不要错过 - 頁面 5

印度中央調查局（Central Bureau of Investigation, CBI）日前指揮多個印度執法單位，同步於全印度 76 個地點展開全國網路犯罪大型查緝活動，以扼止各種網路詐騙活動。 這波大規模查緝的行動代號為 Operation Chakra-II，主要目標是要阻斷各種透過網路進行的金融犯罪集團運作。CBI 會同多個國際、國內執法單位和 Microsoft、Amazon 等跨國科技巨頭，共同展開這次執法行動。 這次展開掃蕩活動的地點多達 76 處，分別位於印度 Tamil Nadu、Pubjab、Bihar、Delhi、West Bengal 等省分；執法人員一共緝獲 32 部行動電話、48 部筆記型電腦與硬碟，以及 33 張 SIM 卡。 據 CBI 指出，這次執行行動也破獲 2 個涉嫌假冒 Microsoft 和 Amazon 客服支援中心的攻擊活動。該攻擊活動已進行長達 5 年以上，受害者多達 2,000 人以上，且分布遍及美國、加拿大、德國、澳洲、西班牙、英國等。 這批駭侵者會利用惡意軟體，在訪客電腦中顯示詐騙支援訊息，謊稱客戶的系統發生問題，需要撥打免費客服專線電話。當受害者撥打該電話後，由駭侵者假冒的客服人員，就會謊稱客戶的電腦系統發生嚴重問題，藉以收取高額維護費用。 根據美國聯邦調查局在 2022 年的網路犯罪調查報告指出，假冒客服人員的詐騙案件，在 2018 年到 2022 年間高居各式網路犯罪的前五大類型之一。單在 2022 年一年之間，這類詐騙造成的財務損失就高達 8 億美元。 建議各公私單位應隨時加強資安防護，如遇疑似詐騙客服，要求高額維修費用，應立即洽詢原廠管道進行確認。

資安廠商 Doctor Web 旗下的資安研究人員，近來發現有多個惡意 Android 應用軟體成功上架到官方應用程式商店 Google Play Store 內，假扮成各種遊戲來誤導使用者下載安裝；其總下載安裝次數突破 200 萬次。 研究人員指出，這些 App 內含的多半是 FakeApp、Joker、HiddenAds 的惡意軟體，其中 FakeApp 會將使用者導向投資詐騙網站或是網路賭場、Joker 會擅自訂閱高價服務，騙取訂閱費用分潤，而 HiddenAds 則是廣告惡意軟體，會不斷在使用者手機上顯示大量廣告。 據 Doctor Web 的報告指出，含有 FakeWeb 的惡意 Android 應用軟體，下載次數最多的如下：Eternal Maze (50,000 次)、Jungle Jewels (10,000 次)、Stellar Secrets (10,000 次)、Fire Fruits (10,000 次)、Cowboy’s Frontier (10,000 次)、Enchanted Elixir (10,000 次)。 內含 Joker 的惡意 Android App，下載次數較多的則有：Love Emoji Messenger (50,000 次)、Beauty WallPaper HD (1,000 次)。 內含 HiddenAds 惡意軟體的 Android App 下載次數則遠多於上述二者，包括 Super Skibydi Killer (1,000,000 次)、Agent Shooter (500,000 次)、Rainbow Stretch (50,000 次)、Rubber Punch 3D (500,000 次)。 建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體前，都應提高警覺，仔細閱讀其他使用者評價，再決定是否下載安裝。

資安廠商 F-Secure 近日發現一個名為 SpyNote 的 Android 木馬軟體捲土重來，再度展開大規模攻擊，竊取使用者通訊內容中的金融資訊，以竊取受害者帳戶中的資金。 這個名為 SpyNote 的 Android 木馬惡意軟體，首次發現是在 2022 年；據資安廠商的報告指出，這次 SpyNote 仍透過「Smishing」方式感染，即透過惡意釣魚簡訊發送含有惡意軟體 apk 檔下載連結的簡訊給潛在受害在，使用者如果點按該連結，並在自己的 Android 手機上安裝該 apk 檔案，就會遭到該惡意軟體的感染。 接下來 SpyNote 會要求使用者給予各種權限，甚至會自己產生點按動作，代替使用者授予全部系統服務存取權限，接著就會在使用者的 Android 手機中建立背景服務，開始將使用者手機中的各項資訊，包括盜錄用戶的通話內容錄音、擅自進行畫面截圖或錄影、記錄使用者的輸入按鍵與通聯對象記錄、各種服務的登入資訊、手機所在地的地理座標資訊等等，並將這些資訊傳送到駭侵者設立的控制伺服器。 此外，如同多種 Android 惡意軟體，SpyNote 也有多種設計以防遭使用者移除；除了隱藏該 App 的 icon，讓使用者難以發現之外，也會利用 Android 的內部系統服務來混淆其存在，使得 SpyNote 極難移除；如想完全移除，使用者只能將 Android 手機重置為出廠狀態。 Android 使用者應避免自來路不明處下載安裝任何 apk 檔案，例如即時通訊、網路討論區、不明人士傳來的簡訊等，以避免遭惡意軟體潛入裝置。

近日在以巴戰爭造成眾多死傷與破壞時，資安專業媒體 BleepingComputer 的資安專家，發現有多組詐騙者利用各種社群管道發起詐騙募捐，誑騙網友以加密貨幣轉帳並侵吞愛心捐款。 BleepingCoumpter 報導指出，該社的資安專家發現在 X（舊名 Twitter）、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動；駭侵者假冒各種公益慈善團體，要求網友以加密貨幣進行捐款轉帳，以做為戰爭受害者的人道救援之用；但其中有許多錢包位址都並非所宣稱的公益團體所擁有，明顯屬於詐騙。 其中一個假冒為「Gaza Relief Aid」（加薩救援協助）的所謂公益團體，在 Telegram 和 Instagram 上都開設了捐款帳號，並且列出其捐款錢包位址；但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成，且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網，而其「最新消息」中的內容也盜自其他新聞網站，網站中放置了許多來自新聞媒體的戰地照片，且網站中也沒有附上該組織的地址、聯絡資訊等訊息。 據 BleepingComputer 追蹤其接受捐款的三個錢包位址，目前都沒有任何轉帳記錄。 另外，也有詐騙分子假冒為以色列方的人道救援組織，以類似手法企圖騙取愛心捐款；所幸到目前為止均無任何人捐款。 資安廠商 Kaspersky 也指出，該公司的資安研究人員截獲 500 封以上的詐騙電子郵件，同樣以搧動性的文字和圖片，企圖騙取收信人的愛心捐款；且有多個詐騙活動都使用同樣的錢包位址，顯見是同一詐騙集團所為。 建議在網路上進行愛心捐款時，捐款人務必多方查證，確認募款者為真，且募款方提供可查證的資訊，捐款才不致落入詐騙分子手中。

奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路，該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開，除了逮捕 20 人之外，也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。 奧地利警方指出，該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務；奧國警方是在接獲德國方面的報案後開始進行調查，終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團，嫌犯全數為土耳其國籍。 警方指出，該盜版集團成員中有負責破解加密電視訊號的內容提供者，也有負責招募訂戶的經銷商；經銷商以一年 50 美元的價格購買盜播網會員資格後，再以一年 200 美元的價格販售給想看盜版電視節目的網友。 警方說，每名經銷商手上約有 300 到 2,500 名訂戶，經銷商雖然會使用 Facebook 廣告進行宣傳，但主要的客戶來源以口耳相傳為主。 警方破獲的設備，包括 35 台用於訊號解碼與 IPTV 廣播的伺服器，以及 55 台電腦、硬碟、智慧型手機等，甚至還包括一台 Audi A7 豪華轎車。 警方說，主要的嫌犯靠盜版生意賺取大筆不法收入，除了擁有多輛豪華轎跑車外，也擁有多筆豪宅、多家公司、俱樂部等。 警方表示遭到逮捕的嫌犯，包括 3 名內容提供者與 15 名經銷商，都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴，尚未落網的嫌犯主要都在德國境內，目前也已掌握其犯罪地點的相關情報。 建議使用網路影音的觀眾，不應安裝來路不明的盜版影音機上盒或加入盜版網站會員，以免同時吃上侵害著作權的官司，面臨鉅額罰款。

Microsoft 日前推出 2023 年 9 月例行資安更新修補包「Patch Tuesday」，共修復 59 個資安漏洞；其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 59 個，較上個月（2023 年 8 月）的 87 個資安漏洞略為減少；而在這 59 個漏洞中，僅有 5 個屬於「嚴重」等級，另有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 24 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 資安防護功能略過漏洞：3 個； 遠端執行任意程式碼漏洞：24 個； 資訊洩露漏洞：9 個； 服務阻斷（Denial of Service）漏洞：3 個； 假冒詐騙漏洞：5 個； Edge -Chromium 漏洞：5 個。 本月的 Patch Tuesday 有 2 個已遭大規模濫用的 0-day 漏洞： 第一個 0-day 漏洞是 CVE 編號為 CVE-2023-36802，存於 Microsoft Streaming Service Proxy 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，將自身的執行權限提高的系統（system）等級。 第二個值得注意的 0-day 漏洞是 CVE-2023-36761，是存於 Microsoft Word 中的資訊洩露漏洞，駭侵者可利用此漏洞，在開啟檔案或預覽檔案內容時，竊取 NTLM 雜湊資訊，進一步用於透過 NTLM 中繼攻擊，最後可以取得帳號的控制權。 CVE 編號：CVE-2023-36802、CVE-2023-36761 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶依照指示，套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未更新的漏洞發動攻擊。

全球大型加密貨幣交易所 CoinEx 日前對外公開駭侵事件，該交易所的熱錢包遭駭侵攻擊，大量加密貨幣資金遭竊。 據 CoinEx 交易所在 X （原 Twitter）上發表的官方推文指出，該交易所的風險控制團隊在 2023 年 9 月 12 日發現數個該交易所擁有的熱錢包發生不正常提領狀況；該交易所目前正在調查事件發生原因與經過。 CoinEx 在推文中也指出，發生不正常提領的加密貨幣幣種，包括 Ethereum ($ETH)、Tron ($TRON) 和 Polygon ($MATIC)，但 CoinEx 也強調，所有客戶的數位資產都安全無虞且並未遭到攻擊；如有任何損失，都會得到 100% 的補償。 CoinEx 也表示，為加強安全防護並進行調查，暫時停止該所的加密貨幣入金與出金業務；待調查告一段落後就會儘快恢復服務。 雖然 CoinEx 並未在公開的訊息中提及此次駭侵事件造成的數位資產財務損失金額，但區塊鏈資安公司 PeckShield 指出，據該公司的監測資料，CoinEx 的損失包括 1,900 萬美元等值的 ETH、1,100 萬美元等值的 TRON（以 BSC 形式存於幣安的 Binance Smart Chain 上）、600 萬美元等值的 BTC、約 29.5 萬美元等值的 Polygon。 PeckShield 也表示，攻擊造成的數位資產損失約為 4,300 萬美元，而保存在受攻擊錢包中的，另有 7,200 萬美元，已轉移到較為安全的冷錢包中；而另一家區塊鏈資安公司 CertiK Alert 估計的受害金額較高，達 5,300 萬美元。 建議加密貨幣相關業者與投資人，應對持有的數位資金安全性進行強化，資金勿長期存放於可連線存取的熱錢包中，以免因駭侵攻擊而造成鉅額損失。

Apple 於近日為旗下的 iPhone 與 Mac 產品推出緊急更新，修復兩個已遭駭侵者用於攻擊的 iMessage 0-day 漏洞 CVE-2023-41064 與 CVE-2023-41061。 這兩個 0-day 漏洞都存於 iOS 與 macOS 的 Image I/O 與 Wallet Framework 之中，其中 CVE-2023-41064 屬於緩衝區溢位錯誤，駭侵者可利用特製的圖片檔案來誘發此漏洞發生錯誤，藉以執行任意程式碼。 而 CVE-2023-41061 的 0-day 漏洞則屬於驗證錯誤，駭侵者可使用特製的夾檔來誘發此錯誤，同樣可在受攻擊裝置上執行任意程式碼。 發現 CVE-2023-41064 漏洞的資安廠商 Citizen Labs 指出，該公司的資安人員已發現這兩個 0-day 漏洞遭一個名為「BLASTPASS」的駭侵攻擊行動加以濫用，可在無需使用者互動的情形下，於受攻擊的裝置上布署 NSO Group 的 Pegasus 間諜軟體。 Apple 在針對這兩個 0-day 漏洞發表的資安通報上也指出，該公司已獲悉這兩個漏洞已遭駭侵者積極運用於攻擊活動的情報。 Apple 已推出修復此兩個 0-day 漏洞 CVE-2023-41064 與 CVE-2023-41061 的更新版作業系統，包括 macOS Ventura 13.5.2、iOS 16.6.1、iPadOS 16.6.1、WatchOS 9.6.2；受影響的硬體裝置則包括 iPhone 8 與後續機型、iPad Pro（所有機型）、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型。 建議相關產品用戶立即更新至最新版本作業系統，以免遭到駭侵者利用未修補漏洞攻擊而造成損失。

美國威斯康辛大學麥迪遜分校（University of Wisconsin–Madison）的資安研究人員團隊，近期發現一種攻擊方式，可以透過 Chrome 瀏覽器的擴充功能，竊取網站程式碼中儲存的使用者輸入密碼，且有不少擁有數百萬以上使用者的大型網站，將密碼以明文方式存在網頁 HTML 程式碼中。 該研究團隊已將其攻擊概念驗證程式編譯打包為 Google Chrome 擴充功能的格式，並上傳到 Chrome Web Store 中。 研究人員說，問題的根源在於開發人員在撰寫 Chrome 瀏覽器的擴充功能時，往往有個習慣性的做法，就是讓擴充功能能夠存取所有網頁會載入的 DOM 樹狀架構，而不會受到存取範圍的限制，因此導致擴充功能有機會存取到一些像是使用者輸入欄位之類的機敏資訊。 另外，擴充功能也可以濫用 DOM API 來跳過套用者網站上，用以保護機敏輸入資訊的各種資訊混淆機制，直接取得使用者輸入的值並加以竊取。 研究人員指出，雖然 Google 在 Manifest V3 協定已經針對 API 的取用加上限制，禁止擴充套件透過遠端取得程式碼的方式，來逃避資安偵測，並且避免以此方式遠端執行任意程式碼，但 Manifest V3 並未限制擴充套件存取網頁內容的範圍，所以仍存有上述可竊得使用者輸入資訊的問題。 研究人員進一步指出，許多使用者眾多的大型網站，都會把使用者密碼以明文存在HTML 源碼中，造成這類惡意擴充套件有可能竊得密碼；這些大型網站包括 gmail.com、cloudflare.com、facebook.com、citibank.com、irs.gov、capitalone.com、usenix.org、amazon.com 等。 建議網站開發人員應注意此問題，在撰寫程式碼時應嚴守資安最佳實務作法；使用者也應在各網站使用不同的強式密碼，並使用二階段登入驗證。

資安廠商 EclecticIQ 日前發表研究報告，指出該公司旗下的資安人員，發現的新勒贖攻擊團體 Key Group 透過 Telegram 頻道散播惡意軟體，不但會對受害者設備中的資料進行加密，且還會竊取受害者的個人機敏資訊。 報告指出，Key Group 的主要目的應為藉勒贖攻擊斂財。主要的攻擊對象為俄羅斯境內的受害者。該團體除了要求受害者償付贖金外，也會在一個名為  Dark Store 的俄羅斯暗網中販賣用戶個資與其社群帳號、VPN 帳密和 email 地址。 EclecticIQ 是在 2023 年 1 月 6 日起觀測到 Key Group 的相關攻擊活動，並持續活動至今。資安研究人員發現 Key Group 的成員利用 Telegram 中的頻道 keygroup777Tg 來進行攻擊活動與贖金要求。另外該團體還有一個私密 Telegram 頻道，用以協調成員間的攻擊行動，並共享各種工具的資訊。 EclecticIQ 指出，該團體有可能自 6 月底開始利用一種稱為 NjRAT 的遠端遙控工具，來控制受害者的裝置。 報告也指出，Key Group 使用一種 CBC-mode 進階加密標準 (AES) 來加密受害者的資料，並將用戶的檔案名稱加上 keygroup777tg 的副檔名。由於這種加密方式並不太複雜，加上該團體的駭侵技術並不強，在進行加密時犯了一些技術上的錯誤，因此 EclecticIQ 已經利用這些錯誤，開發出針對其 8 月 3 日版本勒贖軟體的解密工具。 為避免遭到勒贖攻擊，建議使用者避免點按不明來源如釣魚郵件、社群頻道或聊天軟體中傳送的連結。