不要错过 - 頁面 14

美國聯邦通訊委員會（Federal Communication Commission, FCC）日前提出新規定，將加強執行聯邦法律，通令各電信業需加快用戶相關資料遭竊外洩事件，提早通報以讓用戶知悉。 FCC 的新規定，包括刪除目前各電信業者在發布用戶資料遭竊通報前需間隔七天的規定，且要求電信業者一旦發生較大入侵事件時，需同時向多個聯邦機關提出通報，包括聯邦調查局（Federal Bureau of Investigation, FBI）、美國特別勤務局（Secret Service）與 FCC。 FCC 對外指出，該局為了加快用戶獲悉自身個資可能遭竊的速度，刪除顯已不合時宜的七天通報間隔日期，並要求電信業者同時通報多個相關聯邦機關，以確保相關機關可在第一時間掌握駭侵事件， FCC 先前對電信業者與 VoIP 業者發生駭侵事件的通報規定，係發布於 2007 年；鑑於近年來駭侵事件的速度、強度和影響層面不斷提升，舊有法規顯已不符時代需求，因此刪除間隔七日才發布通報的規定，希望能強化處理速度。 近年來美國相關電信業者接連發生用戶資料遭竊的駭侵事件，如 2022 年 12 月 有 Comcast Xfinity 的二階段用戶登入驗證遭駭侵者跳過竊取資訊、10 月 Verizon 的預付卡客戶信用卡資訊遭竊、4 月時 T-Mobile 遭 Lapsus$ 侵入其內部系統發動勒贖攻擊等。 鑑於電信業者擁有大量用戶機敏資訊，因此常為駭侵攻擊的最佳目標；除電信業者本身應不斷提高資安防護措施外，用戶也應加強自身資安防護能力，例如使用複雜登入密碼、啟用二階段登入驗證，且不任意提供登入資訊給不明人士。

南韓資安廠商 ASEC 旗下的資安專家，發現近來有許多駭侵攻擊活動，利用以 SHC（Shell Script Compiler）編譯的惡意軟體，在遭到入侵的 Linux 主機上安裝挖礦工具與 DDoS 僵屍網路。目前被害主機以南韓境內的伺服器為主。 SHC 是一種 Linux 上的通用 shell 指令檔編譯器，可以將 Bash 的 shell script 編譯成 Linux 與 UNIX 系統的 ELF 可執行檔。 報告指出，駭侵者通常先以暴力試誤法，入侵管理者帳號未受適當保護的 Linux 主機後，再利用經由 SHC 編譯過的惡意軟體來布署挖礦軟體或 DDoS 僵屍網路節點。 專家表示，通常以 Shell script 指令碼編寫的惡意軟體，由於內含許多以明文儲存的關鍵系統指令，因此很容易被系統上安裝的防毒防駭軟體截獲；但由於以 SHC 編譯過的 Shell script 會以 RC4 演算法編碼成 ELF 檔，因此不易偵測，駭侵者可用以逃過資安防護關卡。 ASEC 在報告中指出，在這波攻擊中觀察到 SHC 惡意軟體會在成功入侵後，於系統中安裝多種惡意軟體酬載，例如用以挖掘 Monero 加密貨幣的 XMRig 挖礦軟體，以及以 Perl 寫作的 DDoS IRC 僵屍機器人程式。 報告指出，一旦該 IRC 僵屍惡意軟體安裝成功，就會連上某台 IRC 伺服器，等待駭侵者透過聊天頻道發送多種 DDoS 相關攻擊指令並加以執行，包括各種通訊協定如 TCP、 UDP、HTTP 洪水攻擊、連接埠掃瞄等。 鑑於此類攻擊通常選擇管理者帳號防護薄弱的主機為目標，因此務必變更主機的預設管理員帳號與密碼，同時採用二階段登入驗證；較敏感的主機更需以防火牆隔離於外部 Internet。

包括 Toyota、Mercedes-Benz、BMW、Ford、Honda、Nissan、Hyundai 等全球汽車大廠廣泛採用的共用 API，遭資安專家 Sam Curry 及其團隊發現內含可能洩露車主個資，甚至造成車輛遭挾持的漏洞；這個漏洞在近期已獲修復。 據 Sam Curry 團隊發表的研究報告指出，這些汽車製造與服務大廠的 API 資安漏洞，可能造成駭侵者進行各種攻擊活動，包括解鎖車輛、發動引擎、追蹤車輛動向、竊取車主個資等嚴重後果。 報告指出，有此問題的車廠品牌多達近 20 家，包括 BMW、Rolls-Royce、Mercedes-Benz、Ferrari、Porsche、Jaguar、Land Rover、Ford、KIA、Honda、Infiniti、Nissan、Acura、Hyundai、Toyota、Genesis。 此外，多家汽車零組件與服務廠如 Spireon、Reviver 與串流服務 SiriusXM 的 API 也含有該漏洞。 以狀況最嚴重的 Mercedes-Benz 來說，該團隊可透過其 API 漏洞存取多個私密 GitHub 服務入口、原廠內部討論群組，並且連上用戶的車輛。而在 BMW 方面，研究人員也能透過該 API 存取經銷商專用內網入口，查詢任何車輛的序號（VIN）、並且存取內部專用的各種應用程式。 目前各大廠均已修復報告中提到的漏洞，不過用戶仍需提高警覺。 建議車主應盡量減少登錄在車廠或 App 中的個資，使用強式密碼，並且在會連上車商、車輛和相關系統的網站或 App 內開啟二階段登入驗證，以強化資安防護。

資安媒體 BleepingComuter 近日發現一批多達 2 億名 Twitter 用戶 Email 地址的資料，在某一熱門駭侵論壇上遭到賤價出售；放上這批資料的駭侵者，開價僅要求 8 個論壇點數，要價約 2 美元。 據 BleepingComputer 的驗證，這批流出資料中的 Email 地址正確性很高。 BleepingComputer 在報導中指出，自 2022 年 6 月 22 起，在多個駭侵論壇與暗網就出現有人兜售大量竊自 Twitter 的使用者資料，包括用戶的電話號碼與 Email 地址。這批資料係為駭侵者於 2021 年時利用 Twitter API 的漏洞來竊得。 雖然 Twitter 在 2022 年 1 月時修復了該 API 的漏洞，但已有許多駭侵者在駭侵論壇或暗網中免費釋出先前竊得的用戶個資。 最近則有駭侵者開始販賣一批約有 4 億名 Twitter 用戶的個資，而今天這批 2 億名用戶的 Email 地址，極可能是整理自前述的 4 億名用戶個資，將重複資料去除後的結果，一共內含 221,608,729 名 Twitter 用戶的 Email 地址。 BleepingComputer 取得這批資料後，得到一個內含 6 個文字檔，解壓縮後大小共 59 GB 的 RAR 壓縮檔；文字檔的內容包括各 Twitter 用戶的姓名、顯示名稱、Email 地址、追蹤人數、帳號註冊日期等欄位。 雖然這批外流的資料中，較機敏的欄位僅含有用戶的 Email 地址，不含其他可識別身分的個資，但駭侵者仍可藉由這些 Email 地址來發動釣魚攻擊；Twitter 用戶最近應提高警覺，勿點選可疑郵件中的連結或開啟附檔。

資安廠商 Emsisoft 日前發表統計報告指出，2022 年全年，美國全境有多達 200 個以上各種公用事業單位遭到勒贖攻擊，被攻擊的公用事業對象包括各級地方政府、大專院校等各級學校、醫療機構等單位。 據 Emsisoft 整理自公開資料所得到結果指出，去年一年美國境內共有 105 個郡縣級政府單位、44 所大專院校、45 所其他學校校區與 24 所醫療保健機構，曾經遭到規模不等的勒贖攻擊。 Emsisoft 指出，該報告的資料來源包括各種資安通報、駭侵攻擊調查報告、暗網流出資訊、第三方提供的情報等等。 統計報告也指出，約有一半左右的攻擊事件，受駭單位所屬資料遭到竊取。 若與 2021 年相比，各級地方政府遭到勒贖攻擊的件數，由 77 起成長到 105 起；但 2020 年則發生了 113 起。 Emsisoft 也指出，2022 年一起發生在阿肯色州米勒郡（Miller）的勒贖攻擊事件，因為透過網路大量擴散，結果造成其他 55 個地方政府也遭到駭侵攻擊；而從已知資料中，僅有麻州昆西郡（Quincy）支付贖金，造成 50 萬美元財政損失。 在教育機構方面，2022 年有 44 所美國大專院校和 45 所其他各級學校校區遭到勒贖攻擊，其中有三所學校支付贖金；支付最多者超過 40 萬美元。醫療方面，旗下擁有 140 間連鎖醫院的 CommonSpirit Health 有超過 62 萬名患者資料遭竊。 各公用事業由於服務人數重多，經常包含社會運作不可或缺的關鍵服務，因此建議應特別加強資安防護能力與人員資安訓練，以防勒贖攻擊造成財務與資料的雙重損失。

資安廠商 Mandiant 日前發表研究報告，指出該公司發現有駭侵團體透過植入惡意軟體的 Windows 10 安裝 ISO 檔，攻擊烏克蘭政府所屬單位，入侵其內部網路系統。 據 Mandiant 的報告指出，這波攻擊係透過 P2P 檔案分享網路 BitTorrent 的網站進行；駭侵者將木馬惡意軟體植入 Windows 10 安裝光碟映像檔，藉以發動供應鏈攻擊。 Mandiant 將這波攻擊行動代號命名為「UNC4166」。該公司在分析烏克蘭政府受到攻擊的部分單位內網時，發現被植入的木馬主要以竊取機密資訊為主，傳送到駭侵者控制伺服器的貟訊，並未含有可用以竊取財物的資訊，也不含任何勒贖工具或加密貨幣挖礦程式。 Mandiant 說，駭侵者在初步入侵受害系統後，隨即進一步布署多種惡意後門 Stowaway、Beacon、Sparepart 等，以便讓駭侵者控制受駭系統、執行指令與程式碼、傳送檔案、竊取資訊如登入帳密和鍵盤輸入等。 Mandiant 也發現一些在 2022 年 7 月預先排程好的工作，以便透過 PowerShell 取得駭侵者下達的進一步攻擊指令。 Mandiant 在報告中指出，這次烏克蘭政府受到攻擊的單位，過去也曾遭到 APT 駭侵團體 APT28 的攻擊。 建議擁有機敏資訊的各公私單位或個人，在安裝軟體時務必循正規管道，使用經驗證安全性可靠的正版軟體，切勿透過 P2P 或社群平台連結安裝來路不明的盜版軟體或所謂破解工具、註冊機，以免遭到植入惡意軟體。

Microsoft 近日指出，近 75% 製造業使用的物聯網系統（Internet of Things, IoT）、資訊科技（Information Technology，IT）系統與營運科技 (Operational Technology，OT）系統，沒有進行必須的資安漏洞修補，因此暴露在高度資安風險中。 Microsoft 在最新一期的「The Cyber Signal」資安專刊中指出，自其收集的每日 43 兆個資安相關信號資料，由全球 8500 位資安專家分析，得到以下必須注意的警訊數字： 製造業採用的知名大廠各種工控產品，含有已知高危險漏洞的數量，自 2020 年到 2022 年間增加了 78%； 在 Microsoft 客戶的 OT 網路中，有高達 75% 的常見工控設備未經修補，含有高危險漏洞。 超過 100 萬台連線 IoT 裝置仍在執行停止支援已久的 Boa 軟體。 報告中也指出，根據 IDC 的統計數字，至 2025 年時全球會有多達 416 億台 IoT 連網裝置，但這些裝置的資安漏洞能獲得更新的比例極低；近年來因為 IoT 與 OT 設備漏洞而造成的實體世界攻擊活動，包括 2021 年發生在美國的 Colonial 輸油管線遭勒贖攻擊、佛羅里達州供水設施遭攻擊投毒事件，以及今（2022）發生在烏克蘭的 Industroyer 斷電事件等。 此外，Microsoft 這份報告也統計了各種 IoT 惡意軟體的來源國排名（僅代表攻擊封包來源，不表示攻擊活動為該國政府支援或發動），前五名依序為中國（38%）、美國（19%）、印度（10%）、南韓（7%）、台灣（5%）。 建議各製造業者應強化自身的資安防護架構，包括將敏感或重要相關系統與外部網路隔開、加強可存取人員控管，並提高從業人員資安素養等。

以色列 Ben-Gurion University 大學的資安研究人員發現一種稱為「COVID-BIT」的全新資料竊取方式；即使電腦完全未連接任何網路，其電源供應器對外放射的電磁波，也可能在近距離內遭到讀取而取得其內部資料。 研究人員指出，這類完全沒有連結網路連線的電腦，多半因為擔負重要任務，例如武器控制系統或重要關鍵基礎設施，或儲存高度機敏資訊，因而必須與內外網路隔絕。 由於無法直接透過網路入侵，傳統上要攻擊這類電腦，都必須經由可出入管制場所的人來實體接觸電腦；然而透過 COVID-BIT 即可遠端接收該電腦的內部資訊。 研究人員開發出一種惡意軟體，可控制受害電腦的 CPU 負載，並利用交換式電源供應應的運作原理，讓該電腦的電源供應器發出 0 - 48KHz 的低頻電磁波。 研究人員在報告中指出，運用 COVID-BIT，攻擊者可以在距離該電腦 2 公尺左右處，以行動裝置或其他設備加裝可隱藏在有線耳機中的微型天線，收集受害電腦經由其電源供應器釋放的電磁波脈衝訊號，加以分析後解出資料。 報告也指出，運用這種方式，受害電腦將可以約 1000 bps 的傳輸速度對外傳送資料，傳送一個 10KB 大小的檔案，約需 80 秒；而一個 4096 位元組的 RSA 加密金鑰檔案，傳送時間最快僅需 4 秒；甚至可以透過這種方式遠端接收即時鍵盤輸入字元。 建議這類隔空透過電磁波接收資訊的攻擊方式，可以透過監控 CPU 不正常的頻率變化來防杜，此外也應加強電腦所在場所的電磁波屏蔽能力；由於這種攻擊方式仍需有人將惡意軟體植入隔離電腦中，因此加強人員進出管制監控亦屬必要。

網通大廠 Juniper Networks 旗下的資安研究人員，日前發現一個過去未曾發現的 Python 後門，專門攻擊VMware ESXi 伺服器，駭侵者能藉以在遭駭侵系統上遠端執行。 VMware ESXi 是一種廣受企業使用的虛擬化平台，可以高效率地運用主機的 CPU 與記憶體資源，同時執行多個伺服器。 Juniper Networks 發現的新後門，很可能是利用兩個十分老舊，存於 VMware ESXi OpenSLP 的漏洞 CVE-2019-5544 與 CVE-2020-3992 來發動攻擊；駭侵者在 /etc/ec.local.d/local.sh 這個指令檔中加上 7 行 Python 指令，啟動一個 web server，以接受來自駭侵者的密碼保護 POST 要求；這些要求可以攜帶以 base-64 編碼的惡意軟體酬載，或是在主機上啟用一個 reverse shell 連上駭侵者的控制伺服器。這種手法可以避免防火牆的阻擋。 Juniper 的資安研究人員，在實際攻擊案例中觀察到駭侵者利用此方式，更改 ESXi 的反向 http proxy 設定，使其可以遠端控制該主機，並發動進一步的駭侵攻擊。 Juniper 提供的暫時處理方案指出，VWware ESXi 伺服器的管理者，應立即檢查伺服器的 /etc/ec.local.d/local.sh 檔案中，是否多出報告中列出的 7 行惡意 Python 程式碼，如發現異常，應徹底檢查主機是否有可疑的設定變更。此外，也應設定 ESXi 主機僅能透過可信賴的主機進行連線。

網通設備大廠 Fortinet 旗下的資安研究團隊，最近發現一個名為 Zerobot 的全新惡意軟體，利用多家廠商的防火牆設備、路由器，以及網路攝影機等各型連網裝置合計 21 個漏洞進行攻擊，植入僵屍網路以發動分散式服務阻斷攻擊（Distributed Denial of Service, DDoS）。 Fortinet 在報告中指出，Zerobot 可「支援」的系統架構十分多樣化，從 i386、AMD64、ARM、ARM64 到 MIPS64、MIPSle、PPC64、PPC64le、RISC64、S390x 等不同架構與裝置，都可能受其攻擊。 Fortinet 的報告也說，Zerobot 利用上述聯網設備合計 21 個漏洞來攻擊上述裝置，並植入惡意軟體以組成龐大的僵屍網路。這 21 個漏洞中，有 8 個是在 2022 年發現的，其餘 13 個漏洞的發現期間在 2014 年到 2021 年之間。 在成功植入設備執行後，會與駭侵者設立的控制伺服器連線，上傳遭駭裝置的一些基本資料，同時等候命令發動 DDoS 攻擊。 據 Fortinet 指出，該公司的資安專家發現 Zerobot 後，也觀察到在 11 月的新版中，加入了許多額外組件與利用新發現漏洞的程式碼，顯示該惡意軟體的開發活動十分積極。 建議各型連網裝置的使用者或管理者，應隨時注意裝置是否提供資安更新或韌體升級，如有新版或更新應立即升級。過於老舊的產品可能已未列在原廠支援之列，若長期缺乏升級服務，應考慮設備汰舊換新。