不要错过 - 頁面 21

資安廠商 Mend 旗下的資安專家，日前發現由許多加密貨幣交易所採用的部分 npm 軟體套件，近日遭駭侵者植入可用於資訊竊取的惡意程式碼。 這些遭植入惡意程式碼的 npm 套件，經查係由 dYdX 交易所的員工所上傳；dYdX 是一個架構在以太坊區塊鏈上的去中心化加密貨幣交易所（Decentralized Exchange, DEX），提供包括比特幣與以太幣等 35 種以上熱門加密貨幣的永續合約交易，每日交易量超過 10 億美元。 資安專家指出，目前確定含有惡意程式碼的 npm 軟體套件有 @dydxprotocol/solo 0.41.1、0.41.2 和 @dydxprotocol/perpetual 1.2.2、1.2.3 等。另外稍早時候證實亦遭植入惡意軟體的 @didxprotocol/node-server-base-dev，目前則已下架。 資安專家指出，在 Github 中至少有 44 個專案使用了 @dydxprotocol/solo 套件，而這些專案則分屬多個加密貨幣交易平台所有。因此可以想見有多家加密貨幣交易平台，可能使用了這些內含惡意軟體的程式碼套件來進行開發。 分析指出，植入的惡意程式碼，一旦安裝到受害電腦上，即會自受害者在 Amazon AWS instance 上竊取 IAM 登入資訊，以及用戶在 Github 上的 token、SSH key、環境變數與對外 IP 等資訊。 dYdX 在收到其上傳程式碼內含惡意軟體的通報後，對外表示已立即自 npm 中移除多個程式套件，並表示該平台的網站、App 均未遭到攻擊，該平台資金安全無虞，且該惡意軟體不會攻擊其智慧合約。 由於這類在公開的開源程式套件庫中植入惡意軟體的供應鏈攻擊案件，近來發生次數日益增加，因此程式開發者在採用這類程式庫時，務必提高警覺，並做好對應防範措施，以免遭到攻擊。

資安廠商 HUMAN 旗下的資安情報團隊 Satori Threat Intelligence team，日前在兩大行動作業系統 Android 與 iOS 的官方應用程式商店 Google Play 與 App Store 中，發現多支廣告惡意軟體，總下載次數高達 1,300 萬次。 這類廣告惡意軟體通常會常駐在用戶手機中，在幕後或幕前顯示大量廣告，甚至會製造假點擊，以詐騙手法賺取廣告分潤。有些還會在用戶不知情的情形下，冒用用戶名義訂閱高價服務或軟體，讓用戶蒙受相當損失。 據該團隊報告指出，這次發現的廣告惡意軟體，有一部分屬於一波名為「Scylla」的全新詐騙廣告攻擊活動；該團隊也認為「Scylla」是同一駭侵團體發動的第三波詐騙廣告攻擊，之前的兩波分別為 2019 年 8 月的「Poseidon」與 2020 年底的「Charybdis」。 報告說，這次在兩大平台上發現的廣告軟體，軟體所屬分類以手機遊戲為主；在 iOS App Store 中共有 10 個，包括 Loot the Castle、Run Bridge、Shinning Gun、Racing Legend 3D、Rope Runner、WOod Sculptor、Fire-Wall、Ninja Critical Hit、Tony Runs 等。   在 Android Google Play Store 中則有多達 75 個惡意軟體，其中下載量超過 100 萬次者如下：Super Hero - Save the World!、Spot10 Differences、Find 5 Differneces、Dinosaur Legend、One LIne Drawing、Shoot Master、Talent Trap - NEW 等。 由於這些惡意 App 都存於官方 App Store，因此不易防範；用戶在下載前應仔細檢視 App 相關評價與評論，如有異常，應避免下載安裝。

資安廠商 SecureLink 日前發表調查報告指出，製造業在管理其連網工業製造控制系統上，面臨重大資安風險；其中有高達 68% 廠商表示，對於其製造系統內外相關帳號的存取權限無法完全掌控。 報告指出，製造業在邁向數位轉型與工業 4.0 的過程中，導入多種智慧與數位技術，以控制生產流程，提高生產效率；然而這些新導入的相關系統，如營運科技（Operational technology, OT）、工業控制系統（Industrial control systems, ICS）和可程式化邏輯控制器（Programmable logic controller, PLC）等系統，原本並非設計為與外部網路互連。許多製造業者為求便利，讓這些系統可對外連線時，未能同步加強其資安防護能力，就帶來諸多威脅。 調查也指出，超過 50% 製造業者自陳未能加強其製造系統資安防護的原因有三，一是無法完全掌握、監控內外所有相關帳號的連線與其權限，二是治理方面的缺失，三是缺乏應對相關資安風險的處理能力。 調查報告也揭露，有高達 42% 製造業者並未針對第三方對其工業系統的連線工作階段進行任何監控，甚至未對第三方可進行的連線與存取權限加以限制，直接視同內部員工的連線存取，因而給予過多不必要的存取權限與資源。 報告也顯示製造業者對於帳號管理過於鬆散的事實，有 41% 業者沒有移除無需再次連線的帳號，也沒有控管登入資訊共享的情形；這導致駭侵者可以輕易利用各種方法取得登入資訊，進而駭入公司內網與其工控系統。 建議製造業應大幅加強工控系統的資安層級，除避免工控系統直接曝露於外網之外，更應仔細盤點各種不同層級連線者的存取權限，予以嚴格限制；且應即時清除無需再次連線的帳號。

資安廠商 Sentinel One 近日發表調查報告，指出該公司的資安研究團隊，發現 APT 駭侵團體 Lazarus，近日透過假冒 Crypto.com 的多個工作機會，對應徵的加密貨幣相關開發者投放含有惡意軟體的 macOS 檔案。 Crypto.com 是全球知名的大型加密貨幣企業，除了提供加密貨幣交易外，也提供 NFT、質押賺息、DeFi 服務等多項功能；該公司大手筆買下洛杉磯 Staple Center 球場冠名權，同時贊助多項運動比賽，因此成為駭侵者假冒的對象。 Lazurus 過去就曾有假冒加密貨幣業者在 LinkedIn 上「徵才」，然後以私訊傳送惡意軟體，用以駭入加密貨幣相關從業人員電腦的記錄。這次 Sentinel One 發現的攻擊活動，可謂故技重施；駭侵者透過 LinkedIn 私訊傳送一份 26 頁的 PDF 檔給應徵的加密貨幣開發者，檔案內容看似為 Crypto.com 的所有職缺說明，但內藏一個可在 macOS 執行的惡意軟體 Mach-O 二進位檔，接著進一步安裝酬載，並連接到駭侵者設立的控制伺服器。 由於在 Sentinel One 調查期間，Lazarus 已經關閉其控制伺服器，因此暫時未能查明會有哪些資料遭竊；不過 Lazarus 長期以來都鎖定加密貨幣相關業者與從業人員進行攻擊，過去也曾成功竊取受害公司與個人的加密貨幣資產。 建議加密貨幣相關工作者在求職轉職時，務必確認自己看到的職缺與聯絡窗口的真偽，對於對方寄送來的相關檔案也應小心謹慎，勿隨意開啟；各加密貨幣業者也應經常巡查 LinkedIn 等求職平台，檢視是否有不明帳號冒充官方帳號進行不法活動，如有則應立即檢舉。

資安廠商 ESET 旗下的資安研究人員，近期發現一種新出現的 SideWalk Linux 版後門惡意軟體；該後門和駭侵團體 SparklingGoblin 與 APT41 關係密切，用以攻擊學術研究單位。 ESET 在報告中指出，新發現的 SideWalk 後門 Linux 版本，過去原本是針對 Windows 電腦而開發的 Windows 版本，原先於 2020 年由資安廠商奇虎 360 旗下的資安研究單位 360 Netlab 發現，後來其他資安廠商陸續發現，該惡意後門軟體被 APT41/SparklingGoblin 駭侵團體於 2020 年 5 月，用以攻擊香港某一所大學的研究單位。 在 ESET 的報告中指出，這次發現的 SideWalk Linux 版本與 Windows 版本的 SideWalk 可謂系出同源，程式碼與架構有許多極為相似之處；包括兩個版本都使用 ChaCha20 加密演算法，且同時使用一個初始值為 0x0B 的計數器，而這是 SideWalk 的一個特徵。 另外 ESET 也發現 Linux 版的 SideWalk 後門軟體，和 Windows 的版本使用相同的密鑰，對送往控制伺服器的所竊得資料進行加密傳送。這也間接證實兩者間的密切關係。 ESET 指出，SparklingGoblin 近期使用 SideWalk Linux 版攻擊的對象，是當時在 2020 年入侵的同一所大學；該團體成功入侵該校多台伺服器，包括一台印表機伺服器、一台 Email 伺服器，以及一台用來管理學生行事曆與選修課程的伺服器。 由於這類由國家支持的 APT 駭侵團體，其駭侵技術十分先進成熟，因此各個可能成為其潛在攻擊目標的單位，都必須嚴加防範，徹底加強資安防護能力與意識。

Microsoft...

Microsoft 於近日推出 2022 年 9 月的 Patch Tuesday 每月例行更新修補包，一共修復 63 個該公司旗下各種產品的資安漏洞，其中包括 5 個嚴重等級資安漏洞，更有 1 個已遭大規模用於駭侵攻擊；用戶應立即將使用中的 Microsoft 各種產品更新至最新版本，以避免遭駭侵者用於攻擊。 以類型來區分，在這次 Patch Tuesday 得到修補的資安漏洞分別如下： 執行權限提升漏洞：18 個； 資安功能略過漏洞：1 個； 遠端執行任意程式碼漏洞：30 個； 資訊洩露漏洞：7 個； 服務阻斷攻擊漏洞：7 個； Edge - Chromium 瀏覽器組件漏洞：16 個。 本月的 Patch Tuesday 中同時修兩個已知的 0-day 資安漏洞，其中有一個 0-day 漏洞已遭駭侵者大規模用於攻擊；該漏洞的 CVE 編號為 CVE-2022-37969，存於 Windows Common Log 檔案系統驅動程式，駭侵者可用以提升執行權限，取得系統等級權限；已有多家資安廠商如 DBAPPSecurity、Mandiant、CrowdStrike、ZScaler 等發現駭侵者利用此漏洞發動攻擊活動。 另一個獲得修補的 0-day 漏洞是 CVE-2022-23960，屬於 Cache Speculation Restriction 漏洞。 此外，在這次 Patch Tuesday 中獲得修補的 5 個嚴重等級漏洞，有兩個存於 Microsoft Dynamics，兩個存於 Microsoft IKE Extension，另一個存於 Microsoft TCP/IP。 建議 Microsoft 各種作業系統與軟體用戶暨系統管理員，應立即依各該軟體的更新流程，將之更新為最新版本，以免遭到駭侵者利用已公開卻未及更新的軟體漏洞發動攻擊。

Apple 近日針對旗下推出的 iPhone、iPad 與 Mac 電腦等裝置，推出 iOS、iPadOS、macOS 作業系統更新，以修復一個已遭駭侵者大規模用於駭侵攻擊的 0-day 資安漏洞 CVE-2022-32917；用戶應立即更新。 在這次更新中獲得修補的 0-day 漏洞，其 CVE 編號為 CVE-2022-32917，屬於作業系統核心中的邊界漏洞；駭侵者可以利用此漏洞誘發記憶體崩潰，並且提升執行權限，以便遠端執行任意程式碼。 CVE-2022-32917 的 CVSS 危險程度評分為 8.4 分（滿分為 10 分），危險程度評級為「高」；且根據 Apple 提供的資安通報指出，該漏洞顯然已遭駭侵者大規模用於攻擊活動。 Apple 針對此漏洞，推出 iOS 15.7、iPadOS 15.7、macOS Monterey 12.6 與 macOS Big Sur 11.7 加以修復；受到影響的 Apple 裝置包括 iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。 CVE-2022-32917 是 Apple 自今（2022）年以來修復的第 8 個 0-day 漏洞。 建議廣大 iPhone、iPad 與 Mac 電腦用戶，在 Apple 推出作業系統更新且收到通知時，應立即依系統指示，更新到最新版的作業系統，以免遭到駭侵者利用已公開但未及更新的漏洞發動攻擊。 CVE編號：CVE-2022-32917 影響產品(版本)：iPhone 6s 與後續機型、iPad Pro 所有機型、iPad Air 第 2 代與後續機型、iPad 第 5 代與後續機型、iPad mini 第 4 代與後續機型、iPod Touch 第 7 代、執行 macOS Big Sur 11.6 與先前版本、macOS Monterey 12.5 與先前版本的所有 Mac 機型。 解決方案：升級到最新版 iOS、iPadOS、macOS 作業系統版本

荷蘭警方近日宣布，於今（2022）年 9 月 6 日前逮捕一名 39 歲男子，該男子涉嫌竊取數千萬歐元等值加密貨幣並且進行洗錢。 荷蘭警方表示，在接獲該國與義大利受害者報案後，警方與該國中央網路犯罪偵辦單位協力合作，監控特定比特幣交易後，終於找到該名犯罪分子的行蹤，並於一個叫 Veenendaal 的小村將其逮捕。 警方在聲明中說，該名嫌犯所有透過犯行得到的不法獲利，目前均以加密貨幣形式遭到警方扣押；該嫌犯雖然在 9 月 8 日獲釋，但警方對其犯罪行為的調查仍在繼續進行中。 警方在聲明中指出，該嫌犯係利用植入惡意程式碼的更新版加密貨幣錢包 Electrum Wallet 來竊取受害者的加密貨幣。Electrum 是一個開源比特幣數位錢包，可以用來儲存用戶的加密貨幣資產。 警方目前尚未提供關於此案駭侵手法的詳細說明，不過荷蘭警方向媒體表示，嫌犯是透過釣魚攻擊來散布植入了惡意程式碼的 Electrum 錢包；嫌犯極可能在 Electrum 中植入了可竊取受害者電腦資訊的惡意程式碼，或是利用釣魚攻擊誘騙受害者輸入機敏資訊，因此能夠掌握受害者用以復原加密貨幣錢包的復原短語。 只要輸入正確的復原短語，駭侵者即可在自己的設備上，完全存取受害者加密貨幣錢包，並且輕易竊走錢包內的加密貨幣資產。 加密貨幣投資者應特別注意資產安全，避免將加密貨幣儲存在可透過網路連線存取的「熱錢包」，避免自不明來源下載相關軟體，同時絕不將復原短語告知任何人。

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA） 日前下達命令，要求聯邦政府旗下各單位必須在限期之內修補新加入「已知遭攻擊漏洞」清單（Known Exploited Vulnerabilities, KEV）的 12 個以上資安漏洞，其中包括 Google Chrome 0-day 漏洞。 這些漏洞多半已經遭到各大駭侵團體大規模用於攻擊，其中包括已在 9 月 2 日推出修補版本的 Google Chrome 0-day 漏洞 CVE-2022-3075、已經發生大規模 Deadbolt 勒贖攻擊的網通產品漏洞 CVE-2022-27593，以及遭到 Mirai 以及 Moobot 僵屍網路大規模攻擊的兩個嚴重漏洞 CVE-2022-28958 與 CVE-2022-26258 等。 其他於此次列入清單中的漏洞，還包括 Apple iOS、iPadOS、macOS 的輸入驗證漏洞（CVE-2022-9934）、Oracle WebLogic Server 的不明漏洞（CVE-2018-2628）、Android OS 權限提升漏洞（CVE-2011-1823）等。 根據 CISA 指出，在該局將最新漏洞加入其「已知遭攻擊漏洞」清單後，所有聯邦旗下的民事相關單位，都必須依照於去（2021）年 11 月頒布的強制操作指引（Binding Operational Directives, BOD) 22-01 之規定，限期完成新加入漏洞的修補作業。 以這次的情形而言，各聯邦所屬單位將有三星期的時間完成各項修補作業，最遲應於 11 月 29 日前全部完成。 雖然美國 CISA 這類命令只對美國聯邦政府旗下單位具有約束力，但仍建議我國各公私營單位密切注意 CISA 發布的各項資安通報與修補命令，參考其資安防護指引修補漏洞，並強化自身的駭侵攻擊防禦能力。