不要错过 - 頁面 17

資安廠商 Sysdig 近期發表研究報告指出，分析近期各種挖礦惡意攻擊後得到結論：駭侵者竊取受害者的雲端運算資源來挖礦時，每竊得 1 美元的等值加密貨幣，會消耗高達 53 美元的運算資源。 報告指出，許多以挖礦為目的的駭侵攻擊，例如惡名昭彰的 TeamTNT 等，會設法駭入各公私單位使用的雲端運算服務，例如 Docker Hubs、Amazon Web Services、Redis、Kuberates 布署等等，並且使用植入了 XMRig 惡意挖礦軟體的作業系統映像檔，來執行需要消耗大量 CPU 運算資源的 Monero（XMR）加密貨幣挖礦程式。 XMR 是一種如同比特幣一樣，採用工作量證明（Proof of Work）共識機制，需要大量算力來進行挖礦才能獲得的加密貨幣，由於本身具有十分強大的隱蔽性，他人難以追蹤 XMR 的獲取、轉帳過程，也難以定位持有人，因此很受駭侵者的青睞。 Sysdig 分析近期 TeamTNT 使用超過 10,000 個 endpoint 進行的駭侵挖礦攻擊活動「Chimaera」後，追蹤到 10 個用於攻擊活動的錢包 ID，取得這些錢包 ID 挖礦獲得的 XMR 枚數與等值金額，並據以估算受害者遭到消耗的系統資源價值；結論是這 10 個錢包一共挖到 39 枚 XMR 代幣，等於 8,120 美元，但消耗掉的系統計算資源卻高達 429,000 美元；相當於每挖到一枚 XMR 代幣，受害者被竊取用來挖礦的系統資源費用就高達 11,000 美元。 Sysdig 表示，上面的計算尚未計入其他額外損失，包括系統硬體因為長時間進行大量運算造成的耗損，以及系統服務因受挖礦活動影響，造成效能下降影響服務品質帶來的損失等等。 建議租用雲端服務的系統管理員，應經常檢查租用物件是否出現不正常的運算負荷，並加強雲端主機或容器的資安防護能力，以免因為遭到盜用而造成鉅額帳單費用。

德國聯邦刑事局（Bundeskriminalamt, BKA）日前發布公告，指出該局成功破獲一個駭侵犯罪集團，逮捕三名嫌犯；這三名駭侵者遭控透過大規模釣魚攻擊，成功竊得 400 萬歐元不法所得。 德國警方表示，其中一名嫌犯是 24 歲德國公民，已遭逮捕並且起訴；另一名 40 歲嫌犯被控犯下 124 項電腦詐欺罪名。第三個嫌犯的犯行目前仍在調查階段。 德國警方指出，三名駭侵者的釣魚攻擊行動自 2020 年 10 月 3 日開始，於 2021 年 5 月 29 日結束；其釣魚攻擊的手法是向大量受害者寄發假冒德國各銀行的釣魚信件，偽稱由於銀行變更其安全系統設定，可能影響到受害者銀行帳戶的使用狀態，如果用戶需要繼續使用該銀行的服務，就必須再次登入自己的網路銀行。 駭侵者製作的詐騙信十分逼真，多數人難以分辨真偽；被導到釣魚網頁的受害者，會被要求輸入自己的網路銀行登入資訊，以及單次有效的交易驗證碼；駭侵者取得這些資訊，隨即藉以登入受害者的帳戶，並將其中的資金盜領一空。 德國警方也表示，三名駭侵者係自暗網上購買各種駭侵工具服務，利用這些工具來大量發送釣魚攻擊郵件；這波攻擊甚至造成相關銀行的網頁、伺服器與內網遭到大量自動化查詢需求連線，造成正常服務受阻。 鑑於這類假冒金融機構釣魚攻擊日益猖獗，一般用戶如果收到類似要求進行再次登入或索取驗證碼的郵件，絕對不可輕易點擊其中連結；可以用瀏覽器開啟搜尋引擎，進入銀行真正的官方網站登入，並檢視是否有任何郵件中宣稱的警告訊息出現。

Microsoft Exchange Server 日前被發現的 2 個 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，雖然很快就由官方發布暫時解決方案，但資安專家在數日內就發現這個解決方案並不足以防止駭侵者利用該兩漏洞發動攻擊。 越南資安廠商 GTSC 旗下的資安專家，在約三星期前發現這兩個 Microsoft Exchange Server 的 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，其中 CVE-2022-41040 這個漏洞可讓獲得登入權限的駭侵者遠端誘發 CVE-2022-41082 漏洞，並利用後者遠端執行任意程式碼。 這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.8 分，危險程度評級為「高」(High) 等級。據 Microsoft 日前發布的資安通報，該公司已知這兩個 0-day 漏洞已遭駭侵者發動範圍有限的駭侵攻擊行動。 在 Microsoft 公布的資安通報中，雖然也提供了暫時的漏洞解決方案，要求系統管理員在 IIS Manager 中新增規則，不讓不具有管理權限的用戶遠端存取 PowerShell，但資安專家指出這個暫時解決方案只能夠阻擋已知的攻擊 URL，對於來自未知或新來源的相關攻擊是不具備防護能力的。 資安專家也指出，這種防禦方式只適用於部署在組織內部的 Microsoft Exchange Server，但有許多單位採用的是內部伺服器加上雲端主機的混合式架構，據統計有超過 1,200 個單位將這類混合式架構曝露於於外部網路；這類單位就很容易成為駭侵者的攻擊目標。 建議系統管理員應針對內部部署與雲端的 Microsoft Exchange Server 加強管理，勿授與任何不必要的帳號過大權限，特別是如 PowerShell 這類強力系統工具的權限，也應隨時注意 Microsoft 推出的最新修補工具並立即修補漏洞。 CVE編號：CVE-2022-41040、CVE-2022-41082 影響產品(版本)：Microsoft Exchange Server 各版本。

資安廠商 Mend 旗下的資安專家，日前發現由許多加密貨幣交易所採用的部分 npm 軟體套件，近日遭駭侵者植入可用於資訊竊取的惡意程式碼。 這些遭植入惡意程式碼的 npm 套件，經查係由 dYdX 交易所的員工所上傳；dYdX 是一個架構在以太坊區塊鏈上的去中心化加密貨幣交易所（Decentralized Exchange, DEX），提供包括比特幣與以太幣等 35 種以上熱門加密貨幣的永續合約交易，每日交易量超過 10 億美元。 資安專家指出，目前確定含有惡意程式碼的 npm 軟體套件有 @dydxprotocol/solo 0.41.1、0.41.2 和 @dydxprotocol/perpetual 1.2.2、1.2.3 等。另外稍早時候證實亦遭植入惡意軟體的 @didxprotocol/node-server-base-dev，目前則已下架。 資安專家指出，在 Github 中至少有 44 個專案使用了 @dydxprotocol/solo 套件，而這些專案則分屬多個加密貨幣交易平台所有。因此可以想見有多家加密貨幣交易平台，可能使用了這些內含惡意軟體的程式碼套件來進行開發。 分析指出，植入的惡意程式碼，一旦安裝到受害電腦上，即會自受害者在 Amazon AWS instance 上竊取 IAM 登入資訊，以及用戶在 Github 上的 token、SSH key、環境變數與對外 IP 等資訊。 dYdX 在收到其上傳程式碼內含惡意軟體的通報後，對外表示已立即自 npm 中移除多個程式套件，並表示該平台的網站、App 均未遭到攻擊，該平台資金安全無虞，且該惡意軟體不會攻擊其智慧合約。 由於這類在公開的開源程式套件庫中植入惡意軟體的供應鏈攻擊案件，近來發生次數日益增加，因此程式開發者在採用這類程式庫時，務必提高警覺，並做好對應防範措施，以免遭到攻擊。

資安廠商 HUMAN 旗下的資安情報團隊 Satori Threat Intelligence team，日前在兩大行動作業系統 Android 與 iOS 的官方應用程式商店 Google Play 與 App Store 中，發現多支廣告惡意軟體，總下載次數高達 1,300 萬次。 這類廣告惡意軟體通常會常駐在用戶手機中，在幕後或幕前顯示大量廣告，甚至會製造假點擊，以詐騙手法賺取廣告分潤。有些還會在用戶不知情的情形下，冒用用戶名義訂閱高價服務或軟體，讓用戶蒙受相當損失。 據該團隊報告指出，這次發現的廣告惡意軟體，有一部分屬於一波名為「Scylla」的全新詐騙廣告攻擊活動；該團隊也認為「Scylla」是同一駭侵團體發動的第三波詐騙廣告攻擊，之前的兩波分別為 2019 年 8 月的「Poseidon」與 2020 年底的「Charybdis」。 報告說，這次在兩大平台上發現的廣告軟體，軟體所屬分類以手機遊戲為主；在 iOS App Store 中共有 10 個，包括 Loot the Castle、Run Bridge、Shinning Gun、Racing Legend 3D、Rope Runner、WOod Sculptor、Fire-Wall、Ninja Critical Hit、Tony Runs 等。   在 Android Google Play Store 中則有多達 75 個惡意軟體，其中下載量超過 100 萬次者如下：Super Hero - Save the World!、Spot10 Differences、Find 5 Differneces、Dinosaur Legend、One LIne Drawing、Shoot Master、Talent Trap - NEW 等。 由於這些惡意 App 都存於官方 App Store，因此不易防範；用戶在下載前應仔細檢視 App 相關評價與評論，如有異常，應避免下載安裝。

資安廠商 SecureLink 日前發表調查報告指出，製造業在管理其連網工業製造控制系統上，面臨重大資安風險；其中有高達 68% 廠商表示，對於其製造系統內外相關帳號的存取權限無法完全掌控。 報告指出，製造業在邁向數位轉型與工業 4.0 的過程中，導入多種智慧與數位技術，以控制生產流程，提高生產效率；然而這些新導入的相關系統，如營運科技（Operational technology, OT）、工業控制系統（Industrial control systems, ICS）和可程式化邏輯控制器（Programmable logic controller, PLC）等系統，原本並非設計為與外部網路互連。許多製造業者為求便利，讓這些系統可對外連線時，未能同步加強其資安防護能力，就帶來諸多威脅。 調查也指出，超過 50% 製造業者自陳未能加強其製造系統資安防護的原因有三，一是無法完全掌握、監控內外所有相關帳號的連線與其權限，二是治理方面的缺失，三是缺乏應對相關資安風險的處理能力。 調查報告也揭露，有高達 42% 製造業者並未針對第三方對其工業系統的連線工作階段進行任何監控，甚至未對第三方可進行的連線與存取權限加以限制，直接視同內部員工的連線存取，因而給予過多不必要的存取權限與資源。 報告也顯示製造業者對於帳號管理過於鬆散的事實，有 41% 業者沒有移除無需再次連線的帳號，也沒有控管登入資訊共享的情形；這導致駭侵者可以輕易利用各種方法取得登入資訊，進而駭入公司內網與其工控系統。 建議製造業應大幅加強工控系統的資安層級，除避免工控系統直接曝露於外網之外，更應仔細盤點各種不同層級連線者的存取權限，予以嚴格限制；且應即時清除無需再次連線的帳號。

資安廠商 Sentinel One 近日發表調查報告，指出該公司的資安研究團隊，發現 APT 駭侵團體 Lazarus，近日透過假冒 Crypto.com 的多個工作機會，對應徵的加密貨幣相關開發者投放含有惡意軟體的 macOS 檔案。 Crypto.com 是全球知名的大型加密貨幣企業，除了提供加密貨幣交易外，也提供 NFT、質押賺息、DeFi 服務等多項功能；該公司大手筆買下洛杉磯 Staple Center 球場冠名權，同時贊助多項運動比賽，因此成為駭侵者假冒的對象。 Lazurus 過去就曾有假冒加密貨幣業者在 LinkedIn 上「徵才」，然後以私訊傳送惡意軟體，用以駭入加密貨幣相關從業人員電腦的記錄。這次 Sentinel One 發現的攻擊活動，可謂故技重施；駭侵者透過 LinkedIn 私訊傳送一份 26 頁的 PDF 檔給應徵的加密貨幣開發者，檔案內容看似為 Crypto.com 的所有職缺說明，但內藏一個可在 macOS 執行的惡意軟體 Mach-O 二進位檔，接著進一步安裝酬載，並連接到駭侵者設立的控制伺服器。 由於在 Sentinel One 調查期間，Lazarus 已經關閉其控制伺服器，因此暫時未能查明會有哪些資料遭竊；不過 Lazarus 長期以來都鎖定加密貨幣相關業者與從業人員進行攻擊，過去也曾成功竊取受害公司與個人的加密貨幣資產。 建議加密貨幣相關工作者在求職轉職時，務必確認自己看到的職缺與聯絡窗口的真偽，對於對方寄送來的相關檔案也應小心謹慎，勿隨意開啟；各加密貨幣業者也應經常巡查 LinkedIn 等求職平台，檢視是否有不明帳號冒充官方帳號進行不法活動，如有則應立即檢舉。

資安廠商 ESET 旗下的資安研究人員，近期發現一種新出現的 SideWalk Linux 版後門惡意軟體；該後門和駭侵團體 SparklingGoblin 與 APT41 關係密切，用以攻擊學術研究單位。 ESET 在報告中指出，新發現的 SideWalk 後門 Linux 版本，過去原本是針對 Windows 電腦而開發的 Windows 版本，原先於 2020 年由資安廠商奇虎 360 旗下的資安研究單位 360 Netlab 發現，後來其他資安廠商陸續發現，該惡意後門軟體被 APT41/SparklingGoblin 駭侵團體於 2020 年 5 月，用以攻擊香港某一所大學的研究單位。 在 ESET 的報告中指出，這次發現的 SideWalk Linux 版本與 Windows 版本的 SideWalk 可謂系出同源，程式碼與架構有許多極為相似之處；包括兩個版本都使用 ChaCha20 加密演算法，且同時使用一個初始值為 0x0B 的計數器，而這是 SideWalk 的一個特徵。 另外 ESET 也發現 Linux 版的 SideWalk 後門軟體，和 Windows 的版本使用相同的密鑰，對送往控制伺服器的所竊得資料進行加密傳送。這也間接證實兩者間的密切關係。 ESET 指出，SparklingGoblin 近期使用 SideWalk Linux 版攻擊的對象，是當時在 2020 年入侵的同一所大學；該團體成功入侵該校多台伺服器，包括一台印表機伺服器、一台 Email 伺服器，以及一台用來管理學生行事曆與選修課程的伺服器。 由於這類由國家支持的 APT 駭侵團體，其駭侵技術十分先進成熟，因此各個可能成為其潛在攻擊目標的單位，都必須嚴加防範，徹底加強資安防護能力與意識。

Microsoft...

Apple 近日針對旗下推出的 iPhone、iPad 與 Mac 電腦等裝置，推出 iOS、iPadOS、macOS 作業系統更新，以修復一個已遭駭侵者大規模用於駭侵攻擊的 0-day 資安漏洞 CVE-2022-32917；用戶應立即更新。 在這次更新中獲得修補的 0-day 漏洞，其 CVE 編號為 CVE-2022-32917，屬於作業系統核心中的邊界漏洞；駭侵者可以利用此漏洞誘發記憶體崩潰，並且提升執行權限，以便遠端執行任意程式碼。 CVE-2022-32917 的 CVSS 危險程度評分為 8.4 分（滿分為 10 分），危險程度評級為「高」；且根據 Apple 提供的資安通報指出，該漏洞顯然已遭駭侵者大規模用於攻擊活動。 Apple 針對此漏洞，推出 iOS 15.7、iPadOS 15.7、macOS Monterey 12.6 與 macOS Big Sur 11.7 加以修復；受到影響的 Apple 裝置包括 iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。 CVE-2022-32917 是 Apple 自今（2022）年以來修復的第 8 個 0-day 漏洞。 建議廣大 iPhone、iPad 與 Mac 電腦用戶，在 Apple 推出作業系統更新且收到通知時，應立即依系統指示，更新到最新版的作業系統，以免遭到駭侵者利用已公開但未及更新的漏洞發動攻擊。 CVE編號：CVE-2022-32917 影響產品(版本)：iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。 解決方案：升級到最新版 iOS、iPadOS、macOS 作業系統版本