶，因該平台先前發生的駭侵事故，導致這批用戶的個人可識別資訊（personally identifiable information, PII）外洩。 該次駭侵事件發生在 2023 年 3 月 29 日，起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員，疑似遭到社交攻擊，導致駭侵者取得其工作用登入資訊，並藉以取得 Discord 平台部分系統的使用權限。 駭侵者竊得的資料，包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員溝通的訊息記錄，以及支援工單中附件的檔案內容。 Discord 表示在發現系統遭到不當存取，且證實資料遭竊後，該公司立即停用遭駭人員帳號的相關權限，清查後發現約有 180 名使用者的個人機敏資料遭到竊取。 Discord 在新聞稿中指出，目前證實有一名位於美國緬因州的使用者，其個人姓名、駕駛執照、州民證號碼等資訊遭到外洩。 另外，在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io，在遭到駭侵攻擊並發生大量資料外洩後停止服務；資料遭到外洩的該服務使用者據傳多達 760,000 人。 Discord.io 被竊取的使用者資訊，據傳也在一個新成立的駭侵討論區 Breached 上出售，駭侵者還公開了 4 名使用者的資訊，以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址（部分使用者）、已加密的密碼 hash、對應的 Discord ID 等。 鑑於第三方服務業者人員遭社交攻擊等方式，導致平台系統遭到駭侵的案例層出不窮，建議各平台業者加強第三方業者的資安認證與人員教育訓練，並將核心系統與資料進行必要的隔離保護。

資安廠商 Patchstack 旗下的資安研究分析人員，日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X，內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389，可導致使用者的帳號遭竊，網站遭不當上傳檔案。 Jupiter X Core 是一個十分簡單好用的視覺化編輯器，屬於 Jupiter X 佈景主題的一部分，可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀；目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。 Patchstack 的報告中指出，第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中，可用以在伺服器上執行任意程式碼；該漏洞的 CVSS 危險程度評分高達 9.0 分（滿分為 10 分），所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。 至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者，只要持有任何 WordPress 帳號登入時使用的 Email 地址，即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分，影響所有 Jupiter X Core 3.3.8 之前的版本。 截至目前為止，資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象；而針對這兩個漏洞，開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3，順利修復漏洞。 正在使用 Jupiter X 佈景主題的使用者，應立即將其中的 Jupiter Core X 更新到最新 3.4.3 版本，以免遭駭侵者利用已知漏洞發動攻擊。

資安廠商 Joe Security 與 Zimperium 近期分析發現，有數千種 Android 惡意軟體的 APK 安裝檔，採用非正規的壓縮方式，能夠成功避開多種防毒防駭工具的偵測；而且採用這種方式的惡意 Android APK 數量持續增加。 這些惡意軟體 APK 檔採用的壓縮方式，許多並未在 Android 系統中提供支援，也有一部分是非公開的壓縮演算法，或是經過大幅改寫，以致於無法使用公用解壓縮方式解壓。 據 Zimperium 的研究指出，市面上有至少 3,300 種 APK 使用這類特殊的壓縮方式，來規避防毒防駭機制的掃瞄；雖然許多 APK 都因此容易發生不穩定而當機的狀況，但 Zimperium 還是發現至少有 71 種惡意 APK 可在 Android OS 9 (API28) 版本上正常運作。 研究人員也表示，使用作業系統不支援或未知的壓縮演算法的 APK，無法在 Andoird 8 或先前版本上執行，但卻可在 Android 9 與後續版本上執行。另外，採用這種非正規的壓縮方式，駭侵者還可以使用超過 256 字元以上的檔名，這可造成許多惡意軟體分析工具無法執行。 研究人員指出，利用這種非正規的方式來壓縮 APK 檔，就能有效避開市面上多種 Android 平台上的防毒防駭軟體的靜態偵測機制，也能有效延緩資安廠商與研究人員分析惡意軟體並推出解決方案的速度。 研究人員也說，目前這些變造壓縮方式的 Android APK 檔，均未在 Google Play Store 中上架，但很可能出現在第三方的 App Store 中。 建議 Android 用戶避免下載安裝來路不明、非出自官方 Google Play Store 的 APK 檔案。

國際刑警組織（INTERPOL）日前宣布，在一場在多個非洲國家進行的網路犯罪偵查行動中，目前已逮捕 14 名嫌犯，並破獲為數眾多的犯罪工具與不法所得。 這場行動的代號稱為「Africa Cyber Serge II」，於 2023 年正式在多達 25 個非洲國家展開偵查活動；四個月的偵辦期間，針對包括釣魚攻擊、網路勒贖、企業電子郵件駭侵（Business Email Compromise, BEC）、網路詐騙等等進行偵辦，造成的財務損失高達 4,000 萬美元。 除了逮捕網路犯罪分子之外，Africa Cyber Serge II 行動也起出大量犯罪相關工具，包括近四千台用於進行駭侵攻擊的控制伺服器、近 15,000 個用以竊取資料的 IP、近 1,500 個用於釣魚攻擊的連結與網域、近 1,000 個用於詐騙攻擊的 IP、超過 400 個其他惡意網址和僵屍網路等。 Africa Cyber Serge II 在非洲各國的執行成果，包括在喀麥隆逮捕 3 名涉及 85 萬美元網路藝術品詐騙的嫌犯、在奈及利亞逮捕一名涉嫌詐騙一名甘比亞受害者的嫌犯、在模里西斯逮捕兩名即時通訊詐財分子、在甘比亞查緝 185 個惡意 IP、在喀麥隆破獲 2 個暗網網站、在肯亞緝獲 615 台駭侵攻擊用主機。 上一次的 Africa Cyber Serge 大執法是在 2022 年 11 月發動，當時逮捕 11 名犯嫌，破獲多達 200,000 個駭侵攻擊使用的基礎設備。

資安廠商 Cyberint 近日發表資安觀察研究報告指出，全球最大求職求才社群服務 LinkedIn，日前發生大規模帳號遭攻擊事件，大量帳號因而遭到竊取，或被系統認定為不安全帳號而遭鎖定。 Cyberint 近期觀察到在包括 X（即改名後的 Twitter）、Reddit 討論區與 Microsoft forum 等處，有許多使用者抱怨其 LinkedIn 帳號發生問題；許多帳號因遭到攻擊而被 LinkedIn 鎖定而無法使用，甚至還有不少帳號直接被竊。 這些帳號遭到攻擊的使用者也在上述社群頻道中抱怨，LinkedIn 的客戶服務系統不但未能及時解決使用者的帳號問題，甚至對用戶的反應沒有任何回應。 Cyberint 的資安研究人員指出，LinkedIn 的客服系統最近的反應遲緩，顯示該服務可能面臨較平時高出甚多的客服需求，以致客服系統與人員難以負荷。 駭侵者很可能是利用暴力試誤法，或使用已洩漏的登入資訊，來竊取使用者的 LinkedIn 帳號。有不少使用者的 LinkedIn 帳號，其登入密碼和 Email 遭到竄改，以致無法登入。 Cyberint 說，駭侵者甚至會在竊得帳號後開啟二階段登入驗證，導致使用者要取回帳號存取權的難度進一步提高。 目前已有一部分 LinkedIn 帳號遭竊的用戶，遭到駭侵者要求支付小額贖款；駭侵者威脅如果拒付贖款，帳號即將遭到刪除。 LinkedIn 的帳號經常用來作為進一步發動社交攻擊的工具，因此在駭侵者眼中是相當有價值的攻擊目標。 建議 LinkedIn 使用者應加強帳號密碼的保護，例如開啟二階段登入驗證、不使用與其他服務相同的密碼、使用強式密碼等等。

美國聯邦調查局（Federal Bureau of Investigation, FBI）日前發表資安警訊，指出有詐騙集團假冒為「非同質性代幣」（Non-Fungible Token, NFT）開發人員，針對 NFT 愛好者進行各種詐騙活動，意圖竊取其加密資幣與 NFT 數位資產。 FBI 指出，這些詐騙集團以駭侵手法取得部分知名 NFT 開發人員的社群媒體帳號控制權，或是設立一個幾可亂真的假帳號，來假扮這些知名開發者的身分，藉以取信於 NFT 愛好者與投資人。 在與目標對象建立溝通管道後，這些詐騙分子就會以限時專案等誘因來誘騙目標對象，宣稱有限定參與對象的新 NFT 鑄造計畫，有極佳的投資獲利機會，邀請受害對象參加；由於詐騙集團多半會強調時限，因此受害對象往往在沒有時間進行充分查證的情形下，就受到引誘。 接著受害者會被導向到偽裝成正宗 NFT 計畫網站的惡意釣魚網站，一旦受害者輸入自己的錢包位址與存取密碼，自己擁有的加密貨幣與 NFT 等數位資產，就會遭到盜領一空。 為了防止資金流向遭到追查，這些詐騙者還會利用多種數位資產混合服務，讓執法單位難以追蹤金流，以避免遭到查緝。這也使得受害者更不容易追回損失的資金。 FBI 在這次的警訊中，沒有透露目前這波攻擊具體造成的損失金額與受害情形，但這類案件的發生可謂層出不窮，損失金額也十分可觀。今年三月時公開的「Pig Butchering」詐騙案，損失金額就高達 20 億美元以上。 FBI 建議 NFT 愛好者在投資時，務必再三確認 NFT 開發者的身分，確認其社群媒體上的廣告真實可信；在進行相關購買時，也一定要確認網址的合法性。如果活動本身宣稱的利潤過高，就必須特別提高警覺。

Google Cloud 旗下的資安團隊 Cybersecurity Action Team，在近期發表的 2023 年資安趨勢報告「Threat Horizons: August 2023 Threat Horizons Report」中指出，愈來愈多駭侵者利用「版本置換」（Versioning）的方式，通過 Google Play Store 的上架前檢查流程並成功上架。 在這份報告中，Google 先列出 Google Cloud 2023 年第一季統計所得的雲端服務攻擊原因，其中未設定密碼或密碼不夠強，其佔比高達 54.8%；其他原因還包括資安設定錯誤（19%）、敏感 UI 或 API 曝光（11.9%）、登入資訊遭竊（7.1%）、使用軟體存有漏洞（2.4%）等。 此外，在這份報告中，Google Cloud 資安團隊也解釋 Google Play Store 中會有惡意軟體上架的原因。駭侵者多半利用一種稱為「版本置換」（Versioning）的手法，先把不含任何惡意軟體的最初版本上架到 Google Play Store 中，以通過各種資安檢查流程，成功上架到 Googel Play Store 上；待使用者下載安裝後，再以版本更新的機制，將惡意軟體酬載自第三方伺服器安裝到使用者已安裝在裝置中的 App 內。 雖然 Google 在其 Play Store 使用規範中明白規定，禁止任何軟體使用 Google Play 官方提供的更新機制以外的方式，對已下載安裝的軟體進行更新、變更或替換，也禁止自第三方伺服器下載任何可執行檔，例如 dex、JAR 等檔案，但顯然有不少 App 並未遵守這個禁令，仍會在使用者下載完沒有問題的版本後，再透過第三方伺服器安裝惡意軟體程式碼酬載。 建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體，也應在下載前先檢視其他使用者的意見回饋，如有大量負評則應避免下載。

德國柏林科技大學（Technical University of Berlin）的資安研究人員，日前表研究報告，指出研究人員發展出一種破解 Tesla 車內資訊娛樂系統（Infotainment systems）的方法，可以破解 Telsa 對某些付費專屬軟體的限制。 Tesla 車內配備的資訊娛樂系統，採用由晶片設計大廠 AMD 生產製造的 AMD Zen 1 CPU 作為主要處理器；研究人員利用逆向工程技術，追蹤該系統的啟動流程，並且找到該晶片系統的「越獄」（jailbreak）方法。 研究團隊表示，在越獄後，研究人員即可自由啟用通常必須付費才能使用的 Tesla 車內進階功能，例如電熱椅或更凌厲的加速動力。 此外，由於研究人員能夠以這種破解法取得該資訊娛樂系統的 root 權限，因此也能夠竊得車主的多種機敏個人資料，包括車主個人資訊、通訊錄內容、行事曆項目、電話通聯紀錄、Spotify 與 Gmail 連線階段的 cookie、Wi-Fi 密碼、曾造訪過的地點等多項資訊。 研究人員也說，這個破解方式也能夠讓車輛在尚未支援的地區行駛，並且讓車主可以自行進行車輛維修、系統修改等。 研究團隊在找到破解的概念驗證方法後，隨即通報 Tesla 原廠；Tesla 原廠在稍後發表聲明，指出該團隊用以破解以啟動電熱椅的方法，僅適用於舊版 Tesla 韌體，新版韌體已加強安全簽署流程；然而研究團隊指出該攻擊方法照樣可適用於目前推出的最新版韌體。 此外，有部分媒體在相關報導中指出，可利用該破解法啟用「完全自動駕駛」（Full Self-Driving, FSD）功能，但該團隊指出報導是錯誤的，並無法使用該破解方式啟用 FSD。 建議智慧車輛車主對此類破解消息應謹慎處理，避免自行套用，以免影響行車安全。

Microsoft 日前推出 2023 年 8 月例行資安更新修補包「Patch Tuesday」，共修復 87 個資安漏洞；其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 87 個，較上個月（2023 年 7 月）的 132 個資安漏洞少了很多；而在這 87 個漏洞中，有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 23 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：18 個； 資安防護功能略過漏洞：3 個； 遠端執行任意程式碼漏洞：23 個； 資訊洩露漏洞：10 個； 服務阻斷（Denial of Service）漏洞：8 個； 假冒詐騙漏洞：12 個； Edge -Chromium 漏洞：12 個。 本月的 Patch Tuesday 有 2 個已遭大規模濫用的 0-day 漏洞： 第一個是 CVE 編號為 CVE-2023-36884 的 Microsoft Office Defense 遠端執行任意程式碼漏洞；該漏洞存可讓駭侵者跳過先前針對該漏洞發表過的資安更新，再次利用此漏洞來遠端執行任意程式碼。Microsoft 也指出該漏洞已遭一個名為 RomCom 的駭侵團體大規模用於攻擊。 第二個值得注意的漏洞是 CVE-2023-38180，是存於 Microsoft .Net 與 Visual Studio 的服務阻斷漏洞（Denial of Service, DoS）；不過 Microsoft 並未公開說明這個漏洞是否已遭用於攻擊，也沒有分享該漏洞的細節。 CVE 編號：CVE-2023-36684、CVE-2023-38180 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶盡速依照指示，套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

資安廠商 Fireblocks 旗下的加密演算法研究團隊，在多個知名加密貨幣錢包使用的多種加密協定如 GG-18、GG-29、Lindell 17 中，發現一批稱為「BitForge」的多個  0-day 資安漏洞；駭侵者可利用這批漏洞，無需與用戶與錢包發行商互動，即可竊走錢包中的加密貨幣資產。 受到這批 BitForge 0-day 漏洞影響的加密貨幣錢包供應商，包括多家知名交易所如 Coinbase、ZenGo、Binance 等。 這批 BitForge 0-day 漏洞群中，第一個漏洞 CVE-2023-33241 存於 GG-18 和 GG-20 的「門檻式簽章協定」（Threshold signature schemes）；研究人員發現駭侵者可利用特製的訊息，在 16 位元的 Chunk 中取出金鑰分片；重覆操作 16 次後即可取得完整私鑰。 另一個存於 Lindell 17 2PC 加密協定中的 0-day 漏洞 CVE-2023-33242 也是類似的錯誤，攻擊者只要重覆 200 次操作就可以取得完整的私鑰。 Fireblocks 在報告中指出，該公司的團隊於 2023 年 5 月時發現這批 0-day 漏洞，並在第一時間通報多家加密貨幣交易所，並於近日在 BlackHat 駭侵防護研討會上公開這項研究報告。值得注意的是，在報告公開的現在，Coinbase 與 ZenGo 已修復其加密貨幣錢包中的相關漏洞，但 Binance 和其他多家加密貨幣錢包供應商，仍未能及時修復這批問題。 建議加密貨幣交易者如有利用受影響的錢包，可透過 Fireblocks 提供的網頁，檢視受影響錢包是否已經提供更新版本，並立即加以更新。