不要错过 - 頁面 12

資安廠商 Flare 分析近 2000 萬筆求售資訊竊盜惡意軟體的記錄檔後，發現有近 38 萬筆企業用於各種雲端服務的登入資訊遭到竊取。 Flare 分析的惡意軟體記錄檔，係取自駭侵者在暗網上的駭侵相關論壇與 Telegram 駭侵討論頻道中出售的大量記錄資料，因而發現企業登入資訊大量遭竊的情形。 Flare 分析的資訊竊取惡意軟體包括 Redline、Raccoon、Titan、Aurora、Vidar 等，這些惡意軟體以出租的方式提供給駭侵分子使用，並透過各種方法引誘用戶下載，不但對個人使用者造成資安威脅，也對企業造成很大的資安風險。駭侵者可以利用這些竊得的登入資訊，攻擊企業使用的 VPN、RDP、CRM 系統，進行更大的破壞。 Flare 指出，這些惡意軟體主要攻擊企業使用者，並且竊得許多主流企業用雲端系統的登入資訊；Flare 取得的記錄檔數量如下： 179,000 筆 AWS Console 登入資訊； 2,300 筆 Google Cloud 登入資訊； 64,500 筆 DocuSign 登入資訊； 15,500 筆 QuickBooks 登入資訊； 23,000 筆 Salesforce登入資訊； 6,600 筆 CRM 登入資訊。 Flare 也表示，這些資訊中有 74% 是取自 Telegram 頻道，其餘約 25% 則來自駭侵論壇上的賣場，如「Russian Market」。 另外 Flare 也發現有 20 萬筆資訊竊取記錄內含 OpenAI 的登入資訊，這表示企業使用 OpenAI 時輸入或取得的相關資訊，也面臨遭駭侵者利用的風險。 建議企業應全面加強各種資安防護能力，並強化員工資安意識，以免成為資安破口，導致惡意軟體有機可趁。

資安廠商 Lookout 指出，進階持續性威脅團體 APT41 近期利用兩個間諜軟體 WyrmSpy 和 DragonEgg，鎖定 Android 手機使用者發動攻擊。 APT41 過去長期針對美國、亞洲和歐洲各國的各種目標發動攻擊，曾受 APT41 駭侵攻擊的單位包括軟體開發、硬體製造、政策智庫、電信通訊、大專院校與外國政府等等。 Lookout 是在 2017 年時首先發現 WyrmSpy，並在 2021 年初發現 DragonEgg；近期則是在 2023 年 4 月再次發現其攻擊活動。這兩個 Android 惡意軟體都具有強大的資料竊取能力。 據 Lookout 指出，WyrmSpy 的感染方式主要是以偽裝為 Android 系統維護軟體為主，而 DragonEgg 則會偽裝為第三方鍵盤軟體或即時通訊軟體，且透過各種手段來避免遭到防毒防駭軟體的偵測。 由於 WrymSpy 和 DragonEgg 使用相同的 Android 數位簽章，因此可以推測這兩個惡意軟體係為同一來源。Google 也指出，目前尚未在 Google Play Store 中發現任何 App 含有這兩個惡意軟體。 據 Lookout 發表的報告指出，APT41 除了會入侵政府單位竊取情報之外，也會針對私人企業發動駭侵攻擊，以取得財務上的不法收入。而過去 APT41 主要是利用各種 Web App 和曝露於外網裝置中的漏洞來發動攻擊，但近年來也開始利用如 WyrmSpy 和 DragonEgg 之類的惡意軟體來攻擊 Android 裝置。 建議 Android 使用者應避免安裝來路不明的 apk 檔案，apk 檔案為 Adnroid 惡意軟體的來源之一。

烏克蘭警方的網路警察部門，日前宣布破獲一個大型機器人機房，除了搜索超過 12 處地點、250 台以上 GSM 閘道器、逮捕 100 人以上之外，還查獲 15 萬張 SIM 卡。 烏克蘭警方說，這個機器人機房是用以在烏克蘭發送俄羅斯入侵烏克蘭正當性的政治軍事宣傳之用，同時也涉及多起詐騙案件。 烏克蘭警方一共在 Vinnytsia、Zaporizhzhia 和 Lvivand 同步執行 21 個搜索行動，緝獲大量電腦設備、手機、250 個以上 GSM 閘道器，以及多家電信業者近 15 萬張 SIM 卡。 烏克蘭警方說，駭侵者使用特殊設備和軟體，利用這些 SIM 卡門號，在多個社群網站大量註冊數千個帳號，並以這些帳號來發送違反烏克蘭法律的內容，包括政治軍事宣傳、假訊息、詐騙攻擊，並且傳送烏克蘭公民的個人資料，威脅烏克蘭人民的人身與財產安全。 這並不是烏克蘭首次破獲用來傳遞假消息和政治軍事宣傳的機房，2022 年 8 月和 9 月共破獲兩處機房，其中一處有多達 100 萬台假帳號機器人。這些被破獲的機房位於 Kharkiv、Cherkasy、Ternopil 和 Zakarpattia。 在過去多次假消息攻擊中，烏克蘭總統澤倫斯基也成為攻擊目標，有多支利用深偽技術的假訊息影片，透過這些機器人網路在 Facebook 和其他熱門社群網路上散布，甚至連烏克蘭境內的廣播電台也曾遭挾持並用以發送假訊息。 建議政府單位加強一般民眾對假訊息的媒體識讀能力，並加強偵測各種境內境外的假訊息活動；平台應強化對於帳號註冊的管控與協同貼文限制。

非營利資安組織 Shadowserver Foundation 旗下的資安研究人員，近日發現有至少 15,000 台的 Citrix NetScaler ADC 與 Gateway 伺服器，內含可能導致駭侵者遠端執行任意程式碼的嚴重漏洞 CVE-2023-3519，且曝露在對外網路上，風險極高。 根據 Shadowserver Foundation 提供的報告指出，含有 CVE-2023-3519 漏洞且曝露於外網的伺服器，以分布在美國境內的裝置數量最多，達到 5,700 台，其次為德國（1,500 台）、英國（1,000 台）、澳大利亞（582 台）、瑞士（509 台）、加拿大（509 台）、法國（451 台）、中國（402 台）、荷蘭（358 台）、瑞典（308 台）、義大利（290 台）、日本（253 台）等。 CVE-2023-3519 最早是在 2023 年 7 月初時因某駭侵者在某駭侵論壇上張貼一則關於 Citrix  0-day 漏洞廣告而曝光；該漏洞可讓駭侵者在沒有獲得授權的情形下，遠端執行任意程式碼，且其 CVSS 危險程度評分高達 9.8 分（滿分為 10 分）。 受此漏洞影響的 Citrix 裝置與版本相當多，Citrix 也在 7 月 18 日針對 CVE-2023-3519 推出了更新版韌體，以修復該漏洞。甚至美國資安主管機關 CISA 也在上周明令政府單位須限期更新此漏洞。 不過按照 Shadowserver Foundation 的報告，全球顯然還有許多內含此漏洞尚未更新的裝置，且都曝露於對外網路上。 CVE 編號：CVE-2023-3519 影響產品：NetScaler ADC 與 NetScaler Gateway 13.1-49.13 與先前版本；其他產品請參閱 Citrix 發布之資安通報 解決方案：建議立即依原廠指示升級到指定版本韌體，相關裝置也應受防火牆之保護，避免曝露於外部網路連線。

美國計畫推出一個名為「網路安全信任標誌」（Cyber Trust Mark）的資安防護認證產品標章，供通過認證的網站標示，以協助美國消費者在選購連網裝置時，可以依該標章選購安全性較高、對抗駭侵攻擊韌性較強的產品。 Cyber Trust Mark 標章的提案，是由美國聯邦通訊委員會（Federal Communication Commission, FCC）提出，並接受各方建議。這個標章預計在明年正式上路，供各種智慧連網製造商申請使用。 在提案中規定，要獲得 Cyber Trust Mark 標章的產品，必須符合美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出的資安規範標準，包括預設使用強式密碼、資料保護、軟體或韌體更新、事故偵測能力等標準。 在由白宮發表的一份新聞稿中指出，FCC 推出 Cyber Trust Mark 的目的，除了要保護美國消費大眾在使用各種連網裝置時的安全性外，更要提高這類裝置的一般資安保護水準。 這個標章預計將適用於各類連網裝置，包括智慧家電如冰箱、微波爐、電視、空調系統、健身追蹤器材等等。目前已有多家智慧連網家電暨裝置大廠宣布加入這個標章系統，包括 Amazon、Best Buy、Google、LG Electronics USA、Logitech、Samsung Electronics 等。 待 Cyber Trust Mark 上路後，符合標準的產品將可貼上專屬標章，並列表於一份可公開查閱的產品清單中，以供消費者選購產品時參考之用。 建議政府單位、廠商與相關資安單位，可參考該標章的標準與做法，推動在國內市場販售的連網裝置也有同類標示，可供消費者參考，並強化社會大眾的資安意識。

資安廠商 Mandiant 日前發表研究報告，指出該公司旗下的資安研究人員，近期發現新一波透過 USB 隨身碟發動攻擊的案例，且攻擊量在 2023 年上半年再創歷年新高。 Mandiant 發現的 USB 隨身碟攻擊活動共有兩大系統，其一稱為「Sogu」，疑似與駭侵團體「TEMP.HEX」有關；另一個稱為「Snowydrive」，疑似由另一個駭侵團體「UNC4698」有關，針對亞洲的多家石油與瓦斯公司發動攻擊。 在 Sogu 的攻擊活動方面，Mandiant 指出該駭侵團體鎖定的攻擊目標十分廣泛，遍及美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼和菲律賓。 以行業別來看，遭到 Sogu 攻擊的行業以製藥業和 IT 業最多，均達 11.8%，其次為能源產業（9.4%）、通訊業（9.4%）、醫療業（8.2%）、物流業（7.1%）、非營利組織（5.9%）、零售業（4.7%）、媒體業（4.7%）等。 據 Mandiant 分析，Sogu 使用 DLL order 綁架技術，將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中，然後在登錄檔中新增 Run 機碼，以常駐在電腦中並自動執行，並掃瞄電腦中的 MS Office、PDF 檔案與文字檔，試圖竊取其中的有價值資訊，並上傳到控制伺服器中。 而 Sonwydrive 則會在受害電腦中安裝一個後門，讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry，竊取檔案內容等。 雖然 USB 隨身碟攻擊的手法已十分老舊，但由於人員資安警覺低，仍有相當的成功率；建議各單位應針對電腦 USB 埠的存取權限提高防範能力，並且加強資安教育訓練，並避免使用任何形式的外部實體儲存裝置。

一個名為 All-in-One Security（AIOS）的 WordPress 資安防護外掛程式，近日遭到用戶發現，其運作方式以明文方式來儲存用戶輸入的密碼，而未經加密儲存；這可能導致使用者的資安曝於風險之下。 All-in-One Security（AIOS）是由軟體開發廠商 Updraft 開發的 WordPress 網站專用資安防護外掛程式，可以提供 web application 的防火牆、內容防護、登入安全等額外的資安防護功能，以防殭屍網路機器人或暴力試誤法的攻擊。 約在三個多星期前，有位 All-in-One Security（AIOS）的使用者在 WordPress.org 的支援討論區中發文指出，他發現 All-in-One Security（AIOS）v5.19 不只會把使用者的登入記錄寫入到 aiowps_audit_log 這個用來記錄用戶登入、登出、登入失敗等事件的資料表中，更會以明文方式記錄用戶輸入的密碼。 該用戶在發文中也強調，這種做法已經明顯違反 NIST 800-63 3、ISO 27000、GDPR 等資安規範或法規。 All-in-One Security（AIOS）的開發廠商 Updraft 在看到相關貼文後，先是以該問題是一個已知的錯誤（a known bug）來回應，但並未立即承諾具體的修正時間和做法；雖然 Updraft 隨即提供開發中版本供使用者下載，但使用者回報指出新的開發版並未解決問題，也沒有刪除記錄在資料表中的密碼。 不過 Updraft 在 7 月 11 日時提供了新版的 All-in-One Security（AIOS）v5.2.0，自此版本起不再以明文儲存用戶輸入的密碼，同時會自資料表中刪除先前儲存的密碼。 建議 All-in-One Security（AIOS）的用戶應立即將該外掛程式升級至 V5.2.0 版。

資安廠商 Wiz 旗下的資安專家，近日發現一個全新的 Linux 惡意軟體 PyLoose；該惡意軟體衍生自常見的開源加密貨幣挖掘惡意軟體 XMRig，其特色是會藏在受害電腦的記憶體中挖掘加密貨幣，難以透過資安防護工具加以偵測。 據 Wiz 的資安專家指出，這個名為 PyLoose 的惡意軟體是個相對簡單的 Python 指令檔，附有一個預先編譯過的 base64 編碼 XMRig 挖礦程式；XMRig 經常出現在各種以挖掘 Monero 加密貨幣為主的惡意軟體中，會竊取以雲端主機為主的受害電腦 CPU 運算資源來為駭侵者挖掘加密貨幣，獲取不法利潤。 專家說，PyLoose 的特色是不需要在受害主機的磁碟系統中寫入任何檔案，所以各種以檔案數位簽章和惡意軟體特徵碼掃瞄來偵測惡意軟體檔案存在的資安防護工具，就難以偵測出 PyLoose 的存在。 根據 Wiz 的資安專家觀測指出，PyLoose 是資安史上首個以 Python 編寫的無檔案資安攻擊方式，該公司自 2023 年 6 月 23 日起觀測到 PyLoose 的大規模攻擊行動，至今已確認至少 200 個攻擊案例。 Wiz 在報告中指出，駭侵者會先利用一個類似 Pastebin 的網站「Paste.c-net.org」，以 HTTPS GET 要求來取得無檔案的 PyLoose 酬載，然後直接將 PyLoose 載入 Python 的 runtime 記憶體中執行。 Wiz 也在報告中指出，目前尚無法得知利用 PyLoose 來發動攻擊的駭侵者具體身分，且因這個駭侵者採用的手法相當新穎且十分成熟，目前很難研判駭侵者到底是誰。 建議雲端主機的管理者應避免讓主機與服務直接曝露於外網，且應確實做好登入權限防護，包括強式密碼與多重登入驗證；同時對系統指令的執行設定限制。

Microsoft 日前推出 2023 年 7 月例行資安更新修補包「Patch Tuesday」，共修復 132 個資安漏洞；其中含有 6 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 132 個，較上個月（2023 年 6 月）的 78 個資安漏洞多了很多；而在這 132 個漏洞中有多達 6 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 37 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：33 個； 資安防護功能略過漏洞：13 個； 遠端執行任意程式碼漏洞：37 個； 資訊洩露漏洞：19 個； 服務阻斷（Denial of Service）漏洞：22 個； 假冒詐騙漏洞：7 個； Edge -Chromium 漏洞：0 個。 本月的 Patch Tuesday 有 6 個已遭大規模濫用的 0-day 漏洞： 第一個是 CVE 編號為 CVE-2023-32046 的 Windows MSHTML Platform 權限提升漏洞；該漏洞存於 Windows MSHTML 系統之中，可讓駭侵者以 EMail 或惡意網站，透過特製的檔案將自身執行權限提升執行受影響軟體用戶相同的等級。 第二個值得注意的漏洞是 CVE-2023-32049，是存於 Microsoft SmartScreen中的資安防護功能略過漏洞。駭侵者可利用此漏洞，讓用戶自網路下載或開啟可能有資安風險的檔案時，系統不會顯示資安警訊提示。 CVE 編號：CVE-2023-32046 等 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶依照指示，以最快速度套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

全球網通產品大廠 Cisco 日前發表資安漏洞警訊，指出該公司部分網通產品內含一個高危險性漏洞 CVE-2023-20185，可能導致駭侵者在未經授權的情形下，讀取甚至竄改網站之間相互傳輸的加密資訊。 該 CVE-2023-20185 漏洞存於 Cisco Nexus 9000 資料中心系列的骨幹交換器，詳細受影響機種為 Cisco Nexus 9332C、9364C 與 9500，且交換器需處於 ACI 模式，設定為多網站拓樸架構，且已啟用 CloudSec 加密功能，並執行 firmware 14.0 之後的版本。 Cisco 指出，該漏洞是因為在實作 CloudSec 加密時的編碼出現問題，處於 on-path 位置的駭侵者將可利用此漏洞來攔截網站間的加密通訊，甚至予以解碼、竄改。 CVE-2023-20185 的 CVSS 危險程度分數高達 7.4 分（滿分為 10 分），危險程度評級為「高」；到目前為止，Cisco 尚未針對這個漏洞發表更新版本的韌體。 Cisco 指出，使用受此漏洞影響裝置的用戶，可以關閉 CloudSec 相關功能，以暫時解決此一漏洞；使用者可依 Cisco 公布的指引，在不同機型上檢查是否已開啟 CloudSec 功能並將其停用。 另外 Cisco 也指出，目前尚未發現有駭侵者利用 CVE-2023-20185 漏洞發動大規模駭侵攻擊的跡象。 CVE 編號：CVE-2023-20185 影響產品：Cisco Nexus 9332C、9364C 與 9500。 解決方案：依照 Cisco 提供的指引，在不同機型上檢查是否已開啟 CloudSec 功能並將其停用。