不要错过 - 頁面 15

資安媒體 BleepingComuter 日前發現 Twitter 上有惡意帳號，假冒科技界名人 Elon Musk 之名，針對 Elon Musk 的新 Twitter 追蹤者發動加密貨幣詐騙攻擊。 該詐騙活動的手法，是利用一個使用 Twitter 圖示當做頭像的帳號，先將新近開始追蹤 Elon Musk Twitter 帳號的用戶，加入一個名為「Deal of the Year」的 List 中，該 List 在該文撰稿時，內有 155 個 Twitter 用戶。 在該 List 的頁面上，放了一張偽造的圖片，圖片中盜用 Elon Musk 的頭像與 Twitter 帳號發表假推文，內容詐稱 Elon Musk 將選擇 1000 名追蹤者參加「史上規模最大的加密貨幣贈送活動」，並放置一個名為「freedomgiveaway.net」，看起來似乎是正常網站的網址。 點入該網址便會進入駭侵者設立的詐騙網站，網站內有 Elon Musk 的照片，然後會要求用戶回答一些關於 Elon Musk 旗下企業如 Tesla、SpaceX、StarLink 與 Elon Musk 本人相關的一些問題。不論答對答錯，用戶都會被導向到一處顯示一個比特幣錢包位址的畫面；用戶如果想獲得 5000 枚比特幣的大獎，就必須先存入 0.02 到 1 枚比特幣到畫面上的網址；存入比特幣後，用戶將可獲得 5 倍到 10 倍的比特幣獎金。 當然，類似的詐騙活動，結果都是存入資金的受害者，永遠拿不到所謂的高額獎金。 根據加密貨幣資安廠商 Group-IB 指出，這類加密貨幣詐騙使用的網域名稱數量，今年比去年暴增三倍之多。 BleepingComputer 指出，在該刊發現此一詐騙活動並撰文報導當時，詐騙者提供的比特幣錢包位址，尚無任何比特幣轉入記錄；但該刊認為仍有必要揭露這類詐騙活動。 建議加密貨幣投資者應對明顯不合理的高報酬活動提高警覺，勿任意匯款，也絕對不可透露自己的錢包密碼或復原短語，以免造成損失。

Microsoft 近日發表資安通報，指出該公司的資安研究團隊，近來發現多家加密貨幣投資業者，遭到某駭侵團體鎖定，透過這些業者用以和 VIP 投資人互動用的 Telegram 聊天群組發動攻擊。 Microsoft 指出，一個代號為 DEV-0139 的駭侵團體，加入多家加密貨幣投資業者設立的 Telegram 聊天群組，在其中鎖定駭侵攻擊的對象，假扮為其他加密貨幣投資機構的代表，宣稱提供更好的投資機會，以及更優惠的交易手續費；並在獲得目標對象的信任後，邀請其加入另一個 Telegram 聊天室，並且傳送一份內含惡意程式碼的兩大交易所 OKX 與 Huobi Global 手續費比較試算表給受害者。 在這份試算表中暗藏的惡意程式碼，會載入一個後門，讓駭侵者得以遠端存取用戶的電腦系統，並試圖竊取受害者的加密資產。 值得注意的是，Microsoft 指出在 Telegram 聊天室中的駭侵者，具備非常豐富的加密貨幣相關專業知識，因此能輕易取信於受害者。 雖然 Microsoft 沒有指名 DEV-0139 駭侵團體的身分，但另一家資安廠商 Volexity 對同一案例進行的分析，指出這個駭侵團體可能是 APT 團體 Lazarus。 Veloxity 指出，Lazarus 長期以來利用各種手法，針對加密貨幣產業與投資者進行駭侵攻擊，以竊取其數位資產；這次的攻擊也不例外。 鑑於透過社群工具進行的加密貨幣社交工程或釣魚攻擊愈來愈頻繁，加密貨幣投資者在這類管道與其他人互動時，應特別提高警覺，勿任意點按不明連結，也絕不能提供錢包相關密碼或復原短語，以免資金被竊。

Google 近日釋出 2022 年 12 月的 Android 行動作業系統資安更新，修復多達 81 個資安漏洞；其中有一個嚴重漏洞 CVE-2022-20472，駭侵者可透過此漏洞，經由藍牙連線，無需任何權限即可遠端執行任意程式碼。 這次 Android 資安更新包更新的所有漏洞中，含有以下 4 個嚴重 (Critical) 等級漏洞： CVE-2022-20472：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20473：存於 Android Framework 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20411：存於 Android System 的遠端執行任意程式碼漏洞，影響的 Android 版本為 Android 10 到 13； CVE-2022-20498：存於 Android System 的資訊外洩漏洞，影響的 Android 版本為 Android 10 到 13。 其他獲得修復的 Android 資安漏洞類型，包括執行權限提升、遠端執行任意程式碼、資訊洩漏，以及分散式阻斷服務（Denial of Service, DoS）。 資安專家指出，在 Android 系統上的嚴重執行權限提升漏洞，可讓惡意軟體先以較低權限入侵裝置，然後再伺機利用該漏洞提升執行權限，接著載入更具危險性的惡意程式碼酬載，不可不防。 由於 Android 更新通常必須經由裝置原廠提供，無法直接套用 Google 推出的資安更新，因此用戶需注意原廠更新訊息；原廠可能不再支援過於老舊的裝置，應考慮更換為新機種。

資安廠商 Sectrio 日前發表研究報告，指出用於工業與製造業的營運科技系統（Operational Technology，OT）現今面臨的十大資安問題與解決方案。 Sectrio 日前公布的 2022 IoT 與 OT 資安長問卷調查（The IoT and OT CISO Peer Survey 2022）中發現，有 90% 的企業資安長表示，在過去 12 個月中其公司至少發生過一起重要駭侵攻擊事件；多數企業的製造與營運因而停止運作達到 4 天，造成平均 250 萬美元損失。 Sectrio 根據此問卷，分析出現今全球企業面臨的主要 OT 系統資安風險如下： 多數製造業的 OT 系統設備與作業系統版本過於老舊，且未曾或很少進行更新； OT 系統的管理與權責不明：多數公司的 IT 單位與系統擁有較明確的管理權責畫分，但製造業的 OT 系統普遍都有管理權責不明的問題，甚至只有五分之一的製造業者設有資安長，負責 OT 系統的資安維運； OT 資產重要性未獲重視：超過 95% 公司承認未將 OT 系統資安維護視為公司重要例行工作； 日益提高的 IoT 僵屍網路與 DDoS 攻擊風險：許多駭侵者選擇製造業的 OT 系統當做布署僵屍網路的節點，或對企業發動 DDoS 攻擊。 許多 OT 系統直接曝露於公眾 Internet 上，與外網之間沒有強固的防火牆與其他資安設備隔開，等於對駭侵者大開方便之門。 使用可卸除式記憶媒體：許多製造業 OT 系統未對如 USB 隨身碟、記憶卡之類的可卸除式記憶裝置加強管制，大大提高遭到惡意軟體植入的機會。 近期製造業 OT 系統遭各式駭侵攻擊的案例愈來愈多，損失極為驚人；各製造業者應思考資安防護策略，提撥足夠人力與預算，加強 OT 系統的防護與人員訓練。

資安廠商 Yuga Labs 旗下的研究人員，近期發現現代汽車（Hyundai）官方 App 中的漏洞，可導致駭侵者遠端開啟車門並發動車輛；此外，多家車廠使用的車輛管理系統 SiriusXM 也含有類似漏洞。 在 Hyundai 官方 App 漏洞方面，研究人員攔截 Hyundai 與 Hyundai 擁有的高級車品牌 Genesis 其官方 App MyHundai 與 MyGenesis 的網路封包內容後，可以找出其 API 呼叫方式；研究人員發現該 API 呼叫係以包括在 JSON 與 POST request 中的用呼 Email 地址來進行，而註冊使用 MyHyundai 與 MyGenesis，並不需要經過 Email 帳號驗證，因此研究人員可使用受害者的 email 位址，在後方加一個控制字元，即可註冊使用 myHyundai 來傳送指令，開啟並發動受害者的車輛。 在 SiriusXM 漏洞方面，SiriusXM 是個廣受各國大型車廠採用的車輛遙控管理平台，包括Acura、BMW、Honda、Hyundai、Infinity、Jaguar、Land Rover、Lexus、Nissan、Subaru、Toyota 等車廠在內。 Yuga Labs 在分析 Nissan App 的流量後，發現可以透過特製的 HTTP 連線要求，加上車輛的唯一代碼 VIN (Vehicle Identification Number）來遠端控制車輛，甚至從 SiriusXM 網站取得車主各項個資，包括姓名、電話、地址、帳單資訊等。 由於車輛的 VIN 往往就印在前擋風玻璃內側，自車外可輕易見到，在各大二手車銷售網站也可取得，因此造成車主與車輛極大的風險。 若用戶的車輛可經由 App 控制，且 VIN 碼可自擋風玻璃外部識別，建議先設法遮蔽 VIN 碼，或要求車廠提供車輛 App 更新，以解決此問題。

資安廠商 Tenable 近期發表研究報告指出，該公司掃瞄全球網路主機後發現，全球仍有高達 72% 的各型組織，其電腦系統仍含有約一年前發現的嚴重資安漏洞 Log4Shell（CVE-2021-44228）。 Tanable 指出，這次研究共在網路上進行 5 億次掃瞄測試，發現即使在去年發現 Log4j、Log4Shell 漏洞，全球各單位花費無數人力物力，針對該漏洞進行修補；甚至根據美國某聯邦資安單指出，該單位的資安團隊，花費高達 33,000 小時處理該漏洞，但截至 2022 年 10 月的掃瞄結果，仍有高達 72% 單位的主機並未修復該漏洞。 Tenable 表示，在這 72% 中，甚至還包括有 29% 過去曾經修復此漏洞的公司，但在這次掃瞄中再次遭到檢出，對於 Log4j、Log4Shell 漏洞不具防護力。 某些產業對此漏洞的應對處理整體狀況較佳，例如工程界（45%）、法律服務（38%）、金融服務（35%）、非營利組織（33%）、政府單位（30%）；但即使表現最好的工程界，也有一半以上的公司仍含有 Log4j、Log4Shell 漏洞。 在地域方面，各大洲的表現也有待加強。對 Log4j、Log4Shell 防護狀況最好的是北美洲，但完全防護率也僅有 28%，其次為歐洲、中東與非洲（27%）、亞洲 25%、拉丁美洲 21%。 在能夠部分防護 Log4j、Log4Shell 的企業比例方面，北美仍為最高（90%）、歐洲、中東與非洲為 85%、亞太地區亦為 85%、拉丁美洲為 81%。 有鑑於 Log4j、Log4Shell 的高危險性，以及廣為許多駭侵團體用於攻擊的現狀，建議各公私單位一定要加強對此漏洞的修補防護。

資安廠商 Kaspersky 旗下的研究人員，近來發現一個過去未曾記錄的全新資料刪除惡意軟體 CryWiper，正在針對俄羅斯境內各地區的市長辦公室和法院發動攻擊。 Kaspersky 指出，該公司是在今（2022）年秋天發現 CryWiper 布署的未知木馬惡意軟體，針對俄羅斯境內的公家單位發動攻擊；而據俄羅斯當地媒體指出，受到惡意軟體攻擊的公務單位，以司法單位與各地市長辦公室為主。 Kaspersky 分析指出，CryWiper 會假扮為勒贖軟體，實際上其惡意程式碼會刪除受害主機中的資料。其程式碼是 64 位元 Windows 可執行檔，名為「browserupdate.exe，執行後會在受害主機中設立排程，每 5 分鐘就自我執行一次，並在每次執行時與控制伺服器連線，收取執行或不執行的命令。 一旦收到執行的命令，CryWiper 會停止 MySQL、MS SQL 資料庫伺服器、MS Exchange email 伺服器、MS Active Directory 網頁伺服器等重要系統的執行，解除資料鎖定狀態，然後開始刪除受害主機上的資料。 CryWiper 不僅會刪除受害主機上的主要資料，也會刪除 shadow copy，以防止資料被輕鬆復原；另外 CryWiper 也會竄改 Windows 登錄檔，以防止 RDP 連線，阻止 IT 人員透過遠端遙控方式恢復資料。 最後，CryWiper 會將所有副檔名為 .exe、.dll、.lnk、.sys、.msi 與自身的 .cry 都加以破壞，但是不破壞系統、Windows 與啟動資料夾，讓電腦仍能啟動，看起來未被完全破壞。 建議各公私單位應強化人員資安培訓，勿點按不明連接並開啟不明檔案；重要系統也應做好異地備援措施，以在遭到攻擊時能迅速復原系統與資料。

Google 資安研究團隊發現，有多個由 Android OEM 設備廠商使用，用來進行 Android 軟體數位簽章的憑證平台，遭到駭侵者利用於簽署內含惡意程式碼的 Android App。 OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App，並給予這些體較高的執行權限，例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。 Google Android 資安團隊的一位資安專家指出，一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署，即可取得相同的高執行權限；目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署，因此內含來自這些平台的 SHA 256 雜湊和數位簽章。 濫用這些憑證簽署平台的惡意軟體，包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。 目前無法得知這些平台的憑證簽署平台，為何會外洩而讓駭侵者得以濫用，目前仍不得而知；雖然 Google 已經通知這些簽署平台遭到濫用的廠商，要求廠商進行應對，並且調查遭濫用的原因，但據資安專業媒體 BleepingComputer 報導指出，Samsung 的軟體憑證簽署平台，仍可繼續用於核發憑證。 Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體，用戶也應使用最新版本的 Android 系統，以獲得相關防護能力。

Microsoft 日前推出 2022 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 68 個資安漏洞，其中有 11 個是屬於「嚴重」危險程度的漏洞，另有 6 個 0-day 漏洞已知遭用於駭侵攻擊。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：27 個； 資安防護功能略過漏洞：4 個； 遠端執行任意程式碼漏洞：16 個； 資訊洩露漏洞：11 個； 服務阻斷（Denial of Service）漏洞：6 個； 假冒詐騙漏洞：3 個。 上述在這次 Patch Tuesday 中獲得修補的漏洞，並未包括兩個於 11 月 2 日公開的 OpenSSL 漏洞。 本月修復的 6 個已遭濫用 0-day 漏洞如下： CVE-2022-41128：Windows Scripting Languages 遠端執行任意程式碼漏洞； CVE-2022-41091：Windows Mark oof the Web 資安防護功能跳過漏洞； CVE-2022-41073：WIndows Print Spooler 權限提升漏洞； CVE-2022-41125：Windows CNG Key Isolation Service 權限提升漏洞； CVE-2022-41040：Microsoft Exchange Server 權限提升漏洞； CVE-2022-41082：Microsoft Exchange Server 遠端執行任意程式碼漏洞。 鑑於 Microsoft 軟體產品眾多，所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新，以免遭駭侵者利用已知的未修補漏洞發動攻擊，造成不必要的損失。 CVE編號：CVE-2022-41128 等 影響產品(版本)：Microsoft 多種軟體產品，詳見其資安通報。 解決方案：更新至最新推出的軟體資安更新版本。

資安廠商 ESET 日前公布一份調查報告「2022 ESET SMB Digital Security Sentiment Report」，指出 2022 全球中小企業面臨日漸複雜的混合式工作形態，以及愈來愈嚴重的資安攻擊威脅，對於企業能夠有效抵擋資安攻擊的信心並不高。 據 ESET 表示，在 COVID-19 疫情與烏俄戰爭後，中小企業面對工作形態的轉變，愈來愈多公司採用混合辦公室與遠距上班的工作形態，大量借助各種網路工具來維持公司運作的結果，例如利用遠端桌面遙控協定 (Remote Desktop Protocol, RDP) 或是各種雲端儲存與運算服務，也造成駭侵者可攻擊的弱點大量增加。 ESET 的報告指出，2022 年偵測到的資安威脅，年成長率達 20%；其中網頁攻擊成長 28%，透過 Outlook 進行的釣魚信件登入釣魚攻擊更成長 66%。 ESET 在調查報告中指出，在這種情況下，2022 年接受調查的全球中小企業，有 32% 備有資安攻擊偵測與處理解決方案，也有 33% 中小企業表示未來一年內將考慮建置這類系統。 不過報告也指出，中小企業受限於營運規模與營收相對較少，對於自身 IT 防護能力的信心相當低落；僅有 32% 中小企業認為自己的 IT 團隊具備足夠的資安防護知識、僅有 30% 中小企業該為自己的公司可以快速應對資安威脅，立即辨識、隔離威脅並適當反應；僅有 27% 中小企業認為自己能在攻擊發生後進行詳細分析，以強化弱點。 建議中小企業應根據自身的需求與能力，尋求專家提供資安防護規畫與布署，採用最適合的防禦策略，以免因攻擊而蒙受無法負荷的重大損失。