不要错过 - 頁面 2

美國網路安全暨基礎設施安全局(CISA)於近期將漏洞CVE-2020-3259加入CISA已知遭利用的清單中，並表示Akira勒索軟體組織正積極尋找尚未修補的Cisco Adaptive Security Appliance (ASA) 與 Firepower Threat Defense (FTD)安全漏洞。   資安研究員Kevin Beaumont也提出警示，發現Akira 和 Lockbit 勒索軟體組織正在尋找尚未修補的Cisco ASA安全漏洞，並嘗試進行攻擊。   Cisco於2020年5月已針對CVE-2020-3259發布更新，此漏洞主要造成資訊洩漏，允許未經身份驗證的遠端攻擊者取得受影響設備上的記憶體內容，進而導致機密資訊洩露。資安研究員Heresh Zaremand表示，CVE-2020-3259漏洞並沒有公開可利用的程式碼，若要利用該漏洞，需要購買或自行產生攻擊程式。   Akira是2023成立的資料外洩網站之一，公開聲稱有200名的受害者，2023 年第四季，Akira 在其資料外洩入口網站列出49名受害者。依據Trellix部落格顯示的資訊，受害國家以歐美地區為主，其中是以服務業、製造業領域為對象。   Cisco 設備廣泛的應用在各個組織之中，也因此經常成駭客攻擊的目標，已修補的漏洞仍有PoC不斷出現，簡化了攻擊者的流程，同時也降低門檻。建議應定期檢視使用Cisco ASA/FTD更新情況，並若設備開啟AnyConnect SSL VPN功能，建議將ASA升級到最新版本。

五眼聯盟發布了新的網路安全警示，指出攻擊者正在利用 Ivanti Connect Secure 與 Ivanti Policy Secure 已知的安全漏洞發動攻擊。此外，五眼聯盟提出完整性檢查工具(ICT)可能有設計上的瑕疵，因此不能提供正確的安全狀態。 美國CISA與國際合作夥伴共同發布之聯合網際安全警示報告（Joint Cybersecurity Advisory）提到"Ivanti ICT 不足以檢測入侵行為，即使對系統進行出廠重置，攻擊者仍可能可以控制存在漏洞的系統。” 自 2024 年 1 月 10 日以來，Ivanti 產品已被揭露五個安全漏洞，其中有四個正在被多個攻擊者活躍利用以部署惡意軟體： CVE-2023-46805（CVSS 評分：8.2）- Web 元件中的身份驗證繞過漏洞 CVE-2024-21887（CVSS 評分：9.1）- Web 元件中的命令注入漏洞 CVE-2024-21888（CVSS 評分：8.8）- Web 元件中的權限提升漏洞 CVE-2024-21893（CVSS 評分：8.2）- SAML 元件中的 SSRF 漏洞 CVE-2024-22024（CVSS 評分：8.3）- SAML 元件中的 XXE 漏洞 Mandiant發表的分析報告中，描述了一個名為BUSHWALK的惡意軟體加密版本，該軟體被放置在ICT排除掃描的目錄/data/runtime/cockpit/diskAnalysis中。 澳洲、加拿大、紐西蘭、英國及美國的研究機構則表示：「對於網路防禦者來說，最安全的做法是假設攻擊者可能會在系統被重置後布署rootkit持續潛伏與控制設備。」，並敦促組織在決定是否繼續在企業環境中操作這些設備時，要 "考慮到攻擊者存取與持續使用 Ivanti Connect Secure 與 Ivanti Policy Secure 的重大風險。” 網路安全公司Akamai分享的資料顯示，每天檢測到約 25 萬次的利用嘗試，針對超過1,000個客戶進行攻擊，這些攻擊來自18個不同國家，超過3,300個攻擊IP位址。 Noam Atias與Sam Tinklenberg表示：“這些攻擊嘗試大多是試圖傳遞一個payload，該payload會向攻擊者控制的網域發送一個請求，作為成功遠端執行命令的證明。” Ivanti 針對五眼聯盟提出的警示表示，在實施安全性更新與恢復出廠設定後，尚未發現有任何攻擊者仍持續存在的情況。此外，他們亦發布ICT的新版本，聲稱這個新版本為客戶系統上存在的所有檔案提供了更多的可見性。

Google 日前宣布在其 Android 應用程式商店 Google Play Store 的 Google Play Protect 保護機制中推出全新惡意軟體即時掃瞄功能，以強化該平台對於 Android 平台上日益猖獗惡意軟體的防護能力。 Google Play Protect 是 Google Play Store 中內建的主要防護機制，可在裝置上進行惡意軟體掃瞄，每日總掃瞄次數可達 1,250 億次。該工具不只可掃瞄下載自 Google Play Store 的應用軟體，也可以掃瞄自第三方 App Store 或網路上不明來源處下載的 APK 檔案。 過往駭侵者常會利用「安裝後載入」的手法來規避 App 上架到 Google Play Store 時的惡意軟體掃瞄措施，方法是在上架 Google Play Store 時先上架無害的版本，待使用者下載安裝到其裝置後，再從外部伺服器載入惡意軟體酬載。 為防止駭侵者繼續以這種方式植入惡意軟體，強化版的 Google Play Protect 會在裝置上進行掃瞄，並將掃瞄結果傳送到 Google Play Protect 的後端架構進行程式碼分析，同時以機器學習來累積掃瞄經驗；，一旦發現惡意軟體訊號時，即會通知使用者。 Google 目前已在印度和部分指定國家推出 Google Play Protect 新機制，且會陸續在全球其他國家推出。 資安專家指出，Google 這套新系統雖然無法防杜所有 Android 平台上的惡意軟體，但應能有效降低該平台上過去未能偵測出的惡意軟體數量。 專家也表示，惡意軟體開發者當然也會試圖找出這套系統的弱點，因此加強使用者自我保護的觀念與使用習慣，仍然十分重要。 建議 Android 平台使用者在此系統可使用時下載安裝，且仍應維持良好習慣，絕不安裝來路不明的 APK 檔案。

資安廠商 Guardio 旗下的資安專家，近期發現有駭侵者使用一種全新的手法來散布惡意程式碼；即利用區塊鏈來藏匿惡意程式碼，藉其去中心化的特性，使其駭侵手法更不容易偵測防範。 Guardio 在兩個多月前發現有駭侵者利用這種稱為「ClearFake」的手法來進行攻擊。原本該駭侵者係使用遭到入侵成功的 WordPress 網站來放置惡意程式碼，並利用 CloudFlare 的 Worker 功能進行重新導向；但因該 ClouldFlare Worker 遭發現而下架，之後駭侵者便改用 Binance Smart Chain 區塊鏈來存放其惡意程式碼。 Guardio 指出，駭侵者首先利用已知漏洞駭入多個 WordPress 網站，或是竊得該網站的 admin 登入權限，然後在其網站頁面中植入兩段指令碼，該指令碼會自 Binance Smart Chain 中載入惡意程式碼，再將這段惡意程式碼嵌入到 WordPress 的頁面中。這段程式碼會連線到一台控制伺服器，並載入第三段惡意軟體酬載；受害者如果不慎進入該受駭的 WordPress 網站，會看到假冒的 Chrome、Firefox、Edge 瀏覽器更新畫面，誘騙使用者按下更新按鈕並下載另一段惡意軟體。 Guardio 說，這種利用區塊鏈來放置惡意程式碼的手法十分新穎。由於區塊鏈具備去中心化與不可篡改的特性，因此置入到區塊鏈中的惡意軟體程式碼是無法下架的。而 ClearFake 也利用區塊鏈來記錄控制伺服器的位置資訊，因此要是有某台控制伺服器遭到破獲下線，駭侵者也可在區塊鏈上輕鬆新增新伺服器的位址資訊。 這種利用區塊鏈來存放惡意程式碼的新手法，目前難以防治；以此案為例，僅能由加強 WordPress 網站本身的資安防護功能來入手。

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA），日前公布一批勒贖攻擊團體經常用於攻擊的漏洞與資安設定錯誤樣態， 目的是要協助關鍵基礎設施強化資安防護能力。 CISA 於 2023 年 1 月起開始推動「勒贖軟體漏洞警告先導計畫」（Ransomware Vulnerability Warning Pilot, RVWP）專案，並且經常新增相關資訊；本次公布的資訊即屬 RVWP 專案的防護資訊更新。 至今為止，CISA 的 RVWP 計畫已經公布超過 800 個經常遭到勒贖團體攻擊使用的各式軟體與系統的資安漏洞與錯誤資安設定，其目的在於提供各種經常遭勒贖攻擊鎖定的全球關鍵基礎設施或服務，依其指引提升資安防護量能，避免因為遭到勒贖攻擊而導致關鍵基礎設施服務中斷，因而造成重大影響。 CISA 指出，雖然該單位過去已經推出「遭攻擊已知漏洞」（Known exploited vulnerabilities, KEV）清單供各公私單位參考使用，且在該清單中額外加上一個欄位，專門標示易遭勒贖攻擊駭侵者使用的資安漏洞，但為因應日益猖獗的勒贖攻擊，CISA 決定推出 RWVP 通報，以強化針對勒贖攻擊的防護量能。 CISA 也同時推出一個專為防杜勒贖攻擊的入口網站「StopRansomware.gov」，其目的在於集中提供各種防範並處理勒贖攻擊的多種有用資訊。 建議各公私單位可參考 CISA 提供的各類資安防護通報，並依其指引提升防護能力，以提高安全性。

資安廠商 Proorfpoint 與 Ponemon Institute 日前聯合發表一份針對醫療保健單位的資安研究調查報告「The Cost and Impact on Patient Safety and Care」；報告指出，僅有 45% 的醫療單位具備防護 BEC 與供應鏈攻擊的能力，且 64% 醫事單位在近兩年內平均遭到 4 次供應鏈攻擊。 這份調查報告向 17,805 名負責醫事單位資安或 IT 權責人員發出問卷，有效填答問卷有 653 份，調查對象包括各大公私立醫療院所、醫療健康保險業者、生物科技相關業者、藥事單位等。 調查報告揭露的重要數字如下： 88% 的受訪者曾在過去 12 個月內至少遭到 1 次駭侵攻擊； 平均遭到的資安攻擊次數達 40 次； 54% 受訪者在過去 2 年內平均遭到 4 次勒贖攻擊； 54% 受訪者在過去 2 年內平均遭到 5 次 BEC 攻擊； 64% 受訪者在過去 2 年內平均遭到 6 次供應鏈攻擊； 63% 受訪者在過去 2 年內其雲端平均遭到 21 次駭侵攻擊； 53% 受訪者表示遭到攻擊最多的雲端服務為專案管理與遠距會議系統； 高達 100% 受訪者都曾發生至少 1 次造成醫療資料被竊或損失的攻擊； 各受訪者平均有 19 次攻擊事件會造成資料損失； 47% 受訪者表示院內員工不了解其透過 email 分享的資料會有隱私與機密問題。 另外有 61% 受訪者認為自攜設備（BYOD）的使用會帶來更多資安隱患，比例較去（2022）年提高 34%；而對 BEC/冒名釣魚攻擊的憂慮，也自前一年的 46% 提高到今年達 62%。 建議各醫療單位除應強化自身的資安防護能力外，對從業人員的資安教育訓練亦應大幅加強。

資安廠商趨勢科技 (Trend Micro) 日前發表研究報告，指出該公司發現一個名為 DarkGate 的惡意軟體，近期利用竊得的 Skype 帳號，以訊息傳遞含有惡意軟體指令檔的附件給目標攻擊對象來發動駭侵攻擊。 趨勢科技的研究人員，在 2023 年 7 月到 9 月間觀察到 DarkGate 的一波攻擊行動；駭侵者利用不明方式駭入某些 Skype 帳號並混入該帳號進行中的對話，然後將含有惡意軟體的檔案名稱，改成符合對話內容的形式後傳遞給受害者。 傳送給受害者的檔案中，含有 VBA 載入指令，可進一步載入 AutoIT 惡意軟體酬載，用來載入並執行最終的 DarkGate 惡意軟體酬載。 趨勢科技指出，目前並不清楚這些 Skype 帳號是如何遭到竊取，以用於發送惡意軟體的，有可能是來自於駭侵討論區或暗網中出售的使用者登入資訊。 此外，趨勢科技也觀察到 DarkGate 駭侵者試圖透過駭入企業通訊用的 Microsoft Teams 對話串來散布 DarkGate 惡意軟體與其他釣魚惡意程式碼；遭到攻擊的主要是開放給企業外部使用者加入對話的 Teams 工作群組對話。 趨勢科技指出，駭侵者係利用已遭到攻擊竊取的企業外部 Office 365 使用者帳號，並使用可輕易取得的駭侵工具 TeamsPhisher 來發動攻擊；駭侵者利用該工具來跳過針對 Microsoft Teams 外部使用者的檔案分享限制，並且發送釣魚附件檔案給討論群組中的使用者。 建議企業加強對內部訊息討論群組的資安防護，分享相關文件、試算表或簡報應盡可能避免直接分享檔案，可改使用線上版生產力工具，以杜絕惡意指令碼的執行。

美國聯邦通訊委員會（Federal Communication Commission, FCC）日前推出新規定，強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程，以保護消費者免於日益嚴重的 SIM-swap 攻擊。 FCC 旗下的「隱私與資料保護工作小組」（Privacy and Data Protection Task Force）在 2023 年 7 月研擬推出新規定，以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡，藉以竊取消費者的手機門號控制權。 駭侵者取得新 SIM 卡後，即可以該門號來進行進一步的攻擊活動，例如配合竊得的用戶登入資訊，以該門號接收二階段登入驗證簡訊，取得消費者各種社群與金融服務帳號的控制權，或是假冒消費者身分使用或申請各種服務，以散布惡意連結或惡意軟體等，為害甚大。 FCC 本次新規定修改了與「消費者專屬網路資訊」（Customer Proprietary Network Information，CPNI）與「本地門號可攜性」（Local Number Portability）的相關規定，強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時，必須進行額外的使用者身分驗證，並且明確通知用戶。 FCC 表示，新規定強化了電信業者對消費者的安全保護責任，期可大幅提高 SIM-swap 的攻擊難度，減少這類攻擊的得逞。 由於在台灣申請這類電信服務均需出示雙證件，因此國內的 SIM-swap 攻擊較為少見；但消費者如果擁有國外電信門號，務必提防這類攻擊。

全球大型財經媒體彭博新聞（Bloomberg News）所屬的加密貨幣子頻道，其在 X 平台上官方帳號日前遭竊，稍後該官方帳號即遭駭侵者用於進行詐騙，將讀者導向至釣魚網站，以騙取受害者的 Discord 平台登入資訊。 根據加密貨幣詐騙觀察家 ZachXBT 指出，駭侵者在該帳號的個人檔案中，放入了一個原本就有 14,000 個成員的 Telegram 聊天頻道連結；該連結會將點按者導向到一個有 近 34,000 名成員的假冒 Bloomberg Discord 聊天室。 據 ZachXBT 指出，Bloomberg 原本的 Telegram 頻道，其使用者名稱為 @BloombergNewsCrypto；在 2023 年 10 月時，該頻道更名為 @BloombergCrypto，但原先使用的舊名因不明原因遭到駭侵者取得，並用來發動釣魚攻擊。 受害者如果進入該舊 Telegram 頻道後，會看到由機器人自動發送的訊息，要求使用者前往其在 Discord 上的聊天室；而使用者在點按該連結後，會先被導到一個假冒的 Discord 使用者身分驗證服務釣魚網站，要求使用者輸入其 Discord 登入資訊，從而竊取使用者的帳密。 資安專家指出，由於許多加密貨幣投資者都使用 Discord 社群服務，因此 Discord 帳號資訊經常成為駭侵者的攻擊目標；駭侵者可利用竊得的 Discord 帳號來推廣加密貨幣詐騙或釣魚攻擊，甚至竊取使用者的加密貨幣資金。 為防範釣魚攻擊，建議加密貨幣投資人避免點按任何不明連結，並採用多階段登入驗證，不在任何可疑網站中提供任何帳密等個人資訊。

加拿大政府日前發表資安通報，指出兩家為加拿大政府處理員工轉調手續的外包廠商，日前遭到勒贖攻擊，致使加拿大政府雇員的多種個資外洩。 據加拿大政府的通報指出，兩家協助該國政府員工轉調手續的廠商，分別是 Brookfield Globla Relocation Services (BGRS) 與 SIRVA Worldwide Relocation & Moving Services，兩家公司自 1999 年起即承辦加拿大政府員工調任的相關事宜。 加拿大政府雖然沒有在通報中詳細說明兩家公司遭駭的詳情，但勒贖團體 LockBit 在其官網中表示是該組織犯下對 SIRVA 公司的勒贖攻擊；LockBit 也揚言已經取得該公司多達 1.5TB 的資料，並向該公司要求高達 100 萬美元的贖金，但 SIRVA 並未支付，因此該批被竊資料就遭到 LockBit 公開在暗網中。 另一方面，加拿大政府於 2023 年 10 月 19 日接獲兩家外包廠商遭駭的通報後，立即向該國資安主管機關加拿大資安中心（Canadian Centre for Cyber Security）與隱私保護官辦公室（Office of the Privacy Commissioner）通報事故。 在加拿大政府對外公開的資安通報中，並未提供本次事件的受害人相關資訊，包括潛在的加拿大政府雇員受害者人數在內；不過由於 BGRS 和 SIRVA 兩家公司自 1999 年開始就承接相關業務，因此包括個人資訊財務資訊遭竊的受害者人數可能不在少數。包括加拿大皇家警察（Royal Canadian Mounted Police）、加拿大空軍與多個政府單位從業人員都受到影響。 加拿大政府表示，已針對受害者提供信用監控服務，並對有需要的人員重新核發有效護照等證件；加拿大政府也將在案件調查告一段落後盡快公布調查報告。 建議各政府單位協力外包廠商，應加強資安防護能力，避免政府所屬各種機密文件與人員相關資料遭竊。