不要错过 - 頁面 16

資安廠商 McAfee 日前發表研究報告，指出該公司在 Google Play Store 中新發現 16 個 Android 廣告惡意軟體；這些惡意廣告軟體會在背景執行，以用戶看不見的隱形 frame 載入大量廣告，並進行假點擊以牟取暴利。 McAfee 指出，這 16 種廣告惡意軟體成功上架到 Google 官方的應用程式商店 Google Play Store，偽裝成各種工具軟體，例如匯率轉換、手電筒、QR Code 掃瞄器、系統記憶體清理工具、韓文字典、拍照軟體、記事工具等等。 其中一個名為 DxClean 的廣告惡意軟體，在遭到下架前獲得 500 萬次下載，在 Google Play Store 中的用戶評分甚至還高達 4.1 分（滿分為 5 分）。 該軟體號稱可以清理 Android 系統中閒置應用軟體佔用的記憶體並將其釋放出來，以改善手機運作效能與反應速率，甚至還能阻擋不必要的廣告；但實際上該軟體的行為恰恰相反，是在背景中大量載入廣告並進行假點擊。 據 McAfee 的分析指出，這些廣告惡意軟體會在安裝後自某個特定伺服器下載 Firebase Cloud Messaging listener，並開始接收自 FCM 傳來的指令；惡意軟體一旦接收到指令，即會開始在背景中載入廣告，並模擬用戶的點按行為。 由於這些廣告載入和點擊動作均不會有任何顯示，因此用戶難察覺；但用戶將會發現手機反應變慢、耗電加快、手機會發熱，數據連線的額度也會遭到耗用，甚至因此造成手機故障。 建議用戶即使在官方的 Googel Play Store 中下載軟體，也應提高警覺，仔細閱讀用戶意見回饋；並應在手機中安裝大廠出品的防毒防駭軟體，以防不小心安裝到惡意軟體。

資安廠商 Proofpoint 近日發布「2022 年董事會觀點」（2022 Board Perspective）調查報告，指出全球大型企業的董事中，有 65% 認為其企業將在 1 年內遭到嚴重資安攻擊，且有 47% 董事承認其公司並未做好充分準備。 該調查於 2022 年 8 月進行，採訪全球員工超過 5,000 人的大型企業董事共 600 名；這些受訪企業分布於十多個不同國家，跨多種不同產業，也包括公部門與私部門在內。 調查報告也指出，不同國家企業董事對自身企業的駭侵攻擊防範準備程度信心也各自不同；日本企業董事認為公司未準備應對駭侵攻擊的比例最高，高達 72%，其次為新加坡（62%）、英國（58%），而美國公司董事對企業已做好駭侵攻擊應對的比例最高，高達 88%，西班牙與巴西企業董事中也有約 86% 認為有做好準備。 此外，全球企業董事有高達 75% 認為資安防護與資料治理，是接下來公司的首要任務。 不過，報告也指出企業董事對於企業資安防範量能的認知，可能和實際情形有所落差；報告說有高達 76% 的企業董事認為公司員工已完全了解其在資安防護中的角色，且每月至少進行一次資安教育訓練，但從實際的攻擊案例來看，企業員工對於資安防護的認知與行為仍有所不足，甚至連資安教育訓練都未曾真正落實。 調查也指出，90% 的公私立單位設有資安長，73% 董事表示其資安長會對董事會進行定期資安報告；不過只有 50% 董事會經常與資安長保持互動，更有 33% 董事表示只有在進行報告時才會見到資安長。 建議各公司行號的高階主管與董事階層，應徹底真正了解公司的資安防護狀態，並投資於資安防護所需的軟硬體與教育訓練之上，才能防患未然。

Github 旗下的資安專家，日前發現廣為使用的開源程式庫 Apache Commons Text，內含一個可讓駭侵者用來發動攻擊，進而遠端執行任意程式碼的漏洞；採用此開源程式庫的應用軟體應立即升級至無此漏洞的新版本。 Apache Commons Text 是個相當受到開發者歡迎的開源 Java 程式庫，內含「文字改寫系統」（interpolation system）；開發者可以利用這個系統對輸入的文字進行多種操作，包括修改、解碼、生成、抽取等等。 該漏洞又被稱為「Text4Shell」，其 CVE 編號為 CVE-2022-42889，是存於文字改寫系統中的不安全程式碼評估處理；在預設組態情況下，駭侵者可以輸入特製的惡意內容，來觸發此漏洞，進而遠端執行任意程式碼。 CVE-2022-42889 的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分）；危險程度評級達到最高等級的「嚴重」（Critical）等級。 資安專家在 Apache 的郵件群組內指出，自 Apache Commons Text 1.5 版起到 1.9 版之間，在預設的 Lookup instance 組態下，存有這個可導致遠端執行任意程式碼，或與遠端伺服器連線的漏洞；用戶應盡早將 Apache Commons Text 升級至 1.10.0 版本，該版本已預設停用有問題的文字改寫系統。 該漏洞是在 2022 年 3 月 9 日由 Github 的資安專家發現，並提報給此開源程式庫的開發單位 Apache Foundation；Apache Foundation 於 10 月 12 日推出修正此漏洞的 Apache Commons Text 1.10.0 版。 建議軟體開發者如有採用上述受影響版本的 Apache Commons Text，應立即升級至已修復此漏洞的 1.10.0 與後續版本。 CVE編號：CVE-2022-42889 影響產品(版本)：Apache Commons Text 1.5 到 1.9 版。 解決方案：升級至 Apache Commons Text 1.10.0 版與後續版本。

澳洲聯邦警察局（Australian Federal Police, AFP）負責偵辦中美洲毒品販運的部分秘密探員身分，日前因為哥倫比亞政府機密文件遭竊，因而遭到曝光。 哥倫比亞政府相關機密文件，是在日前遭到中美洲跨國激進運動團體 Guacamaya 聯合駭侵者針對中美洲各國政府發動的駭侵攻擊行動中被竊；當時哥國政府有多達 5TB 的機密資訊遭到竊取。該團體宣稱其目的是為了對抗中美洲各國政權的貪腐與鎮壓，因而發動駭侵行動。 與澳洲警方相關的被竊資料內，包括往來 email 內容、各種文件，以及澳洲警方針對中美洲販毒集團在澳洲境內販售毒品的相關追查偵辦過程等重要機敏資訊。 目前已知遭到曝光的資料，內含 35 個 AFP 的打擊罪犯行動，其中一些專案現在仍在執行中；資料還包括秘密探員針對目標對象的監視報告與通聯監聽錄音檔案，以及哥倫比亞警官的薪資等。 AFP 對外證實了資料遭竊一事，同時指出「AFP 十分關切這次資料外洩事件對各專案執行造成的影響；AFP 也正在與受影響區域月的夥伴共同合作，以對應任何對相關人身安全與調查工作造成的潛在威脅。」 除了澳洲之外，還有多國警方也和哥倫比亞政府合作，打擊中美洲的跨國毒品販運集團；因此在這次駭侵攻擊行動中，可能也會有其他國家執法人員和執法行動的相關資訊遭到曝光。 建議各政府單位應加強資安防護能力與軟硬體設定，並且落實人員的資安訓練，避免各種機敏資訊遭外洩。

資安廠商 WithSecure 旗下的資安專家，近日發現一波名為「Ducktail」的釣魚攻擊活動，利用全新出現、以 PHP 撰寫的 Windows 資料竊取惡意軟體，用來竊取受害者的 Facebook 帳號、瀏覽器資料、加密貨幣錢包等機密資訊。 WithSecure 指出，該公司於 2022 年 7 月起觀察到 Ducktail 的攻擊活動；該攻擊主要是在 LinkedIn 求職求才社群平台上，透過社交工程將含有 .NET Core 惡意程式碼的行銷計畫 PDF 檔傳遞給受害者。 一旦受害者開啟該 PDF 並執行惡意程式碼後，存於電腦的瀏覽器資訊就會被傳送到一個 Telegram 私密頻道，駭侵者利用這個私密頻道作為其控制伺服器；駭侵者主要鎖定其中的 Facebook Business 帳號資料，取得資料後即用於進行進一步的金融詐騙或惡意廣告。 另一家資安廠商 ZScaler 則指出，他們觀察到 Ducktail 近期也開始利用 PHP 程式碼的惡意軟體，偽裝為遊戲相關檔案、字幕檔、成人影片等，誘使用戶下載；用戶執行該惡意程式碼後，其電腦的 Microsoft Office 應用程式就會遭到攻擊。用戶會看到假的「檢查應用程式相容性」彈跳視窗，實則正在安裝駭侵者推送的各種惡意軟體。 該惡意軟體執行後，會每日一次在背景中竊取用戶的各種 Facebook 帳號詳細資訊、瀏覽器 Cookie 及其他資料、加密貨幣錢包與帳號資訊，以及各種系統資訊。 鑑於各種釣魚攻擊日益頻繁，建議用戶如在社群平台接獲他人傳送的檔案，務必確認該名傳送者的真實身分，切勿開啟身分不明人士傳送的任何檔案或連結。

資安廠商 Kaspersky 日前發表研究報告，指出該公司的研究人員，近日發現一個名為 YoWhatsApp 的 Android 非官方 WhatsApp 通訊軟體，內藏惡意程式碼，能夠存取用戶的 WhatsApp 金鑰，藉以竊取用戶的帳號控制權限。 Kaspersky 旗下的資安研究人員，從去年開始追查隱藏在修改版 WhatsApp 的 Triada 特洛依木馬；最近則發現了這個 YoWhatsApp。 YoWhatsApp 是一個第三方開發的通訊軟體，相容於 WhatsApp，但比原版的 WhatsApp 多了一些用戶會喜歡的功能，例如自訂聊天界面、強化的通話阻擋功能等等；YoWhatsApp 也透過其他熱門 Android 應用程式內的廣告來進行廣告宣傳，因此相當受到歡迎。   Kaspersky 的資安研究人員在報告中指出，YoWhatsApp 會擅自將用戶的 WhatsApp 存取金鑰傳送到開發者設立的遠端伺服器；雖然目前還沒有發現有駭侵者利用這些竊取而來的金鑰發動任何攻擊，但理論上擁有用戶的 WhatsApp 存取金鑰，即可控制用戶的 WhatsApp 帳號，並且取得用戶的通訊內容，或是假冒為用戶本人和其他人進行通訊。 Kaspersky 還發現，有一個和 YoWhatApp 完全相同的複製品，以「WhatsApp Plus」之名，利用多種廣告平台自我推銷，試圖獲得更多用戶安裝使用。 此外，WhatsApp 的開發公司 Meta，本月也控告多家行動軟體公司；這些公司推出多種號稱相容於 WhatsApp，但也會竊取用戶的 WhatsApp 控制權。 建議用戶如有使用各種行動應用程式的需求，務必從正常管道下載官方版本應用程式，避免在其他地方下載非官方的應用程式或破解版，以免遭到駭侵者竊取帳號權限或各種機敏資訊。  

全球交易量最大的加密貨幣交易所 Binance（幣安），日前承認遭到重大駭侵攻擊；駭侵者自其跨鏈橋接（cross-chain bridge）服務 Binance Smart Chain Token Hub 中竊走高達 5.66 億美元等值加密貨幣，目前 Binance 已暫停 Binance Smart Chain 的運作，以調查遭駭事件。 Binance 創辦人趙長鵬在事件發生後，於 Twitter 推文表示，Binance 的 cross-chain bridge 運作中樞 Binance Smart Chain Token Hub 遭到攻擊，駭侵者憑空創造出原本不存在的 BNB 加密貨幣。 Binance 宣布目前已暫停整個 Binance Smart Chain 的運作，用戶無法進行資金存提；Bianace 也要求交易驗證者暫停進行驗證，以進行駭侵事件的調查與處理；Binance 也表示用戶的資金安全無虞。 區塊鏈觀察網站發現疑似駭侵者持有的錢包位址，在 10 月 6 日有兩筆各 100 萬枚 BNB 代幣轉入該錢包位址，接著駭侵者便開始把竊得的 BNB 代幣匯入多個流動性資金池，將 BNB 代幣交換成包括以太幣、Polygon、Fantom、Avalanche、Arbitrum、Optimism 等其他多種加密貨幣，洗錢的意圖十分明顯。 Binance 也表示，目前絕大部分被竊資金仍然留在 Binance Smart Chain 之上，由於 BSC 已暫停運作，因此駭侵者也無法動用竊得的資金；不過 Binance 估計約有 7 千萬到 8 千萬美元的資金已經從該區塊鏈上轉出。 Binance 也說，正在和其他區塊鏈的營運者合作查緝被竊資金，目前有約 7 百萬美元不在 Binance Smart Chain 上的資金遭到凍結。 由於各種連線的熱錢包或智慧合約，經常遭到駭侵攻擊，造成用戶資金損失，用戶如因投資或其他原因，需將資金放在連網存放處，應避免將大筆資金存放在單一熱錢包或智慧合約，應盡可能分散在不同的熱錢包、區塊鏈、流動性池等，以分散風險，降低潛在損失。

義大利著名超級跑車製造大廠法拉利（Ferrari）傳出遭駭事件，一個名為 RansomEXX 的勒贖駭侵團體，日前在暗網上宣稱該團體成功駭入法拉利的內部系統，公開了高達 7 GB 以上的內部文件。 據報導，在網路上被公開的法拉利內部文件，包括各種資料表格、維修零組件相關資料等等。目前無法得知勒贖團體是否已要求法拉利交付贖金以取回被竊檔案。 目前法拉利已對外公開證實這次駭侵攻擊事件，但僅表示有部分內部文件遭到公開放網路上；該公司也對外指出，目前並無證據顯示該公司的內部系統遭到入侵或勒贖攻擊，其生產活動與事業經營也一切正常，並未受阻。該公司目前正在針對這起駭侵事件進行調查，以了解其發生原因。 本次攻擊事件是法拉利在今年第二度遭到駭侵攻擊，而且就發生在該公司宣布與資安防護廠商 Bitdefender 合作的一星期之後。 法拉利在今年 5 月時亦曾遭到駭侵攻擊。當時法拉利宣布與瑞士區塊鏈廠商 Belas Network 合作，針對旗下 F1 車隊支持者發行 NFT（Non-Fungible Token，非同質性貨幣），供支持者購買收藏，或當作數位周邊商品；隨即該公司所屬的一個子網域就遭到駭侵者挾持，用來架設 NFT 詐騙網站長達數月之久。 鑑於針對全球知名品牌廠商進行的勒贖攻擊有愈演愈烈的趨勢，甚至同一廠商很可能被相同或不同的駭侵團體連續發動勒贖攻擊，造成機密與商譽的損失，因此這類廠商必須特別提高警覺，加強有形與無形的資安防護能力。

macOS 系統管理軟體廠商 Jamf 旗下的資安團隊研究人員，日前發現 macOS 內的 Archive 公用程式內含一個漏洞 CVE-2022-32910，可導致特製的未簽署、未授權應用程式可於 macOS 系統執行，且不會跳出應有的警示訊息通知用戶。Apple 已在日前推出的作業系統更新中修復此漏洞。 Jamf 在發表的漏洞研究報告中指出，在今（2022）年年初，該公司發現 Safari 瀏覽器的漏洞 CVE-2022-22616，可利用特製的 Zip 壓縮檔，跳過 macOS 系統的 GateKeeper 檢查，這樣即可在用戶不知情的情形下，執行 Zip 檔中的惡意軟體。 Jamf 在通報該漏洞給 Apple 並獲得修復後，開始研究 macOS 內是否有類似可透過壓縮檔來跳過系統資安查核過程的類似漏洞，果然發現系統內建的壓縮／解壓縮工具程式 Archive 也具有類似漏洞，駭侵者可以使用特製的壓縮檔，內含一個具有 .app 副檔名的多個檔案，具要有多個檔案路徑設定為目標目錄的根目錄，這樣 Archive 公用程式就會略過 .app 副檔名檔案的 GateKeeper 檢查程序。 Jamf 在發現此漏洞後，立即於今年 5 月 31 日向 Apple 通報；而 Apple 於 7 月 20 日推出的 macOS Monterey 12.5 與其他舊版 macOS 更新中，修復了這個問題。 建議使用者應密切注意所使用電腦作業系統的更新消息，當有資安更新推出時，應立即套用更新，以免遭到駭侵者利用這類已公開的漏洞來發動攻擊，造成系統尚未更新用戶的潛在資安風險。 CVE編號：CVE-2022-32910 影響產品(版本)：macOS Monterey 12.5 之前版本。 解決方案：升級至 macOS Monterey 12.5 或以上版本。

Linux 近期發行的 kernel 新版本 5.19.12，遭用戶發現含有一個顯示方面的錯誤，會造成使用 Intel 圖形處理器晶片（Graphics Processing Unit, GPU) 的筆記型電腦液晶顯示器不斷閃爍或出現閃動白色畫面；不僅造成用戶困擾，影響正常作業，也可能造成顯示面板永久損壞。 Intel 旗下的 Linux kernel 工程人員 Ville Syrjäl 在分析這個問題後，指出是 Linux kernel 內部處理顯示面板電源序列組件的錯誤，導致面板發生不正常閃爍問題；他呼籲有此問題的 Intel 顯示晶片筆記型電腦用戶，盡快將使用的 Linux kernel 版本退回到前一版本，以避免筆記型電腦的液晶顯示器受到損壞。 另一方面，Linux kernel stable branch 的維護者，也在日前緊急釋出 kernel 版本 5.9.13，解決了各發行版本使用 5.9.12 核心可能造成的問題；維護者也指出，5.9.12 核心的使用者如果未曾發生任何顯示問題，無需升級到 5.9.13。 而使用者相當多，基於 Arch 的 Majaro 發行版也表示，他們將會把 kernel 從版本 5.19.7 直接升級到 5.19.13，以避免其 Intel GPU 用戶發生顯示問題。 不過由於 Linux 的發行版本眾多，預期未來可能仍有不少用戶會在不知情的情形下，升級到有此顯示問題的 kernel 版本。 建議 Intel GPU 筆記型電腦用戶在升級 Linux 發行版本前，務必事先確認該發行版本的 kernel 版本不是 5.9.12；已有此問題的 Intel GPU 筆電用戶，也要避免讓顯示器長久處於閃爍狀態，以免不正常顯示過久，造成面板永久損壞。