不要错过 - 頁面 19

Facebook（Meta）日前發表 2022 年第二季資安威脅對抗報告（Q2 2022 Adversarial Threat Report），其中指出該公司發現兩個先進持續性威脅（Advanced Persistent Threat, APT）駭侵團體，利用新的 Android 惡意軟體發動的大規模駭侵攻擊活動。 在報告中指名的兩個 APT 團體，分別是「Bitter APT」和 APT36（又名 Transparent Tribe）；報告說觀察到這兩個 APT 團體都利用 Facebook 這樣的社群平台，透過利用假帳號與被害人加為朋友，引誘被害人到外部平台下載安裝惡意軟體，來進行監控駭侵攻擊。 APT 36 在惡意軟體中利用可跳過雙重身分驗證機制的漏洞，來監控印度政府相關目標並竊取情報；而 BItter APT 則在 2022 年 5 月被發現針對孟加拉政府的目標，以能夠遠端執行任意程式碼的惡意 App 來進行監控與情報竊取。 另外，Meta 的報告也指出，Bitter APT 涉及針對紐西蘭、印度、巴基斯坦、英國等國家的目標，發動綿密的社交工程攻擊，目標是讓被監控對象安裝惡意軟體；其手段結合了短網址、遭駭網站和第三方檔案儲存服務等。 Meta 也說，Bitter APT 利用一個名為 Dracarys 的 Android 惡意軟體，結合非官方版本的 YouTube、Signal、WhatsApp 等常用 App，誘使用戶安裝後，接著濫用 Android 系統中的輔助使用功能，在用戶不知情的狀況下竊取各種資訊，包括通話記錄、通訊錄、裝置內檔案、簡訊、地理座標、裝置資訊，並且私下拍照、開啟麥克風，甚至安裝 App。 Meta 也說 Dracarys 能夠逃過目前各種防毒防駭軟體的偵測，因此防不勝防。 鑑於各類針對行動裝置的惡意軟體不斷推陳出新，用戶不應完全依賴防毒防駭軟體，應養成良好的使用習慣，不隨意安裝來源不明的應用軟體，以免遭到惡意軟體的植入。

資安廠商 Netskope 旗下的研究人員，近來發現有駭侵者利用 Google Sites 與 Microsoft Azure Web App 等雲端服務架設仿冒網站，用於攻擊加密貨幣投資者，以竊取其加密資產。 報告指出，駭侵者的攻擊手法，是事先利用上述的雲端服務來架設多個仿冒知名加密貨幣錢包或交易所入口的釣魚網站，然後利用留言機器人在各大加密貨幣相關社群的討論區中大量發送含有這些釣魚網站連結的留言；用戶如果不慎誤信連結，即可能將自己的錢包或交易所登入資訊輸入到釣魚網站中。 報告指出，由於駭侵者選擇使用 Google 和 Microsoft 的服務，因此這些網站的網域名稱就是 Google 與 Microsoft 所屬的網址；這樣不但垃圾留言較不易遭到自動垃圾留言清除機制刪除，甚至還能取得很好的 SEO 效果。實測發現，一些駭侵者設立的釣魚網站，連往往會在 Google 搜尋結果中名列前茅。 報告說，這些釣魚網站攻擊的對象，是大型加密貨幣交易所與知名加密錢包的用戶，例如 Coinbase、MetaMask、Kraken、Gemini 等。駭侵者企圖利用這些假入口網站來騙取用戶的交易所與加密錢包的登入資訊與錢包復原短語，以完全控制用戶的數位資產。 報告指出，這些假網站還包括假的二階段登入驗證頁面，會要求用戶輸入手機號碼；待用戶輸入手機號碼後，假網站會顯示一個假的錯誤訊息，宣稱用戶因違反安全守則，帳號已遭停用；用戶必須按下頁面中的「詢問專家」按鈕，接著會有假冒的客服人員與用戶線上對談，誘使用戶開啟 Team Viewer 等遙控軟體，竊取用戶收到的二階段驗證碼。 建議加密貨幣投資者不要在任何社群網站中點按宣稱是官方網站的連結，且應注意連結本身是否為真實的網域名稱。

知名社群平台 Twitter 日前證實近日發生一起資料外洩事件，約有 540 萬用戶資料，遭駭侵者利用一個現已修補完成的 0-day 漏洞竊走。 該入侵事件發生於去（2021）年 12 月；資安專業媒體 BleepingComputer 當時報導有駭侵者在駭侵相關論壇上張貼文章，意圖出售自 Twitter 竊得的 5,485,636 筆用戶資料。 Twitter 這個 0-day 資安漏洞，使任何人都可以利用用戶登錄在 Twitter 個人檔案中的各種資料，包括電話號碼、Email 帳號等等當做查詢索引，查出用戶的帳號 ID 後，繼而可以取得更多用戶資訊，例如在 Twitter 中使用的顯示名稱、登入名稱、所在地、追蹤人數、頭像圖片網址等各種資訊。 據 BleepingComputer 當時的報導指出，駭侵者打算將這批 540 萬名用戶的資訊，以 30,000 美元的價格出售，而至少有兩組駭侵團體在經過議價後，買走這些資訊。 Twitter 直到 8 月 5 日證實確實發生該 0-day 漏洞遭駭侵者用於竊取用戶個資的事件；在其聲明中表示該公司於 2022 年 1 月在一場漏洞發現懸賞活動中，得知該漏洞可用於竊取用戶個資的報告，於 6 月修補好這個漏洞。 Twitter 指出，這次資料外洩事件中，並沒有任何用戶的登入密碼遭到外洩，但該公司也無法確切計算出到底有多少名用戶的個資遭到竊取。 建議各社群平台用戶應儘可能不要在個人檔案中填寫過多可供鎖定個人身分的資訊，並且應啟用二階段登入驗證，以避免社群帳號或其上的個資遭到攻擊。

資安廠商 Sophos 旗下的資安研究團隊，日前發表案例報告指出，有某家大型汽車業供應商在本（2022）年 5 月時，在 2 星期內連續遭到 3 次勒贖攻擊，造成其系統遭到入侵，檔案亦遭加密。 Sophos 的報告指出，雖然連續兩次的勒贖攻擊愈來愈常見，但這是該公司第一次發現連續三次不同的駭侵攻擊接連發生，而且都使用同一個資安弱點發動攻擊。 報告說，三次勒贖攻擊分別是 Lockbit、Hive 與 ALPHV/BlackCat，都利用該公司防火牆的一個設定上的錯誤，利用 Remote Desktop Protocol（RDP）入侵該公司內網的網域控制器。 5 月 1 日時，LockBit 和 Hive 分別在該公司內網中，利用合法的 PsExec 和 PDQ 布署工具，來散布其勒贖軟體酬載，並在 2 個小時之內就將十多個該公司內部系統的檔案完成加密；其中 LockBit 還把該公司檔案竊取出來，並上傳到 Mega 雲端檔案分享服務上。 隔 2 星期後，正當該公司的 IT 團隊仍在試圖回復系統時，BlackCat 駭侵者也利用和先前相同的防火牆設定漏洞，利用 RDP 入侵同一套網域控制器，並安裝遠端遙控工具 Atera Agent，接著就在一小時半內利用 PsExec 布署其勒贖酬載，並且利用竊得的登入資訊，將六台電腦中的資料竊走後進行加密。 BlackCat 駭侵者甚至還在完成資料竊取和加密犯行後，刪除 Windows Events Logs，這使得後續的入侵調查與資料復原工作變得更為困難。 Sophos 在報告中也說，由於 Hive 和 Lockbit 的攻擊只相差兩小時，不同的勒贖軟體可能同時在系統中執行，因此某些檔案遭到重覆加密，次數高達 5 次之多。 由於企業遭到駭侵攻擊的次數日漸頻繁，像上例這樣短期間遭不同駭侵者透過同一漏洞連續攻擊的可能性將愈來愈高，因此公私單位應該立即封鎖 VNC 和 RDP 連線，僅使用 VPN 進行連線，並且必須啟用多階段登入驗證。

網通大廠 Cisco 近日發表資安通報，表示已修復旗下 Small Business VPN 路由器系列中兩個可導致駭侵者用以遠端執行任意程式碼，甚至用來發動 DoS 攻擊的漏洞 CVE-2022-20842 與 CVE-2022-20827。 這兩個漏洞存於上述 Cisco VPN 裝置的 Web 管理介面與 Web 篩選器的資料庫更新功能，發生原因為未能針對輸入資訊進行完整的驗證。這兩個漏洞的 CVSS 危險程度評分高達 9.8 分（滿分為 10 分）。 在 CVE-2022-20842 方面，駭侵者可透過特製的 HTTP 輸入資訊來觸發此漏洞，藉以使用 root 權限於作業系統內達端執行任意程式碼，並可造成系統重新載入，達成 DoS 攻擊的效果。 受到 CVE-2022-20842 影響的 Cisco Small Business 路由器機種， RV340、RV345 1.0.03.26 與較舊版本。 CVE-2022-20827 的方面，駭侵者可以特製的資訊輸入到其 Web 篩選器的資料庫更新功能，來觸發這個漏洞，即可以 root 權限在作業系統內遠端執行任意程程式碼。 受到 CVE-2022-20827 影響的 Cisco Small Business 路由器機種，包括 RV160、RV260 版本 1.0.01.05，以及 RV340、RV345 1.0.03.26 版本。 這兩個漏洞都不會觸發任何反應，也不會出現需要使用者操作的互動，因此駭侵者可在用戶不知情的情形下發動攻擊。不過目前尚未傳出這兩個漏洞遭到駭侵者大規模濫用的消息。 建議使用上述 Cisco Small Business 路由器的用戶，應立即透過更新工具，更新到最新版本韌體，以免未修補的漏洞遭到駭侵者用於攻擊。 CVE編號：CVE-2022-20842、CVE-2022-20827 影響產品： CVE-2022-22842：RV340、RV345 1.0.03.26 與較舊版本。 CVE-2022-22827：RV160、RV260 版本 1.0.01.05，以及 RV340、RV345 1.0.03.26 版本。 解決方案 CVE-2022-22842：RV340、RV345 升級到 1.0.03.28 與後續版本。 CVE-2022-20827：RV160、RV260 升級到 1.0.01.09 與後續版本； RV340、RV345 升級到 1.0.03.28 與後續版本。

虛擬技術大廠 VMware 日前發布資安通報，要求使用該公司各項軟體系統的管理者，立即進行軟體更新，以修復一個可以繞過身分驗證的嚴重資安漏洞。 這個漏洞的 CVE 編號為 CVE-2022-31656，由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現，影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。 該漏洞屬於身分驗證繞過漏洞，駭侵者可利用該漏洞跳過系統的登入驗證程序，在未經授權的情形下進入系統，並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分（滿分為 10 分），其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。 該公司指出，系統管理員必須依照 VMSA 的指示，立即修補或處理該漏洞。 除了 CVE-2022-31656 外，VMware 同時也修補多個資安漏洞，包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665)，以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。 VMware 指出，如果單位採用 ITIL 進行變更管理，則這些修補會被視為「緊急變更」。 建議使用上述 VMware 產品的用戶，應立即依指示更新系統，修補上述漏洞，以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。 CVE編號：CVE-2022-31656 等 影響產品(版本)：VMware Workspace ONE Access、Indemtity Manager、vRealize Automation 等產品。 解決方案：依照 VMSA 的指示，立即修補或處理該漏洞。

近年來十分熱門的 Solana 區塊鏈平台，日前發生嚴重駭侵事件；目前已知近 8,000 個去中心化錢包遭到駭侵者攻擊，竊走存放的 Solana 代幣，損失達數百萬美元。 Solana 平台指出，在 8 月 3 日世界標準時間上午 5 時左右發生的駭侵攻擊事件中，有 7,767 個 Slope 和 Phantom 去中心化錢包遭到攻擊，內部存款遭到不當存取；包括其行動版裝置與瀏覽器外掛程式版本，都未能倖免。 而據區塊鏈分析平台 Elliptic 統計，受到影響的錢包數量接近 7,936 個，包括 SOL 代幣、近 300 種以 Solana 區塊鏈建構的各種代幣與 NFT 的損失總金額則高達 520 萬美元。 Solana 指出，目前正在調查整起事件，尚無法推論駭侵者是透過何種方式，利用哪些漏洞發動攻擊；不過 Elliptic 指出漏洞很可能是發生在錢包軟體端，而非 Solana 區塊鏈平台上；因為所有被駭的交易，都由錢包真正用戶的私鑰進行數位簽署，因此可能是駭侵者透過錢包本身的漏洞，取得受害者擁有的私鑰來竊取加密貨幣資產。 此外另有一個線索支持這種推論：使用 Solflare 和 Trust Wallet 的用戶，並未受到本次駭侵攻擊的影響。硬體錢包（即所謂冷錢包）內的資產也未受影響。 資安專家推論指出，能夠一次取得這麼多用戶的私鑰來進行攻擊，其駭侵手法很可能是透過供應鏈攻擊，或是利用某個瀏覽器的 0-day 漏洞，或是錢包產生私鑰時使用的亂數產生器內的漏洞。 建議加密貨幣投資者應避免將大額資產存放在網路或軟體錢包（即所謂熱錢包）中，應使用離線儲存的硬體錢包（冷錢包），以避免類似攻擊事件，造成鉅額資金損失。

澳洲政府日前起訴一個製作並販賣監控惡意軟體 Imminent Monitor 的 24 歲澳洲籍軟體開發者，該惡意軟體曾販售給超過 128 國的 14,500 人，用於不當監控受害者並竊取多種機敏資訊。 澳洲警方近日發布新聞稿，指出該名開發者創作的監控軟體，有許多暴力犯與各種犯行購買，可用於遠端遙控受害者的裝置、竊取裝置上的多種資訊，包括用戶輸入資訊、儲存於裝置內的檔案與資料、擷取螢幕畫面、自用戶裝置的 webcam 錄影錄音等等。 警方表示，Immienet Monitor 是自 2013 年開始對外販賣，當時該開發者年僅 15 歲；開發者以遠端管理軟體的名義宣傳 Imminent Monitor，且售價相當便宜，只需 25 美元即可購得永久使用權，甚至包括客戶服務在內。 雖然 Imminent Monitor 表面上看似正常的遠端管理工具，但在駭侵相關論壇和客服內容中，開發者卻以「Shockwave」為名做為招徠，強調其駭侵能力。 2019 年 4 月，在某個駭侵相關論壇中，有一篇討論 Shockwave 突然消失的貼文；貼文作者推測 Shockwave 的作者可能已遭到逮捕；該文同時警告 Shockwave 的使用者亦有遭到追緝的可能。 除了澳洲警方的逮捕行動外，2019 年 11 月時，歐洲刑警組織（Europol）亦展開一波針對 Imminent Monitor 不法使用者的打擊行動，逮捕 13 名大量使用者，並且查獲 430 台相關設備及宣傳用網域等。 建議個人或公司行號如有遠端設備管理需求，應購買信譽良好的大公司產品，切勿購買來路不明的軟體產品或服務，以免發生此類糾紛。

西班牙警方日前發布通報，宣布逮捕兩名據信涉嫌於去（2021）年三月與六月間駭侵該國輻射警報系統網路的駭侵者；相關單位已經展開進一步的偵訊。 據報導，這兩名嫌犯先前曾在該國負責維運輻射警報系統網路部門「民眾保護與緊急事件指揮總署」（General Directorate of Civil Protection and Emergencies, DGPCE）的外包業者工作，對於整個系統的運作，以及如何駭入，具有深厚的知識。 兩名嫌犯遭控訴試圖非法存取 DGPCE 所屬網路，企圖刪除輻射警報網路系統在控制中心的 web 應用程式。 兩名嫌犯也涉及攻擊分布於西班牙全國各地的輻射偵測設施；全國八百多組輻射偵測設施中，有三百多組遭其攻擊，無法於中央輻射警報系統連線並傳輸資料。 該單位是在 2021 年 6 月起發現系統遭到攻擊，在與西班牙警方協同偵辦長達一年後，才掌握兩名犯嫌的行蹤並予以逮捕，同時緝獲多台可能與犯行相關的電腦與網通設備。 據報導，西班牙境內目前共有 7 座運作的的核反應爐，發電量占該國總電力需求的 20%；而其輻射偵測設施的任務，是發現突然增高的輻射量，以立即找出原因予以處理；該系統共有 800 多個分布在西班牙各地的輻射偵測設施，以電話線與 DGPCE 總部連線，回報即時輻射偵測數值。 該兩名嫌犯成功使 300 多個輻射偵測設施離線無法運作，使得政府無法即時反應潛在的核能安全事故；對於該國核能安全造成嚴重威脅。 建議針對這類可能造成嚴重公共安全事故的關鍵基礎設施與其防護系統，應加強其實體與資安防護能力，同時加強在離職人員的考核，以嚴防滲透與不當存取，以及惡意破壞行為。

資安廠商 McAfee 旗下的研究人員，近日發現有駭侵者利用 Facebook 廣告來散布上架至 Google Play Store 中的多個廣告惡意軟體；這些惡意 App 目前已有 700 萬次下載安裝。 McAfee 的報告指出，這幾個成功上架到 Google Play Store 的廣告惡意軟體，偽裝成多種用戶可能需要的類型，包括 Android 系統清理工具、手機執行效能提升工具等等，但實際上不但缺少宣稱的功能，本質上更是廣告惡意軟體。 報告指出，這些廣告惡意 App 係濫用 Contact Provider Android 組件，該組件可讓裝置與線上服務之間互相傳輸資料；每次安裝軟體時都會呼叫該組件，這些廣告軟體便趁機啟用廣告推送程序，讓用戶以為廣告是由他們新安裝的 App 所顯示的。 為了避免遭到用戶刪除，這些廣告 App 還經常更換其顯示圖示與名稱，偽裝成 Android 系統設定或 Play Store 應用程式，以混淆用戶視聽。 McAfee 指出，目前所知這些惡意 App 共有 13 種；由於 Facebook 廣告的散布助力，總下載次數高達 700 萬次以上；這 13 種 App 在 Google Play Store 中的名稱如下： Junk Cleaner EasyCleaner Power Doctor Super Clean Full Clean Fingertip Cleaner Quick Cleaner Keep Clean Windy Clean Carpet Clean Cool Clean Strong Clean Meteor Clean McAfee 表示，受害用戶最多的國家包括南韓、日本、巴西等，但全世界各地也都有不少受害者。 建議用戶在下載各種 Android App 前，應仔細閱讀評價，如發現可疑之處，或有許多用戶給予負面回饋，應避免下載；對於透過社群平台廣告宣傳的 App，亦應提高警覺。