不要错过 - 頁面 20

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA），日前發布 5 個影響工業控制系統的漏洞資安警訊，要求使用這些工業控制系統的生產單位，應立即依通報中的處理方式修補漏洞，以免遭到駭侵者利用這些漏洞發動攻擊。 第一個漏洞警訊指出的漏洞，存於 Inductive Automation Ignition 8.1.9 與 7.9.21 之前的較舊版本內，其漏洞 CVE 編號為 CVE-2022-1704，CVSS v3 漏洞危險程度評分為 8.5 分（滿分為 10 分）；該漏洞可導致駭侵者能夠存取系統內的檔案，造成機敏資訊外洩。 第二個漏洞警訊共含 4 個漏洞，其中有 3 個存於 Honeywell Safety Manager 所有版本內（CVE-2022-30315、CVE-2022-30313、CVE-2022-30316），另一個漏洞 CVE-2022-30314 存於 R160.1 前的較舊版本中，其 CVSS v3 漏洞危險程度評分為 7.7 分（滿分為 10 分）。這批漏洞可導致駭侵者能夠進行系統組態、操弄韌體，其至遠端執行任意程式碼。 第三個漏洞警訊共含 2 個漏洞，均存於 Honeywell Saia Burgess PG5 PCD 所有版本內，其 CVSS v3 漏洞危險程度評分為 7.6 分（滿分為 10 分）。這批漏洞可導致駭侵者跳過身分認證進行系統組態操弄。 第四個漏洞警訊共含 2 個漏洞，均存於 MOXA NPort 5110 版本 2.10 內，其 CVSS v3 漏洞危險程度評分為 8.2 分（滿分為 10 分）。這兩個漏洞可導致駭侵者變更記憶體內的數值，並且造成機器設備無法操作。 第五個漏洞警訊共含 3 個漏洞，均存於 Mitsubishi Electrics MELSEC 與 MELIPC 系列多個版本內，其 CVSS v3 漏洞危險程度評分為 7.5 分（滿分為 10 分）。這三個漏洞可導致駭侵者利用設備發動 DoS 攻擊，系統必須重新啟動才能修復。 建議採用上列工業控制系統的業者，應立即按照 CISA 在各該漏洞通報的處理建議進行必要處分，例如更新韌體版本或強化資安設定。

去中心化區塊鏈音樂平台 Audius，據傳於上周末遭到駭侵攻擊，導致 1,800 萬枚 AUDIO 代幣遭竊，換算成美元的損失高達 600 萬美元。 該平台於 7 月 24 日在 Twitter 上發表聲明，指出該公司已發現系統遭到不當存取；該公司暫時停止部分系統功能運作，以防駭侵者進一步攻擊。 該平台於隔日發表事件調查報告，指出駭侵者係利用其合約啟動模組中的一個漏洞發動攻擊，導致社群儲備資金有近 1,850 萬枚 AUDIO 代幣遭到竊走；此外駭侵者還試圖利用去中心化平台的投票機制，發動四個將所有社群儲備代幣轉帳至駭侵者錢包的投票，其中三個投票通過，一個未能通過。 Audius 平台是一個透過以太坊區塊鏈架設的串流音樂平台；音樂創作者在 Audius 平台上分享音樂時，可賺取 AUDIO 代幣；而用戶聆聽平台上的音樂或分享音樂，也可以賺取代幣。 駭侵者在竊得這批代幣後，隨即在去中心化交易所 UniSwap 中交易其竊得的代幣，將其交換為隱匿行蹤能力更佳的 Tornado Cash 代幣；但出售金額僅為 107 萬美元，其價值減損高達六分之五。 該公司表示，其系統於 2020 年 8 月與 2021 年 10 月兩度通過兩家不同區塊鏈資安公司的稽核，但沒有任何一家發現這次遭駭侵者利用的漏洞。 該公司目前系統已恢復運作，但代幣質押與委任的部分智慧合約功能仍在修復中，尚未開放使用。 由於這類加密貨幣平台漏洞，經常可能造成用戶的鉅額資金損失，建議加密貨幣投資人應避免將資產過度集中於單一平台或協定，且應妥善保管數位錢包的恢復短語。

資安廠商 Kaspersky 日前發現，搭載 Intel H81 晶片組的部分主機板產品，其 UEFI 的韌體程式碼中發現一個名為 CosmicStrand 的 rootkit 惡意軟體，且可追溯至 2016 年底。 UEFI（Unified Extensible Firmware Interface）是主機板韌體與作業系統的溝通橋樑，是電腦開啟電源時最先執行的程式碼；執行完此程式碼後，才會載入作業系統與後續的資安防護軟體，因此 UEFI 內的 rootkit 惡意軟體，不只開發難度高，也十分難以偵測移除。 這次由 Kaspersky 資安專家發現的 ComicStrand rootkit 惡意軟體，會修改作業系統載入程序，取得電腦控制權限，並在 Windows 核心中直接執行下載自駭侵控制伺服器的惡意酬載。 資安專家表示，ComicStrand 與另一家資安廠商奇虎 360 在 2017 年發現的另一個 rootkit 惡意軟體十分接近，可以視為該惡意軟體的變種；而 Kaspersky 也指出，發現 CosmicStrand rootkit 的主機板，同樣都採用 Intel H81 晶片組，因此可以推測駭侵者可能利用 Intel H81 晶片組內的一個漏洞，來進行 CosmicStrand 的開發與布署。 Kaspersky 目前發現含有此 rootkit 的主機板，均為 2013 至 2015 間生產的舊品，目前早已停產。 Kaspersky 說明，目前尚難以發現駭侵者是用什麼手法在主機板中注入 CosmicStrand rootkit，因為必須進行裝置實體操作，才能在韌體中注入惡意軟體；目前推測是駭侵者散布含有惡意程式碼的韌體更新程式，來進行 CosmicStrand 的散布。 建議進行任何軟硬體的系統更新時，切勿使用來路不明的更新工具；請務必自產品官方網站或內建更新機制進行更新，以免感染此類惡意軟體。 主機板製造廠商也建議： 1、客戶購買二手主機板，立即上網下載最新的官方 BIOS image 更新。若無法更新或提示型號不對，可送鄰近維修點辨認處理。 2、若需要硬體層級的保護，可採用具有 Intel Boot Guard 或 Intel Platform Firmware Resilience 功能的主機板，並啟動 UEFI Secure Boot 功能確保 trust chain，能抵擋 ROM 元件被更換或直接燒錄的攻擊。

資安廠商 Check Point 日前公布 2022 年第 2 季釣魚攻擊統計，在常被駭侵者冒名用於釣魚攻擊的全球各大品牌中，求職社群網站 LinkedIn 仍然如先前的統計一樣高居首位，且冒名比例遠高於其他品牌。 Check Point 的報告指出，和上一季的數字相比，雖然 LinkedIn 的冒名釣魚比例自 52% 下降到 45%，但仍然高居所有常遭冒名品牌的第一名。 其他在這次冒名榜上的大品牌，及其遭冒名的比例，分別為 Microsoft（13%）、DHL（12%）、Amazon（9%）、Apple（3%）、Adidas（2%）、Google（1%）、Netflix（1%）、Adobe（1%）、HSBC（1%）。 報告說，駭侵者最常冒名 LinkedIn 寄送給用戶的釣魚郵件，通常是假冒「你的檔案本周已有 100 人瀏覽」，或是「你有一封新的未讀訊息」之類的通知信件；而寄件者的 email address 通常看起來會很像 LinkedIn 官方的支援服務或資安團隊所發。 有些其他冒名 LinkedIn 的釣魚信，則會詐稱用戶獲得免費升級至 LinkedIn Pro 專業版，或是詐稱進行系統升級，甚至指稱用戶因違反使用條款而將遭停權，以誘使用戶點按信中的惡意連結。 用戶點按惡意連結後，即會被導入到釣魚網頁，誘使用戶輸入其 LinkedIn 的登入資訊；駭侵者再利用該登入資訊，來對受害者在 LinkedIn 上的同事或有價值的目標，發動進一步的駭侵攻擊。 建議收到疑似釣魚攻擊的不明郵件時，切勿點按信中的惡意連結或開啟不明檔案，應先確認寄件人 Email Address 的正確性，或是直接忽略該信件。

資安廠商 Avast 日前發表資安通報，指出該公司旗下的資安專家，日前發現一家惡意軟體公司 Candiru，利用 Google Chrome 一個 0-day 漏洞製作惡意軟體「DevilsTongue」，專門用以駭侵中東國家多名媒體記者與重要人士。 被 Candiru 公司用來製作 DevilsTongue 惡意軟體的 Google Chrome 0-day 漏洞，其 CVE 編號為 CVE-2022-2294，屬於 WebRTC 的 heap-base 暫存器溢位漏洞；駭侵者可誘使受害者前往特製的網站，誘發溢位錯誤後即可遠端執行任意程式碼。 該漏洞的 CVSS 漏洞危險程度分數為 8.8 分（滿分為 10 分），危險程度評級則為「高」（high）。 Avast 在報告中指出，雖然 Google 已於今（2022）年 7 月 4 日發布新版 Google Chrome 並修復本漏洞，但 Avast 發現有許多該公司的中東客戶遭到由 Candiru 開發的 DevilsTongue 透過此漏洞發動攻擊，進一步分析後發現攻擊對象有多數都位於黎巴嫩，其中有許多是新聞記者。 Avast 說，除了黎巴嫩外，Candiru 的攻擊對象還分布在土耳其、葉門、巴勒斯坦等地，攻擊對象十分集中，屬於一種水坑式釣魚攻擊。 報告說，駭侵者誘使列為攻擊目標的新聞從業人員進入其特製的惡意網站，導致其感染惡意軟體；接著開始竊取被害者的多種機敏資訊，包括語言、時區、螢幕資訊、裝置類型、瀏覽器外掛程式、推薦來源、裝置記憶體、cookie 功能等等。目前還不清楚駭侵者具體竊走哪些資料，但針對新聞記者的資安攻擊，目的多半是為了收集情報。 建議可能接觸機密情資的個人與單位，均應加強對各式釣魚攻擊的防範能力與意識，包括不任意點按不明連結，不任意開啟不明郵件夾檔，仔細檢視寄件人資訊等等，且應隨時升級至最新版本軟體與韌體，避免駭侵者利用未修補漏洞發動攻擊。 CVE編號：CVE-2022-2294 影響產品(版本)：Google Chrome 版本 103.0.5060.114 之前版本。 解決方案：升級至 Google Chrome 版本 103.0.5060.114 與後續版本。

資安媒體 Restore Privacy 日前發布新聞，指出資安專家發現有駭侵者在駭侵相關論壇上出售 540 萬 Twiiter 用戶的個資；該批個資係透過 Twitter Android App 中的一個漏洞取得。 據 Restore Privavy 指出，駭侵者很可能是利用 Twitter Android App 中的一個漏洞來取得這些個資。該漏洞可讓任何人在不需任何驗證的情形下，只要提供電話號碼或 Email 信箱，即可取得用戶的 Twitter ID，這相當於取得該用戶的登入名稱。 有了這個 Twitter ID 後，駭侵者就可以取得用戶在其個人檔案中輸入的各種資訊，並且利用這些資訊，進一步取得更詳細的個資，並在駭侵相關論壇上出售這批資訊，要價 3 萬美元。 Twitter 官方尚未證實這起資安事件，但資安媒體根據部分流出的資訊進行驗證，發現這些個資屬實的可能性相當高。 資安專家指出，駭侵者除了可以出售這批個資牟利之外，還可以進一步利用這些個資，發動進一步的攻擊，例如釣魚攻擊等等。 雖然該漏洞已在今（2022）年 1 月 13 日就獲得修復，但資安媒體與試圖出售資料的駭侵者聯絡時，駭侵者表示資料是於去（2021）年開始收集的。 由於這類可歸因於社群平台或服務商的漏洞，用戶比較難以防範，因此用戶應避免在社群平台上公開個人或服務機構相關的機敏資訊（如真實姓名、 Email 地址、電話號碼、重要證件編號、居住地址、所在地等），以避免駭侵者以類似手法竊得個資。

資安廠商 SEKOIA 日前指出，一波稱為 Roaming Mantis 的大規模攻擊行動，正在多個國家進行中；現在更針對兩大平台行動裝置用戶發動惡意軟體植入與釣魚攻擊，意在騙取用戶的金融資產。 SEKOIA 指出，Roaming Mantis 的攻擊行動，過去曾在德國、台灣、南韓、日本、美國、英國等地大肆發動攻擊，現階段則是重點集中在攻擊法國境內的行動裝置用戶。 SEKOIA 說，該公司是在今（2022）年 2 月份開始觀測到 Roaming Mantis 於歐洲的駭侵攻擊活動；近來該攻擊的形態則是以詐騙簡訊進行。如果 Android 用戶誤點簡訊中的惡意連結，就會將惡意軟體下載到裝置內；如果是 iOS 用戶點按惡意連結，則會被導向到一個釣魚網頁，誘使用戶輸入其 Apple 帳號登入資訊。 SEKOIA 在報告中分析，安裝在 Android 手機中的軟意軟體稱為  XLoader (MoqHao) 酬載，功能非常強大，能夠進行諸如遠端遙控、資訊竊取、發送垃圾簡訊等操作。 目前針對法國用戶發送的垃圾簡訊，其內容是詐稱有貨物包裹即將寄達受害者，需要受害者點按連結，以進行進一步的確認並指定送達地點。法國境內用戶會因其使用的手機平台，而有上述的不同攻擊方式，而法國境外的用戶，只會看到 404 錯誤頁面。 SEKOIA 的觀測報告指出，在 Roaming Mantis 這波針對法國用戶的攻擊中，已觀測到高達 7 萬個不重覆 IP 存取駭侵者設立的控制伺服器，並發出 XLoader 惡意軟體下載要求；iOS 的釣魚頁面存取數量不明，但想必會比 Andoird 更多。 建議行動裝置用戶收到不明簡訊時，切勿點擊內含連結，應直接將該不明簡訊設定為垃圾內容；如不慎誤點連結，也不要下載安裝任何軟體，或輪入任何登入資訊。

資安廠商 ZScaler 旗下的研究單位 ThreatLabz，日前發表研究報告，指出 Google Play Store 中發現 3 種不同的 Android 惡意軟體，藏身於多個 Android App 之中，總下載次數達 30 萬次以上。用戶若不慎下載安裝這些軟體，就會遭惡意軟體各種不同形態的攻擊。 第一種惡意軟體稱為「Joker」，用戶一旦感染這種惡意軟體，Joker 即會竊取用戶 Android 裝置內的多種資訊，包括簡訊內容、通訊錄中的聯絡人資訊，還會擅自訂購多種高價服務，造成用戶行動帳單費用暴增。 已知 Joker 藏身於多達 50 個 Google Play Store 中上架的 App 內，其中有一半以上是通訊軟體；由於這類 App 需要用戶給予較多存取權限（例如麥克風、攝影機、相簿、通訊錄、電話撥打、簡訊讀寫與傳輸等），因此往往是惡意軟體藏身的首選。 第二種惡意軟體稱為「Facestealer」，顧名思義，該惡意軟體專以釣魚網頁竊取用戶的 Facebook 登入資訊。 資安專家指出，Facestealer 藏身於一個叫做 Valina Snap Camera 的拍照 App 中，下載次數約有 5,000 次。 第三種惡意軟體名為「Coper」，也是一種資訊竊取惡意軟體，除了會攔截用戶的簡訊內容外，也會竊取鍵盤輸入字元、透過畫面覆疊誘使用戶輸入機敏資訊、發送惡意簡訊，並將攔截到的內容傳回駭侵者設立的控制伺服器。 ZScaler 指出有一個叫做 Unicc QR Scanner 的 App 內含 Coper 惡意軟體，感染裝置約在 1,000 台左右。 建議用戶即使透過官方的 App 商店下載安裝手機軟體，也應提高警覺，於下載前仔細檢閱說明與用戶評價；如果 App 出現可疑行為，如要求輸入各種登入資訊，或要求過多權限，也應立即停用並移除。

資安廠商 Dragos 旗下的資安專家，近日發現有駭侵者在網路上販售可破解多個廠牌工業控制設備（Industrial Control System, ICS）中「可程式化邏輯控制器」（Programmable Logic Controller, PLC）登入密碼的軟體，受影響產品的製造商遍及歐美日韓各大廠牌，嚴重影響各種工業設備的安全。 據報告指出，駭侵者在其社群媒體帳號中宣稱，能夠破解各大廠牌 PLC 與人機介面（Human-machine Interface, HMI）的登入密碼，受影響的廠牌包括 Automation Direct、Omron、Siemens、Fuji Electric、Mitsubishi、LG、Pro-Face、Allen、Bradley、Weintek、ABB、Panasonic 等。 據 Dragos 指出，該公司是在研究分析發生於 Autoation Direct 生產的 DirectLogic PLC 相關資安事件時，發現了有破解軟體可利用該裝置的一個已知漏洞，來取得登入密碼。 Dragos 同時指出，該破解軟體也會試圖安裝一個名為 Sality 的惡意軟體，可在使用者的電腦中建立一個同儕僵屍網路，用以發動後續的各種駭侵攻擊。 資安專家說，Sality 是一個頗有歷史的老舊惡意軟體，除了可以下載額外酬載、竊取宿主電腦內的資訊外，也能透過 Windows 網路、外接式儲存裝置等來進行散布，以發動各式不同的駭侵攻擊。 Dragos 表示，如果工業製造廠的工程師，為了快速找出 PLC 的登入密碼，而濫用這類破解工具，就很可能造成整個工業製造系統的資安危機。 建議各製造業者應嚴令禁止使用這類來路不明的密碼破解工具，如需取回密碼，應依正規管道尋求原廠支援；製造業者對工業系統的資安防護能力亦應加強，當有人員便宜行事，導致惡意軟體入侵時，才能予以偵測防範。

全球熱門 NFT 遊戲平台 Axie Infinity，曾於今（2022）年三月時發生損失高達 5.4 億美元的駭侵事件；日前一家名為 The Block 的區塊鏈專業媒體發表調查報告，指出該起攻擊事件係由 APT 組織 Lazarus 成員應徵該平台資深工程師職務，混入平台後進而竊得重要金鑰所致。 Axie Infinity 是目前全球熱門的 NFT 遊戲平台之一，主打「邊玩邊賺」模式，玩家只要在平台內購買以 NFT 型式販售的虛擬寵物和道具，即可透過對戰和寵物養成買賣來賺取利潤。最熱門時每日活躍用戶高達 270 萬人，每周交易額高達 2.14 億美元；甚至在菲律賓等東南亞國家，更有許多人靠替玩家代練虛擬寵物維生。 The Block 在近日推出的調查報告中說，該平台遭駭是因為 APT 團體成員，以空頭公司透過求職求才社群平台 LinkedIn，對 Axie Infinity 內部資深工程師進行高薪挖角，並發給獲得「錄取」的 Axie Infinity 工程師一個含有惡意程式碼的 PDF 檔做為錄取通知書，藉以駭入 Axie Infinity 使用的以太坊區塊鏈側鏈 Ronin 的系統內。 該報告指出，Lazarus 的駭侵者在成功入侵 Ronin 的系統後，很快就在 3 月 23 日取得了在 Ronin 上負責驗證交易的 9 個驗證者中的其中 5 個，因而可以控制交易驗證。資安專家表示，Axie Infinity 的區塊鏈交易問題不只是出在驗證者數量過少，更是因為這些驗證者都集中在一處，不夠分散，因此才會讓駭侵者一次掌握過半的驗證者，可以任意操作交易結果。 在 3 月發生的該起駭侵攻擊中，Lazarus 共取得高達 173,600 枚以太幣，以及 2,550 萬枚 USDC 穩定幣，以當時幣價來看，相當於 5.4 億美元，是一次十分成功的魚叉式釣魚攻擊。 鑑於駭侵者用以植入惡意軟體的手段愈見多元，建議掌握大量金流或用戶個資的公私單位，都必須加強釣魚攻擊的對抗能力，並且嚴格要求工作者禁止利用工作用電腦存取私人資源。