不要错过 - 頁面 20

澳洲聯邦警察局（Australian Federal Police, AFP）負責偵辦中美洲毒品販運的部分秘密探員身分，日前因為哥倫比亞政府機密文件遭竊，因而遭到曝光。 哥倫比亞政府相關機密文件，是在日前遭到中美洲跨國激進運動團體 Guacamaya 聯合駭侵者針對中美洲各國政府發動的駭侵攻擊行動中被竊；當時哥國政府有多達 5TB 的機密資訊遭到竊取。該團體宣稱其目的是為了對抗中美洲各國政權的貪腐與鎮壓，因而發動駭侵行動。 與澳洲警方相關的被竊資料內，包括往來 email 內容、各種文件，以及澳洲警方針對中美洲販毒集團在澳洲境內販售毒品的相關追查偵辦過程等重要機敏資訊。 目前已知遭到曝光的資料，內含 35 個 AFP 的打擊罪犯行動，其中一些專案現在仍在執行中；資料還包括秘密探員針對目標對象的監視報告與通聯監聽錄音檔案，以及哥倫比亞警官的薪資等。 AFP 對外證實了資料遭竊一事，同時指出「AFP 十分關切這次資料外洩事件對各專案執行造成的影響；AFP 也正在與受影響區域月的夥伴共同合作，以對應任何對相關人身安全與調查工作造成的潛在威脅。」 除了澳洲之外，還有多國警方也和哥倫比亞政府合作，打擊中美洲的跨國毒品販運集團；因此在這次駭侵攻擊行動中，可能也會有其他國家執法人員和執法行動的相關資訊遭到曝光。 建議各政府單位應加強資安防護能力與軟硬體設定，並且落實人員的資安訓練，避免各種機敏資訊遭外洩。

資安廠商 WithSecure 旗下的資安專家，近日發現一波名為「Ducktail」的釣魚攻擊活動，利用全新出現、以 PHP 撰寫的 Windows 資料竊取惡意軟體，用來竊取受害者的 Facebook 帳號、瀏覽器資料、加密貨幣錢包等機密資訊。 WithSecure 指出，該公司於 2022 年 7 月起觀察到 Ducktail 的攻擊活動；該攻擊主要是在 LinkedIn 求職求才社群平台上，透過社交工程將含有 .NET Core 惡意程式碼的行銷計畫 PDF 檔傳遞給受害者。 一旦受害者開啟該 PDF 並執行惡意程式碼後，存於電腦的瀏覽器資訊就會被傳送到一個 Telegram 私密頻道，駭侵者利用這個私密頻道作為其控制伺服器；駭侵者主要鎖定其中的 Facebook Business 帳號資料，取得資料後即用於進行進一步的金融詐騙或惡意廣告。 另一家資安廠商 ZScaler 則指出，他們觀察到 Ducktail 近期也開始利用 PHP 程式碼的惡意軟體，偽裝為遊戲相關檔案、字幕檔、成人影片等，誘使用戶下載；用戶執行該惡意程式碼後，其電腦的 Microsoft Office 應用程式就會遭到攻擊。用戶會看到假的「檢查應用程式相容性」彈跳視窗，實則正在安裝駭侵者推送的各種惡意軟體。 該惡意軟體執行後，會每日一次在背景中竊取用戶的各種 Facebook 帳號詳細資訊、瀏覽器 Cookie 及其他資料、加密貨幣錢包與帳號資訊，以及各種系統資訊。 鑑於各種釣魚攻擊日益頻繁，建議用戶如在社群平台接獲他人傳送的檔案，務必確認該名傳送者的真實身分，切勿開啟身分不明人士傳送的任何檔案或連結。

資安廠商 Kaspersky 日前發表研究報告，指出該公司的研究人員，近日發現一個名為 YoWhatsApp 的 Android 非官方 WhatsApp 通訊軟體，內藏惡意程式碼，能夠存取用戶的 WhatsApp 金鑰，藉以竊取用戶的帳號控制權限。 Kaspersky 旗下的資安研究人員，從去年開始追查隱藏在修改版 WhatsApp 的 Triada 特洛依木馬；最近則發現了這個 YoWhatsApp。 YoWhatsApp 是一個第三方開發的通訊軟體，相容於 WhatsApp，但比原版的 WhatsApp 多了一些用戶會喜歡的功能，例如自訂聊天界面、強化的通話阻擋功能等等；YoWhatsApp 也透過其他熱門 Android 應用程式內的廣告來進行廣告宣傳，因此相當受到歡迎。   Kaspersky 的資安研究人員在報告中指出，YoWhatsApp 會擅自將用戶的 WhatsApp 存取金鑰傳送到開發者設立的遠端伺服器；雖然目前還沒有發現有駭侵者利用這些竊取而來的金鑰發動任何攻擊，但理論上擁有用戶的 WhatsApp 存取金鑰，即可控制用戶的 WhatsApp 帳號，並且取得用戶的通訊內容，或是假冒為用戶本人和其他人進行通訊。 Kaspersky 還發現，有一個和 YoWhatApp 完全相同的複製品，以「WhatsApp Plus」之名，利用多種廣告平台自我推銷，試圖獲得更多用戶安裝使用。 此外，WhatsApp 的開發公司 Meta，本月也控告多家行動軟體公司；這些公司推出多種號稱相容於 WhatsApp，但也會竊取用戶的 WhatsApp 控制權。 建議用戶如有使用各種行動應用程式的需求，務必從正常管道下載官方版本應用程式，避免在其他地方下載非官方的應用程式或破解版，以免遭到駭侵者竊取帳號權限或各種機敏資訊。  

全球交易量最大的加密貨幣交易所 Binance（幣安），日前承認遭到重大駭侵攻擊；駭侵者自其跨鏈橋接（cross-chain bridge）服務 Binance Smart Chain Token Hub 中竊走高達 5.66 億美元等值加密貨幣，目前 Binance 已暫停 Binance Smart Chain 的運作，以調查遭駭事件。 Binance 創辦人趙長鵬在事件發生後，於 Twitter 推文表示，Binance 的 cross-chain bridge 運作中樞 Binance Smart Chain Token Hub 遭到攻擊，駭侵者憑空創造出原本不存在的 BNB 加密貨幣。 Binance 宣布目前已暫停整個 Binance Smart Chain 的運作，用戶無法進行資金存提；Bianace 也要求交易驗證者暫停進行驗證，以進行駭侵事件的調查與處理；Binance 也表示用戶的資金安全無虞。 區塊鏈觀察網站發現疑似駭侵者持有的錢包位址，在 10 月 6 日有兩筆各 100 萬枚 BNB 代幣轉入該錢包位址，接著駭侵者便開始把竊得的 BNB 代幣匯入多個流動性資金池，將 BNB 代幣交換成包括以太幣、Polygon、Fantom、Avalanche、Arbitrum、Optimism 等其他多種加密貨幣，洗錢的意圖十分明顯。 Binance 也表示，目前絕大部分被竊資金仍然留在 Binance Smart Chain 之上，由於 BSC 已暫停運作，因此駭侵者也無法動用竊得的資金；不過 Binance 估計約有 7 千萬到 8 千萬美元的資金已經從該區塊鏈上轉出。 Binance 也說，正在和其他區塊鏈的營運者合作查緝被竊資金，目前有約 7 百萬美元不在 Binance Smart Chain 上的資金遭到凍結。 由於各種連線的熱錢包或智慧合約，經常遭到駭侵攻擊，造成用戶資金損失，用戶如因投資或其他原因，需將資金放在連網存放處，應避免將大筆資金存放在單一熱錢包或智慧合約，應盡可能分散在不同的熱錢包、區塊鏈、流動性池等，以分散風險，降低潛在損失。

義大利著名超級跑車製造大廠法拉利（Ferrari）傳出遭駭事件，一個名為 RansomEXX 的勒贖駭侵團體，日前在暗網上宣稱該團體成功駭入法拉利的內部系統，公開了高達 7 GB 以上的內部文件。 據報導，在網路上被公開的法拉利內部文件，包括各種資料表格、維修零組件相關資料等等。目前無法得知勒贖團體是否已要求法拉利交付贖金以取回被竊檔案。 目前法拉利已對外公開證實這次駭侵攻擊事件，但僅表示有部分內部文件遭到公開放網路上；該公司也對外指出，目前並無證據顯示該公司的內部系統遭到入侵或勒贖攻擊，其生產活動與事業經營也一切正常，並未受阻。該公司目前正在針對這起駭侵事件進行調查，以了解其發生原因。 本次攻擊事件是法拉利在今年第二度遭到駭侵攻擊，而且就發生在該公司宣布與資安防護廠商 Bitdefender 合作的一星期之後。 法拉利在今年 5 月時亦曾遭到駭侵攻擊。當時法拉利宣布與瑞士區塊鏈廠商 Belas Network 合作，針對旗下 F1 車隊支持者發行 NFT（Non-Fungible Token，非同質性貨幣），供支持者購買收藏，或當作數位周邊商品；隨即該公司所屬的一個子網域就遭到駭侵者挾持，用來架設 NFT 詐騙網站長達數月之久。 鑑於針對全球知名品牌廠商進行的勒贖攻擊有愈演愈烈的趨勢，甚至同一廠商很可能被相同或不同的駭侵團體連續發動勒贖攻擊，造成機密與商譽的損失，因此這類廠商必須特別提高警覺，加強有形與無形的資安防護能力。

macOS 系統管理軟體廠商 Jamf 旗下的資安團隊研究人員，日前發現 macOS 內的 Archive 公用程式內含一個漏洞 CVE-2022-32910，可導致特製的未簽署、未授權應用程式可於 macOS 系統執行，且不會跳出應有的警示訊息通知用戶。Apple 已在日前推出的作業系統更新中修復此漏洞。 Jamf 在發表的漏洞研究報告中指出，在今（2022）年年初，該公司發現 Safari 瀏覽器的漏洞 CVE-2022-22616，可利用特製的 Zip 壓縮檔，跳過 macOS 系統的 GateKeeper 檢查，這樣即可在用戶不知情的情形下，執行 Zip 檔中的惡意軟體。 Jamf 在通報該漏洞給 Apple 並獲得修復後，開始研究 macOS 內是否有類似可透過壓縮檔來跳過系統資安查核過程的類似漏洞，果然發現系統內建的壓縮／解壓縮工具程式 Archive 也具有類似漏洞，駭侵者可以使用特製的壓縮檔，內含一個具有 .app 副檔名的多個檔案，具要有多個檔案路徑設定為目標目錄的根目錄，這樣 Archive 公用程式就會略過 .app 副檔名檔案的 GateKeeper 檢查程序。 Jamf 在發現此漏洞後，立即於今年 5 月 31 日向 Apple 通報；而 Apple 於 7 月 20 日推出的 macOS Monterey 12.5 與其他舊版 macOS 更新中，修復了這個問題。 建議使用者應密切注意所使用電腦作業系統的更新消息，當有資安更新推出時，應立即套用更新，以免遭到駭侵者利用這類已公開的漏洞來發動攻擊，造成系統尚未更新用戶的潛在資安風險。 CVE編號：CVE-2022-32910 影響產品(版本)：macOS Monterey 12.5 之前版本。 解決方案：升級至 macOS Monterey 12.5 或以上版本。

Linux 近期發行的 kernel 新版本 5.19.12，遭用戶發現含有一個顯示方面的錯誤，會造成使用 Intel 圖形處理器晶片（Graphics Processing Unit, GPU) 的筆記型電腦液晶顯示器不斷閃爍或出現閃動白色畫面；不僅造成用戶困擾，影響正常作業，也可能造成顯示面板永久損壞。 Intel 旗下的 Linux kernel 工程人員 Ville Syrjäl 在分析這個問題後，指出是 Linux kernel 內部處理顯示面板電源序列組件的錯誤，導致面板發生不正常閃爍問題；他呼籲有此問題的 Intel 顯示晶片筆記型電腦用戶，盡快將使用的 Linux kernel 版本退回到前一版本，以避免筆記型電腦的液晶顯示器受到損壞。 另一方面，Linux kernel stable branch 的維護者，也在日前緊急釋出 kernel 版本 5.9.13，解決了各發行版本使用 5.9.12 核心可能造成的問題；維護者也指出，5.9.12 核心的使用者如果未曾發生任何顯示問題，無需升級到 5.9.13。 而使用者相當多，基於 Arch 的 Majaro 發行版也表示，他們將會把 kernel 從版本 5.19.7 直接升級到 5.19.13，以避免其 Intel GPU 用戶發生顯示問題。 不過由於 Linux 的發行版本眾多，預期未來可能仍有不少用戶會在不知情的情形下，升級到有此顯示問題的 kernel 版本。 建議 Intel GPU 筆記型電腦用戶在升級 Linux 發行版本前，務必事先確認該發行版本的 kernel 版本不是 5.9.12；已有此問題的 Intel GPU 筆電用戶，也要避免讓顯示器長久處於閃爍狀態，以免不正常顯示過久，造成面板永久損壞。

Microsoft Exchange Server 日前被發現的 2 個 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，雖然很快就由官方發布暫時解決方案，但資安專家在數日內就發現這個解決方案並不足以防止駭侵者利用該兩漏洞發動攻擊。 越南資安廠商 GTSC 旗下的資安專家，在約三星期前發現這兩個 Microsoft Exchange Server 的 0-day 漏洞 CVE-2022-41040、CVE-2022-41082，其中 CVE-2022-41040 這個漏洞可讓獲得登入權限的駭侵者遠端誘發 CVE-2022-41082 漏洞，並利用後者遠端執行任意程式碼。 這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.8 分，危險程度評級為「高」(High) 等級。據 Microsoft 日前發布的資安通報，該公司已知這兩個 0-day 漏洞已遭駭侵者發動範圍有限的駭侵攻擊行動。 在 Microsoft 公布的資安通報中，雖然也提供了暫時的漏洞解決方案，要求系統管理員在 IIS Manager 中新增規則，不讓不具有管理權限的用戶遠端存取 PowerShell，但資安專家指出這個暫時解決方案只能夠阻擋已知的攻擊 URL，對於來自未知或新來源的相關攻擊是不具備防護能力的。 資安專家也指出，這種防禦方式只適用於部署在組織內部的 Microsoft Exchange Server，但有許多單位採用的是內部伺服器加上雲端主機的混合式架構，據統計有超過 1,200 個單位將這類混合式架構曝露於於外部網路；這類單位就很容易成為駭侵者的攻擊目標。 建議系統管理員應針對內部部署與雲端的 Microsoft Exchange Server 加強管理，勿授與任何不必要的帳號過大權限，特別是如 PowerShell 這類強力系統工具的權限，也應隨時注意 Microsoft 推出的最新修補工具並立即修補漏洞。 CVE編號：CVE-2022-41040、CVE-2022-41082 影響產品(版本)：Microsoft Exchange Server 各版本。

資安廠商 Sysdig 近期發表研究報告指出，分析近期各種挖礦惡意攻擊後得到結論：駭侵者竊取受害者的雲端運算資源來挖礦時，每竊得 1 美元的等值加密貨幣，會消耗高達 53 美元的運算資源。 報告指出，許多以挖礦為目的的駭侵攻擊，例如惡名昭彰的 TeamTNT 等，會設法駭入各公私單位使用的雲端運算服務，例如 Docker Hubs、Amazon Web Services、Redis、Kuberates 布署等等，並且使用植入了 XMRig 惡意挖礦軟體的作業系統映像檔，來執行需要消耗大量 CPU 運算資源的 Monero（XMR）加密貨幣挖礦程式。 XMR 是一種如同比特幣一樣，採用工作量證明（Proof of Work）共識機制，需要大量算力來進行挖礦才能獲得的加密貨幣，由於本身具有十分強大的隱蔽性，他人難以追蹤 XMR 的獲取、轉帳過程，也難以定位持有人，因此很受駭侵者的青睞。 Sysdig 分析近期 TeamTNT 使用超過 10,000 個 endpoint 進行的駭侵挖礦攻擊活動「Chimaera」後，追蹤到 10 個用於攻擊活動的錢包 ID，取得這些錢包 ID 挖礦獲得的 XMR 枚數與等值金額，並據以估算受害者遭到消耗的系統資源價值；結論是這 10 個錢包一共挖到 39 枚 XMR 代幣，等於 8,120 美元，但消耗掉的系統計算資源卻高達 429,000 美元；相當於每挖到一枚 XMR 代幣，受害者被竊取用來挖礦的系統資源費用就高達 11,000 美元。 Sysdig 表示，上面的計算尚未計入其他額外損失，包括系統硬體因為長時間進行大量運算造成的耗損，以及系統服務因受挖礦活動影響，造成效能下降影響服務品質帶來的損失等等。 建議租用雲端服務的系統管理員，應經常檢查租用物件是否出現不正常的運算負荷，並加強雲端主機或容器的資安防護能力，以免因為遭到盜用而造成鉅額帳單費用。

德國聯邦刑事局（Bundeskriminalamt, BKA）日前發布公告，指出該局成功破獲一個駭侵犯罪集團，逮捕三名嫌犯；這三名駭侵者遭控透過大規模釣魚攻擊，成功竊得 400 萬歐元不法所得。 德國警方表示，其中一名嫌犯是 24 歲德國公民，已遭逮捕並且起訴；另一名 40 歲嫌犯被控犯下 124 項電腦詐欺罪名。第三個嫌犯的犯行目前仍在調查階段。 德國警方指出，三名駭侵者的釣魚攻擊行動自 2020 年 10 月 3 日開始，於 2021 年 5 月 29 日結束；其釣魚攻擊的手法是向大量受害者寄發假冒德國各銀行的釣魚信件，偽稱由於銀行變更其安全系統設定，可能影響到受害者銀行帳戶的使用狀態，如果用戶需要繼續使用該銀行的服務，就必須再次登入自己的網路銀行。 駭侵者製作的詐騙信十分逼真，多數人難以分辨真偽；被導到釣魚網頁的受害者，會被要求輸入自己的網路銀行登入資訊，以及單次有效的交易驗證碼；駭侵者取得這些資訊，隨即藉以登入受害者的帳戶，並將其中的資金盜領一空。 德國警方也表示，三名駭侵者係自暗網上購買各種駭侵工具服務，利用這些工具來大量發送釣魚攻擊郵件；這波攻擊甚至造成相關銀行的網頁、伺服器與內網遭到大量自動化查詢需求連線，造成正常服務受阻。 鑑於這類假冒金融機構釣魚攻擊日益猖獗，一般用戶如果收到類似要求進行再次登入或索取驗證碼的郵件，絕對不可輕易點擊其中連結；可以用瀏覽器開啟搜尋引擎，進入銀行真正的官方網站登入，並檢視是否有任何郵件中宣稱的警告訊息出現。