不要错过 - 頁面 18

資安廠商 Sectrio 日前發表研究報告，指出用於工業與製造業的營運科技系統（Operational Technology，OT）現今面臨的十大資安問題與解決方案。 Sectrio 日前公布的 2022 IoT 與 OT 資安長問卷調查（The IoT and OT CISO Peer Survey 2022）中發現，有 90% 的企業資安長表示，在過去 12 個月中其公司至少發生過一起重要駭侵攻擊事件；多數企業的製造與營運因而停止運作達到 4 天，造成平均 250 萬美元損失。 Sectrio 根據此問卷，分析出現今全球企業面臨的主要 OT 系統資安風險如下： 多數製造業的 OT 系統設備與作業系統版本過於老舊，且未曾或很少進行更新； OT 系統的管理與權責不明：多數公司的 IT 單位與系統擁有較明確的管理權責畫分，但製造業的 OT 系統普遍都有管理權責不明的問題，甚至只有五分之一的製造業者設有資安長，負責 OT 系統的資安維運； OT 資產重要性未獲重視：超過 95% 公司承認未將 OT 系統資安維護視為公司重要例行工作； 日益提高的 IoT 僵屍網路與 DDoS 攻擊風險：許多駭侵者選擇製造業的 OT 系統當做布署僵屍網路的節點，或對企業發動 DDoS 攻擊。 許多 OT 系統直接曝露於公眾 Internet 上，與外網之間沒有強固的防火牆與其他資安設備隔開，等於對駭侵者大開方便之門。 使用可卸除式記憶媒體：許多製造業 OT 系統未對如 USB 隨身碟、記憶卡之類的可卸除式記憶裝置加強管制，大大提高遭到惡意軟體植入的機會。 近期製造業 OT 系統遭各式駭侵攻擊的案例愈來愈多，損失極為驚人；各製造業者應思考資安防護策略，提撥足夠人力與預算，加強 OT 系統的防護與人員訓練。

資安廠商 Yuga Labs 旗下的研究人員，近期發現現代汽車（Hyundai）官方 App 中的漏洞，可導致駭侵者遠端開啟車門並發動車輛；此外，多家車廠使用的車輛管理系統 SiriusXM 也含有類似漏洞。 在 Hyundai 官方 App 漏洞方面，研究人員攔截 Hyundai 與 Hyundai 擁有的高級車品牌 Genesis 其官方 App MyHundai 與 MyGenesis 的網路封包內容後，可以找出其 API 呼叫方式；研究人員發現該 API 呼叫係以包括在 JSON 與 POST request 中的用呼 Email 地址來進行，而註冊使用 MyHyundai 與 MyGenesis，並不需要經過 Email 帳號驗證，因此研究人員可使用受害者的 email 位址，在後方加一個控制字元，即可註冊使用 myHyundai 來傳送指令，開啟並發動受害者的車輛。 在 SiriusXM 漏洞方面，SiriusXM 是個廣受各國大型車廠採用的車輛遙控管理平台，包括Acura、BMW、Honda、Hyundai、Infinity、Jaguar、Land Rover、Lexus、Nissan、Subaru、Toyota 等車廠在內。 Yuga Labs 在分析 Nissan App 的流量後，發現可以透過特製的 HTTP 連線要求，加上車輛的唯一代碼 VIN (Vehicle Identification Number）來遠端控制車輛，甚至從 SiriusXM 網站取得車主各項個資，包括姓名、電話、地址、帳單資訊等。 由於車輛的 VIN 往往就印在前擋風玻璃內側，自車外可輕易見到，在各大二手車銷售網站也可取得，因此造成車主與車輛極大的風險。 若用戶的車輛可經由 App 控制，且 VIN 碼可自擋風玻璃外部識別，建議先設法遮蔽 VIN 碼，或要求車廠提供車輛 App 更新，以解決此問題。

資安廠商 Tenable 近期發表研究報告指出，該公司掃瞄全球網路主機後發現，全球仍有高達 72% 的各型組織，其電腦系統仍含有約一年前發現的嚴重資安漏洞 Log4Shell（CVE-2021-44228）。 Tanable 指出，這次研究共在網路上進行 5 億次掃瞄測試，發現即使在去年發現 Log4j、Log4Shell 漏洞，全球各單位花費無數人力物力，針對該漏洞進行修補；甚至根據美國某聯邦資安單指出，該單位的資安團隊，花費高達 33,000 小時處理該漏洞，但截至 2022 年 10 月的掃瞄結果，仍有高達 72% 單位的主機並未修復該漏洞。 Tenable 表示，在這 72% 中，甚至還包括有 29% 過去曾經修復此漏洞的公司，但在這次掃瞄中再次遭到檢出，對於 Log4j、Log4Shell 漏洞不具防護力。 某些產業對此漏洞的應對處理整體狀況較佳，例如工程界（45%）、法律服務（38%）、金融服務（35%）、非營利組織（33%）、政府單位（30%）；但即使表現最好的工程界，也有一半以上的公司仍含有 Log4j、Log4Shell 漏洞。 在地域方面，各大洲的表現也有待加強。對 Log4j、Log4Shell 防護狀況最好的是北美洲，但完全防護率也僅有 28%，其次為歐洲、中東與非洲（27%）、亞洲 25%、拉丁美洲 21%。 在能夠部分防護 Log4j、Log4Shell 的企業比例方面，北美仍為最高（90%）、歐洲、中東與非洲為 85%、亞太地區亦為 85%、拉丁美洲為 81%。 有鑑於 Log4j、Log4Shell 的高危險性，以及廣為許多駭侵團體用於攻擊的現狀，建議各公私單位一定要加強對此漏洞的修補防護。

Google 資安研究團隊發現，有多個由 Android OEM 設備廠商使用，用來進行 Android 軟體數位簽章的憑證平台，遭到駭侵者利用於簽署內含惡意程式碼的 Android App。 OEM Android 設備廠商使用平台憑證來簽署位於裝置核心 ROM 映像檔中的 Android 作業系統程式碼與相關 App，並給予這些體較高的執行權限，例如撥打、轉接或掛斷電話、安裝或移除程式套件、收集裝置資訊等較敏感的操作。 Google Android 資安團隊的一位資安專家指出，一旦有任何內含惡意軟體的程式碼使用該平台憑證來進行簽署，即可取得相同的高執行權限；目前觀察到有不少惡意軟體程式套件都使用了來自 Samsung、LG、MediaTek 三家 Android OEM 廠商憑證平台來簽署，因此內含來自這些平台的 SHA 256 雜湊和數位簽章。 濫用這些憑證簽署平台的惡意軟體，包括背景廣告木馬、資訊竊取工具、進階惡意軟體酬載布署工具等。 目前無法得知這些平台的憑證簽署平台，為何會外洩而讓駭侵者得以濫用，目前仍不得而知；雖然 Google 已經通知這些簽署平台遭到濫用的廠商，要求廠商進行應對，並且調查遭濫用的原因，但據資安專業媒體 BleepingComputer 報導指出，Samsung 的軟體憑證簽署平台，仍可繼續用於核發憑證。 Google 表示將在 Android 系統與 Google Play Store 中加強對這類濫用簽署機制的惡意軟體，用戶也應使用最新版本的 Android 系統，以獲得相關防護能力。

資安廠商 Kaspersky 旗下的研究人員，近來發現一個過去未曾記錄的全新資料刪除惡意軟體 CryWiper，正在針對俄羅斯境內各地區的市長辦公室和法院發動攻擊。 Kaspersky 指出，該公司是在今（2022）年秋天發現 CryWiper 布署的未知木馬惡意軟體，針對俄羅斯境內的公家單位發動攻擊；而據俄羅斯當地媒體指出，受到惡意軟體攻擊的公務單位，以司法單位與各地市長辦公室為主。 Kaspersky 分析指出，CryWiper 會假扮為勒贖軟體，實際上其惡意程式碼會刪除受害主機中的資料。其程式碼是 64 位元 Windows 可執行檔，名為「browserupdate.exe，執行後會在受害主機中設立排程，每 5 分鐘就自我執行一次，並在每次執行時與控制伺服器連線，收取執行或不執行的命令。 一旦收到執行的命令，CryWiper 會停止 MySQL、MS SQL 資料庫伺服器、MS Exchange email 伺服器、MS Active Directory 網頁伺服器等重要系統的執行，解除資料鎖定狀態，然後開始刪除受害主機上的資料。 CryWiper 不僅會刪除受害主機上的主要資料，也會刪除 shadow copy，以防止資料被輕鬆復原；另外 CryWiper 也會竄改 Windows 登錄檔，以防止 RDP 連線，阻止 IT 人員透過遠端遙控方式恢復資料。 最後，CryWiper 會將所有副檔名為 .exe、.dll、.lnk、.sys、.msi 與自身的 .cry 都加以破壞，但是不破壞系統、Windows 與啟動資料夾，讓電腦仍能啟動，看起來未被完全破壞。 建議各公私單位應強化人員資安培訓，勿點按不明連接並開啟不明檔案；重要系統也應做好異地備援措施，以在遭到攻擊時能迅速復原系統與資料。

Microsoft 日前推出 2022 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 68 個資安漏洞，其中有 11 個是屬於「嚴重」危險程度的漏洞，另有 6 個 0-day 漏洞已知遭用於駭侵攻擊。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 權限提升漏洞：27 個； 資安防護功能略過漏洞：4 個； 遠端執行任意程式碼漏洞：16 個； 資訊洩露漏洞：11 個； 服務阻斷（Denial of Service）漏洞：6 個； 假冒詐騙漏洞：3 個。 上述在這次 Patch Tuesday 中獲得修補的漏洞，並未包括兩個於 11 月 2 日公開的 OpenSSL 漏洞。 本月修復的 6 個已遭濫用 0-day 漏洞如下： CVE-2022-41128：Windows Scripting Languages 遠端執行任意程式碼漏洞； CVE-2022-41091：Windows Mark oof the Web 資安防護功能跳過漏洞； CVE-2022-41073：WIndows Print Spooler 權限提升漏洞； CVE-2022-41125：Windows CNG Key Isolation Service 權限提升漏洞； CVE-2022-41040：Microsoft Exchange Server 權限提升漏洞； CVE-2022-41082：Microsoft Exchange Server 遠端執行任意程式碼漏洞。 鑑於 Microsoft 軟體產品眾多，所有用戶與系統管理者應立即套用這次的 Patch Tuesday 資安更新，以免遭駭侵者利用已知的未修補漏洞發動攻擊，造成不必要的損失。 CVE編號：CVE-2022-41128 等 影響產品(版本)：Microsoft 多種軟體產品，詳見其資安通報。 解決方案：更新至最新推出的軟體資安更新版本。

資安廠商 ESET 日前公布一份調查報告「2022 ESET SMB Digital Security Sentiment Report」，指出 2022 全球中小企業面臨日漸複雜的混合式工作形態，以及愈來愈嚴重的資安攻擊威脅，對於企業能夠有效抵擋資安攻擊的信心並不高。 據 ESET 表示，在 COVID-19 疫情與烏俄戰爭後，中小企業面對工作形態的轉變，愈來愈多公司採用混合辦公室與遠距上班的工作形態，大量借助各種網路工具來維持公司運作的結果，例如利用遠端桌面遙控協定 (Remote Desktop Protocol, RDP) 或是各種雲端儲存與運算服務，也造成駭侵者可攻擊的弱點大量增加。 ESET 的報告指出，2022 年偵測到的資安威脅，年成長率達 20%；其中網頁攻擊成長 28%，透過 Outlook 進行的釣魚信件登入釣魚攻擊更成長 66%。 ESET 在調查報告中指出，在這種情況下，2022 年接受調查的全球中小企業，有 32% 備有資安攻擊偵測與處理解決方案，也有 33% 中小企業表示未來一年內將考慮建置這類系統。 不過報告也指出，中小企業受限於營運規模與營收相對較少，對於自身 IT 防護能力的信心相當低落；僅有 32% 中小企業認為自己的 IT 團隊具備足夠的資安防護知識、僅有 30% 中小企業該為自己的公司可以快速應對資安威脅，立即辨識、隔離威脅並適當反應；僅有 27% 中小企業認為自己能在攻擊發生後進行詳細分析，以強化弱點。 建議中小企業應根據自身的需求與能力，尋求專家提供資安防護規畫與布署，採用最適合的防禦策略，以免因攻擊而蒙受無法負荷的重大損失。

資安廠商 Cyjax 日前發表調查報告，指出該公司旗下的資安專家，近來發現駭侵團體 Fangxiao，利用一個具有超過 42,000 個網域的龐大網路，偽裝為多個全球知名品牌，利用假抽獎活動等方式，誘騙受害者安裝廣告或約會等惡意軟體，進行進一步駭侵攻擊。 根據 Cyjax 的報告，Fangxiao 駭侵團體早在 2017 年就開始發動攻擊活動，歷年以來共假冒超過 400 個以上知名品牌，包括可口可樂、麥當勞、Knorr、Uniliver、Shopee、Emirates 等，領域遍及零售、銀行與金融服務、旅遊、醫療、運輸、財經、能源等部門。 Cyjax 指出，自 2022 年 3 月起，Fangxiao 駭侵團體至少使用 24,000 個以上網域，用來放置各種 Landing 網頁與問卷調查，以高額獎賞為誘餌，誘使用戶上當而連入該詐騙網域。 Cyjax 也指出，該駭侵團體多數用來發動詐騙攻擊的網域，都使用如 .top、.cn、.cyou、.xyz、.work、.tech 等頂級網域；這些網域多半在 GoDaddy、NameCheap 和 Wix 註冊，並透過 Cloudflare 來隱藏。 為了產生大量連往其詐騙網站流量，Fangxiao 每天約註冊 300 個全新的詐騙網域。而為避免用戶感覺異常，這些問卷都還有限時回答計時器，以讓受害者專注於回答問題而放鬆警戒。 Cyjax 也發現 Fangxiao 在一個上架於 Google Play Store 中的 App「Booster Lite - RAM Booster」中放置詐騙網站的廣告；該 App 已被下載超過 1000 萬次。 建議用戶在瀏覽網站或使用內置廣告的 App 時，必須對於提供不正常高額獎賞的廣告提高警覺；若打著知名品牌旗號，最好到其官網或官方社群帳號查詢，該活動是否確實由官方舉辦，勿輕易點擊並參加活動。

資安廠商 Cyble 旗下的資安研究人員，日前發現一個名為「Drinik」的 Android 惡意軟體，現正發動大規模攻擊行動，鎖定 18 家印度主要銀行的用戶，意圖竊取其個資與銀行登入資訊。 Drinik 早在 2016 年就被發現針對印度手機用戶發動攻擊，當時最早是竊取手機簡訊內容，到了 2021 年 9 月時，該惡意軟體新增金融特洛依木馬的攻擊能力，目標鎖定 27 家印度金融機構的用戶，將用戶導向至釣魚網頁以竊取機敏資訊。 近日 Cyble 發現 Drinik 再度改版，這次的攻擊手法是偽裝成印度政府官方國稅局的稅務管理 App，引誘用戶下載後再設法竊取用戶的各種個資與金融服務登入資訊。 報告指出，Drinik 設法誘使用戶安裝一個叫做「iAssist」的 APK 檔案，該檔案宣稱是印度國稅局的稅務管理工具軟體，並會在安裝時向用戶要求多種權限，包括接收、讀取與發送簡訊、讀取用戶通話記錄、讀寫外部儲存媒體，以及最重要的輔助使用服務權限。 用戶一旦給予這些權限，Drinik 會立即關閉 Google Play Protect 的惡意軟體防護功能，並且開始竊聽或盜錄用戶的操作，例如私下進行螢幕截圖、記錄用戶按鍵輸入等等，接著載入真正的印度國稅局所得稅申報頁面，在用戶輸入登入資訊時，同時竊取用戶輸入的資料。 建議智慧型手機用戶應絕對避免在非官方管道自行安裝任何應用程式，同時不應試圖破解手機（即越獄），以免系統內建的防護機制失靈；應用程式如果要求過多不必要權限，也應提高警覺，應拒絕給予權限並立即刪除該應用程式。

澳洲大型銀行兼保險業者 Medibank 日前發表資安通報，證實在近期發生的勒贖攻擊中，該行儲存的所有客戶個資與大量健康申告書資料，都遭到駭侵者竊走，受害客戶總數高達 280 萬人。 該行在日前發表的聲明中承認，這次勒贖攻擊對該行客戶資料造成的危害，經過調查後發現比預期的大相當多；個人資料與個人健康申告資料被竊的客戶，包括該行的所有澳洲籍保險客戶、所有國際學生保險客戶、所有 Medibank 銀行客戶等。 該行也在聲明中指出，發現駭侵者有刻意刪除系統存取資料的行為，因此無法排除在客戶個資遭竊之外，還會發現更大損失的可能。 這波針對 Medibank 的駭侵攻擊活動，發生於 2022 年 10 月 12 日；Medibank 在隔天隨即發布資安通報，當時通報指出沒有資料遭竊的證據；不過數日後 Medibank 承認勒贖攻擊者與該行聯絡，並且展示竊自該行的 200GB 資料，該行進一步調查後才發現所有客戶資料全都遭到駭侵者竊走。 目前該行對外表示，仍持續進行調查，並與執法單位合作；對於受這起資料竊取事件影響的 Medibank 保險與銀行客戶，該公司提供財務支援，必須重新申請證件辦理的客戶，其一切費用亦由該行負擔。 此外，鑑於澳洲近日發生多起針對公私單位的駭侵攻擊活動，澳洲政府也準備提高個資保護相關罰則；未能保護客戶資料導致遭駭的罰金，將從目前的 222 萬澳元大幅提高到 5,000 萬澳元，或是所造成損失的三倍金額，或是該公司當年營收的 30%，三者取最大值予以裁罰。 鑑於各類個資竊取造成的損失愈來愈大，政府對這類資安管理失當的裁罰也日漸加重，握有客戶個資的公私單位應思考減少對於客戶個資的需求，同時加強各種資安防護能力，避免所保存的個資被竊而遭到重罰，以及對應的司法賠償與刑事責任。