不要错过 - 頁面 11

資安廠商 CYFIRMA 旗下的資安研究人員，近期發現有 APT 駭侵團體，利用假冒的 Android 即時通訊軟體來散布惡意軟體，以竊取受害者手機中的通話記錄、文字簡訊、GPS 定位資訊與其他多種即時通訊軟體的對話內容。 CYFIRMA 指出，涉及這波攻擊行動的印度 APT 駭侵團體稱為「Bahamut」，過去主要透過 WhatsApp 來進行魚叉式釣魚攻擊，直接把惡意軟體傳送給目標對象，以進行攻擊行動。另一家資安廠商 ESET 過去也曾發現 Bahamut 使用假冒的 Android 平台 VPN 軟體來進行大規模資安攻擊。 這次 CYFIRMA 發現 Bahamut 利用一個名為「SafeChat」的假冒 Android App，在其中植入一個名為「Coverlm」的惡意軟體，用以竊取 Telegram、Signal、WhatsApp、Viber、Facebook Messenger 等多種即時通訊軟體內的對話內容；主要的攻擊對象以南亞地區的 Android 手機用戶為主。 CYFIRMA 針對 SafeChat 的分析指出，一旦用戶誤信該軟體是真實的即時通訊軟體並且安裝後，SafeChat 會要求用戶授與輔助使用權限，以自動取得存取簡訊、通訊錄、通話記錄、GPS 資訊、外接儲存裝置等權限，並進行後續的惡意軟體酬載載入與安裝。 SafeChat 甚至會要求用戶同意存取手機的電池電力最佳化子系統，這是為了阻止系統在使用者很少使用該 App 時，自動中止該 App 的執行。 建議 Android 使用者除應避免自非 Google 官方管道下載安裝 App 外，如遇 App 要求輔助使用等權限，應立即拒絕並移除該軟體。

奧地利格拉茨科技大學（Graz University of Technology）的研究團隊，近日發現各廠牌推出的中央處理器（Central Processing Unit, CPU）中，存有一個共同的漏洞「Collide+Power」，可讓駭侵者以特殊方式竊得 CPU 內傳輸的資料。 根據格拉茨科技大學團隊的報告指出，該漏洞的實作方式，是駭侵者可藉由駭侵者對CPU 發出的資料集，在 CPU 中與其他應用程式送出的資料發生「對撞」（collision）時，改寫先前存在 CPU 快取記憶體中儲存的資料時，來測量 CPU 的耗電量變化，因而取得某些機敏資訊。 研究人員指出，受此 Collide+Power 漏洞影響的 CPU 款式可能十分廣泛，包括 Intel、AMD 或基於 ARM 架構設計的 CPU 都可能含此漏洞；雖然目前無法一一確認實際含有該漏洞的 CPU 型號有哪些，但研究人員假設所有型式的 CPU 都含有此漏洞。 該漏洞也已經提報為 CVE-2023-20583，但其 CVSS 危險程度評分僅有 4.7 分（滿分為 10 分），危險程度並不高；對此研究人員指出主要是因為 Collide+Power 攻擊取得的資料精確度並不高，而且必須以繁雜的方式進行實體接線，並進行複雜的計算分析，才能測量到 CPU 耗電量的變化，因此包括研究人員與 AMD 公司，都認為終端用戶不太容易受到駭侵者以此方式進行攻擊。 研究人員也表示，當代 CPU 的設計中，不容易避免資料碰撞的問題發生；即使發現 Collide+Power 理論上可使用資料碰撞問題來竊取資料，但因此而大幅修改 CPU 的設計方式是不切實際的；比較合理的方式是阻止駭侵者有機會接觸電腦設備，以測量 CPU 的用電量變化才對。 CVE 編號：CVE-2023-20583 影響產品：各廠牌 CPU 都可能有此問題，但攻擊實作困難，一般用戶無需擔憂。 解決方案：建議妥善管制重要設備的存取權限，避免駭侵者有機會接觸電腦實體，並裝設測量設備。

五眼聯盟（The Five Eyes）所屬資安主管機關，近期會同美國多個資安主管單位如網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）、美國國家安全局（National Security Agency, NSA）、美國聯邦調查局（Federal Bureau of Investigation, FBI） 等單位，共同發表 2022 年最常遭到用於駭侵攻擊的 12 個資安漏洞。 五眼聯盟是由美國、澳洲、加拿大、紐西蘭與英國等五個英語系國家組成的情報合作組織；其下轄的資安單位近期發表這批漏洞，意在敦促全球各公私單位，立即針對這些已造成嚴重資安風險的漏洞進行處理，以降低繼續遭到攻擊的危險。 該報告指出，近年來駭侵者更偏好使用已知的舊漏洞來發動攻擊，而非使用未公開或較新的漏洞。由於這些舊漏洞往往很長一段時間仍未受到修補，再加上有較多現成的攻擊工具與方法可以使用，因此帶來極大的資安風險。 報告也說，雖然在 2022 年中新增了近 25,000 個指派有 CVE 編號的漏洞，但名列榜上的最常遭駭漏洞中，只有 5 個是在 2022 年新發現的漏洞。 名列該份清單的漏洞如下： CVE-2018-13379：Fortinet SSL VPN 登入資訊外洩； CVE-2021-34473（Proxy Shell）：Microsoft Exchange Server RCE 漏洞； CVE-2021-31207（Proxy Shell）：Microsoft Exchange Server 資安防護功能跳過漏洞； CVE-2021-34523（Proxy Shell）：Microsoft Exchange Server 執行權限提升漏洞； CVE-2021-40539：Zoho ADSelfService Plus RCE/登入驗證跳過漏洞； CVE-2021-26084：Atlassian Confluence Server/Data Center 任意程式碼執行漏洞； CVE-2021-44228（Log4Shell）：Apache Log4j2 的 RCE 漏洞； CVE-2022-22954：VMware Workspace ONE 的 RCE 漏洞； CVE-2022-22960：VMware Workspace ONE 權限管理不良漏洞； CVE-2022-1388：F5 Networks BIG-IP 驗證流程漏洞； CVE-2022-30190：Microsoft 多種產品的 RCE 漏洞； CVE-2022-26134：Atlassian Confluence Server/Data Center 的 RCE 漏洞。  建議系統管理者需在接獲軟體系統更新通報後立即進行更新，勿留下已知漏洞，以免遭到資安攻擊而造成損失。

資安專業媒體 BleepingComputer 日前發現一個偽裝成 FlipperZero 官方網站的詐騙網站，以送出免費 Flipper Zero 裝置為由，誘騙受害者進入惡意網站並安裝惡意瀏覽器外掛程式。 Flipper Zero 是一個在近期引起資安研究人員與自造者高度興趣的多功能開源工具，具備相當廣泛的功能與界面，支援 RFID 模擬、多頻段無線電通訊、NFC、紅外線通訊、藍牙、乙太網路等。自該裝置推出後，許多資安人員與相關技術愛好者紛紛發表多種該裝置可使用的控制軟體，因此十分受到歡迎，出現一機難求的現象。 BleepingComupter 是在近日發現一個假冒 Flipper Zero 官方網站的詐騙活動，頻繁在 Reddit 論壇與各社群媒體上刊登廣告，宣稱只要填寫一份問卷，就能免費獲得一台原價 169 美元的 Flipper Zero。 BleepingComputer 的資安研究人員進一步發現，該詐騙網站雖然外觀十分接近 Flipper Zero 正宗官網，但網站上許多連結都代管於一個惡名昭彰的瀏覽器詐騙通知與惡意外掛程式平台 trkrspace[.]com 上。 BleepingComupter 指出，使用者如果填寫了該詐騙網站上的問卷，其個資就會被蒐集成功，包括姓名、地址、Email 等，並用於其他釣魚攻擊與詐騙攻擊活動之上；有些使用者瀏覽器還會出現假警訊，謊稱使用者的電腦發生問題、系統過載或有安全漏洞，需要安裝資安防護軟體等，藉以進一步誘騙使用者。 建議使用者對於過份好康（too good to be true）的各種廣告訊息都必須提高警覺，且勿隨意提供個人資訊。

Google 日前發表年度報告「The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022」，在報告中除了列出在 2022 年被駭侵者積極用於攻擊的多個 0-day 漏洞之外，Google 更指出由於各 Android 設備製造廠在韌體更新推出時程的延遲，加上 Android 生態系的複雜度，由 Google 修補完成的 0-day 漏洞，駭侵者往往仍可在數月後用於攻擊。 Google 指出的這個問題，可說是 Android 系統上長年未解的老問題，主要肇因於 Google 生態系的複雜性。在該生態系，最上游的 Google 到最下游的手機製造廠，中間還有許多角色，例如品牌商（如三星、小米等）、電信業者等。這樣複雜的結構，造成即使 Google 在第一時間發表了 0-day 漏洞的修補方案，也要等品牌商或製造商針對各款手機推出韌體更新，使用者才能修補裝置上的 0-day 漏洞。 Google 說，從 Google 修補漏洞到使用者有更新版韌體可以安裝，中間往往會有好幾個月的時間間隔；而這麼長的時間差，就讓駭侵者有機可乘，可利用事實上早就可以修補的 0-day 漏洞，在很長一段時間內仍可用來發動攻擊。 舉例來說，CVE-2022-38181 是個發生在 ARM Mali CPU 的 0-day 漏洞，該漏洞於 2022 年 7 月時提報給 Android 開發團隊，並於 2022 年 10 月由 ARM 發表漏洞修補程式，但直到 2023 年 4 月時才納入 Android 2023 年 4 月的更新之中，時隔長達半年。而駭侵者早在 2022 年 11 月起，就開始利用該漏洞發動攻擊。 鑑於 Android 生態系的複雜度與較大的資安風險，Android 使用者應加強本身的資安防護措施，或考慮改用其他較安全的系統。

資安廠商 SlashNext 發現有駭侵者推出專門用於進行釣魚與惡意軟體投放攻擊的 AI 聊天機器人，分別採用最新的 ChatGPT 與 Google Bard AI 技術來訓練。 SlashNext 旗下的資安研究人員，在 7/25 發現一個自稱為 CanadianKingpin12 的駭侵者，於多個駭侵相關論壇上刊登廣告，推廣其用於進行網路詐騙、駭侵攻擊與垃圾訊息發送專用的 AI 聊天機器人 FraudGPT。 在進一步追蹤後，SlashNext 的資安研究人員證實 CanadianKingpin12 很早就開始利用在暗網上出售的各種駭侵資料集，以 ChatGPT 和 Google Bard 等大型語言模型（Large Language Model, LLM）來訓練自己的 AI 聊天機器人 DarkBART；研究人員也發現 CanadianKingpin12 也利用韓國研究人員研發的另一個大型語言模型，來訓練另一個 AI 聊天機器 DarkBERT。 根據 CanadianKingpin12 的說詞，DarkBERT 在各種運用暗網資料來訓練的 AI 駭侵工具中，可說是功能最強大的一款，可以用來進行以下攻擊： 發動成熟的釣魚攻擊活動，用以取得目標對象的密碼與信用卡資訊； 執行先進的社交工程攻擊，以取得機敏資訊或目標系統的登入權限； 利用電腦系統、軟體或網路的資安漏洞加以攻擊； 製作並散布惡意軟體； 利用 0-day 漏洞來獲得不法所得，或破壞目標系統。 SlahNext 指出，這兩個 AI 惡意聊天機器人的開發時程都不到一個月就完成推出，由此可見 AI 的濫用，即將成為資安防護與網路犯罪令人頭痛的嚴重問題。 建議資安研究與防治單位應加強研究如何偵測並防範由 AI 執行的各種惡意攻擊手法，擁有 LLM 等先進 AI 技術的大型科技公司，亦應加強防範其工具遭到濫用於資安攻擊之上。

區塊鏈分析師指出，APT 駭侵團體 Lazarus 疑似與近期發生的加密貨幣付款平台 Alphapo 攻擊事件有關；該攻擊事件造成高達 6,000 萬美元的加密貨幣被竊。 Alphapo 是一個集中化的加密貨幣付款平台，服務對象包括多個線上博弈平台、電子商務訂閱等多種網路平台。該服務於 2023 年 7 月 23 日遭到駭侵攻擊，當時估計的被竊加密貨幣總額高達 2,300 萬美元，計有 600 萬美元的 USDT、10.8 萬枚 USDC、1,002 萬美元的 FTN、430 萬美元的 TFL、2,500 美元的 ETH、1,700 美元的 DAI 等。 據指出，上述 Alphapo 被竊的數位資產，都竊自該平台的線上熱錢包；可能是因為該平台的錢包私鑰遭竊所致。 另外也有區塊鏈投資者與分析師指出，Lazarus 另外還竊得 3,700 萬美元的 TRON 與比特幣，所以總共因攻擊取得的數位資產高達 6,000 萬美元之多。 Lazarus 駭侵團體長久以來均以加密貨幣相關駭侵為主要攻擊領域；過去該團體曾經涉及高達 3,500 萬美元的 Atomic 錢包竊案、1 億美元的 Harmony Horizon 攻擊，以及 6.17 億美元的 Axie Infinity 竊案。 該駭侵團體也經常在 LinkedIn 等求職網站，以詐騙的高薪求才廣告招徠，引誘大型加密貨幣業者的員工跳槽，藉以駭入這些受害者的電腦，竊取其所屬企業的機敏資訊與數位資產。 建議加密貨幣相關業者務必將客戶資金存放在冷錢包中，且應隨時檢測資安防護，以免大筆資金遭竊。

資安廠商 Wiz 旗下的資安研究人員，近期在廣受歡迎的 Linux 發行版本 Ubuntu 的核心中發現兩個漏洞，可讓未擁有高等級權限的本機使用者提升其執行權限，並且執行任意程式碼。 這兩個漏洞分別為 CVE-2023-32629 和 CVE-2023-2640。CVE-2023-2640 是個存於 Ubuntu Linux 核心記憶體管理子系統中，一個不適當的權限檢查機制造成的權限提升漏洞，能夠存取本機的駭侵者，可以利用該漏洞來提升執行權限。 另一個漏洞 CVE-2023-32629 也存於 Ubuntu Linux 核心記憶體管理子系統中，在存取 VMA 時可能形成競爭狀況並導致記憶體發生「釋放後使用」（use-after-free）問題，使可以存取本機資源的駭侵者藉以執行任意程式碼。 CVE-2023-2640 的 CVSS 危險程度評分較高，為 7.8 分（滿分為 10 分），其危險程度評級為「高」（high）；而 CVE-2023-32629 的 CVSS 分數略低，為 5.4 分，其危險程度評級為「中」（medium）。 資安研究人員是在研究 Ubuntu Linux 在實作 OverlayFS 檔案系統發生的不相容問題時，發現這兩個漏洞。過去在 2018 年之前的 Ubuntu Linux 發行版，在執行 OverlayFS 時並不會發生任何問題，但在 2019 年和 2022 年，Linux 核心專案進行部分變動，就導致在 Ubuntu Linux 核心在執行 OverlayFS 時發生上述兩個漏洞。 由於 Ubuntu 的使用層面極廣，Wiz 的研究人員估計約有 40% 的 Ubuntu 系統含有此二漏洞；Ubuntu 基金會也已推出資安更新，用戶應立即套用。 Ubuntu 基金會也已針對這兩個漏洞與其他資安漏洞推出資安更新，建議用戶應立即套用。

Apple 近期釋出一個資安更新，用以修復已證實遭駭侵者用於攻擊 iPhone、iPad 和 Mac 裝置的 0-day 漏洞 CVE-2023-37450。 這個漏洞存在用於 iPhone、iPad 與 Mac 的 WebKit 瀏覽器核心之中，駭侵者可透過特製的網頁內容，來觸發 CVE-2023-37450 的發生，藉以執行任意程式碼。 該漏洞係由一位匿名的資安研究人員通報，Apple 在該公司發表的資安通報中指出，該公司已經知悉本漏洞已遭駭侵者積極用於攻擊活動之中。 此外，Apple 最新推出的資安更新，也同時解決另一個亦可能已遭駭侵者大規模用於攻擊的 0-day 漏洞 CVE-2023-38606；該漏洞存於作業系統的核心之內，駭侵者可以利用這個漏洞來竄改敏感的作業系統核心狀態。 針對 CVE-2023-38606，Apple 也在資安通報中指出，該公司業已獲悉有駭侵者利用此漏洞攻擊作業系統版本仍在 iOS 15.7.1 之前舊版本的 iOS 裝置。 資安廠商卡巴斯基旗下的首席資安研究員 Boris Larin 也針對 CVE-2023-38606 發表推文指出，有駭侵團體使用該漏洞，透過特製的 iMessage 內容來觸發此漏洞，配合其他攻擊方式來布署一個名為 Triangulation 的惡意軟體。 Apple 這次發表的資安更新，係針對 macOS Ventura 13.4、iOS/iPad OS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 等舊版本發行，加強其邊界檢查、輸入驗證與記憶體管理。 由於受兩個 0-day 漏洞的影響範圍很大，建議所有 iPhone、iPad 與 Mac 使用者均應立即更新到最新版本作業系統。

資安研究人員 iamdeadlyz 日前宣布，他發現一個全新的加密貨幣惡意軟體 Realst；該惡意軟體以 Apple 生產的 Mac 電腦為攻擊目標，竊取受害者電腦中加密貨幣錢包中的各種數位資產。 iamdeadlyz 指出，該惡意軟體主要是以假扮成多種區塊鏈遊戲來騙取受害者下載安裝，例如 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles、SaintLegend 等。 這些遊戲在多個社群媒體或相關論壇都有刊登廣告，駭侵者會利用私訊，假稱傳遞可直接玩這些遊戲的密碼給受害者，讓受害者從駭侵者設立的假網站中下載安裝內含惡意軟體的假遊戲檔案。駭侵者也可以藉由不同的密碼來辨識個別受害者，並且躲避資安防護軟體的追蹤。 一旦受害者安裝了這些假遊戲，安裝程式就會針對受害者使用的作業系統，安裝不同的惡意軟體；Windows 系統會安裝 RedLine Stealer，而這次發現的 Realst 惡意軟體則是針對 macOS 作業系統。 資安研究人員所取得的樣本指出，某些版本的 Realst 惡意軟體甚至能夠支援尚未正式推出，目前僅有測試版的 macOS 14 Sonoma。 據資安廠商 SentinetOne 取得的十多個 Realst 取樣研究報告指出，該惡意軟體會竊取安裝於 macOS 系統上的多種瀏覽器和通訊軟體，例如 Firefox、Chrome、Opera、Brave、Vivaldi、Telegram，以竊取其中儲存或傳遞的機敏資訊，但都未針對 Safari 進行攻擊。 建議 Mac 使用者應避免自官方 App Store 以外來源安裝 .PKG 檔或 .DMG 檔，以免遭到惡意軟體攻擊。