不要错过 - 頁面 20

澳洲政府日前起訴一個製作並販賣監控惡意軟體 Imminent Monitor 的 24 歲澳洲籍軟體開發者，該惡意軟體曾販售給超過 128 國的 14,500 人，用於不當監控受害者並竊取多種機敏資訊。 澳洲警方近日發布新聞稿，指出該名開發者創作的監控軟體，有許多暴力犯與各種犯行購買，可用於遠端遙控受害者的裝置、竊取裝置上的多種資訊，包括用戶輸入資訊、儲存於裝置內的檔案與資料、擷取螢幕畫面、自用戶裝置的 webcam 錄影錄音等等。 警方表示，Immienet Monitor 是自 2013 年開始對外販賣，當時該開發者年僅 15 歲；開發者以遠端管理軟體的名義宣傳 Imminent Monitor，且售價相當便宜，只需 25 美元即可購得永久使用權，甚至包括客戶服務在內。 雖然 Imminent Monitor 表面上看似正常的遠端管理工具，但在駭侵相關論壇和客服內容中，開發者卻以「Shockwave」為名做為招徠，強調其駭侵能力。 2019 年 4 月，在某個駭侵相關論壇中，有一篇討論 Shockwave 突然消失的貼文；貼文作者推測 Shockwave 的作者可能已遭到逮捕；該文同時警告 Shockwave 的使用者亦有遭到追緝的可能。 除了澳洲警方的逮捕行動外，2019 年 11 月時，歐洲刑警組織（Europol）亦展開一波針對 Imminent Monitor 不法使用者的打擊行動，逮捕 13 名大量使用者，並且查獲 430 台相關設備及宣傳用網域等。 建議個人或公司行號如有遠端設備管理需求，應購買信譽良好的大公司產品，切勿購買來路不明的軟體產品或服務，以免發生此類糾紛。

西班牙警方日前發布通報，宣布逮捕兩名據信涉嫌於去（2021）年三月與六月間駭侵該國輻射警報系統網路的駭侵者；相關單位已經展開進一步的偵訊。 據報導，這兩名嫌犯先前曾在該國負責維運輻射警報系統網路部門「民眾保護與緊急事件指揮總署」（General Directorate of Civil Protection and Emergencies, DGPCE）的外包業者工作，對於整個系統的運作，以及如何駭入，具有深厚的知識。 兩名嫌犯遭控訴試圖非法存取 DGPCE 所屬網路，企圖刪除輻射警報網路系統在控制中心的 web 應用程式。 兩名嫌犯也涉及攻擊分布於西班牙全國各地的輻射偵測設施；全國八百多組輻射偵測設施中，有三百多組遭其攻擊，無法於中央輻射警報系統連線並傳輸資料。 該單位是在 2021 年 6 月起發現系統遭到攻擊，在與西班牙警方協同偵辦長達一年後，才掌握兩名犯嫌的行蹤並予以逮捕，同時緝獲多台可能與犯行相關的電腦與網通設備。 據報導，西班牙境內目前共有 7 座運作的的核反應爐，發電量占該國總電力需求的 20%；而其輻射偵測設施的任務，是發現突然增高的輻射量，以立即找出原因予以處理；該系統共有 800 多個分布在西班牙各地的輻射偵測設施，以電話線與 DGPCE 總部連線，回報即時輻射偵測數值。 該兩名嫌犯成功使 300 多個輻射偵測設施離線無法運作，使得政府無法即時反應潛在的核能安全事故；對於該國核能安全造成嚴重威脅。 建議針對這類可能造成嚴重公共安全事故的關鍵基礎設施與其防護系統，應加強其實體與資安防護能力，同時加強在離職人員的考核，以嚴防滲透與不當存取，以及惡意破壞行為。

資安廠商 McAfee 旗下的研究人員，近日發現有駭侵者利用 Facebook 廣告來散布上架至 Google Play Store 中的多個廣告惡意軟體；這些惡意 App 目前已有 700 萬次下載安裝。 McAfee 的報告指出，這幾個成功上架到 Google Play Store 的廣告惡意軟體，偽裝成多種用戶可能需要的類型，包括 Android 系統清理工具、手機執行效能提升工具等等，但實際上不但缺少宣稱的功能，本質上更是廣告惡意軟體。 報告指出，這些廣告惡意 App 係濫用 Contact Provider Android 組件，該組件可讓裝置與線上服務之間互相傳輸資料；每次安裝軟體時都會呼叫該組件，這些廣告軟體便趁機啟用廣告推送程序，讓用戶以為廣告是由他們新安裝的 App 所顯示的。 為了避免遭到用戶刪除，這些廣告 App 還經常更換其顯示圖示與名稱，偽裝成 Android 系統設定或 Play Store 應用程式，以混淆用戶視聽。 McAfee 指出，目前所知這些惡意 App 共有 13 種；由於 Facebook 廣告的散布助力，總下載次數高達 700 萬次以上；這 13 種 App 在 Google Play Store 中的名稱如下： Junk Cleaner EasyCleaner Power Doctor Super Clean Full Clean Fingertip Cleaner Quick Cleaner Keep Clean Windy Clean Carpet Clean Cool Clean Strong Clean Meteor Clean McAfee 表示，受害用戶最多的國家包括南韓、日本、巴西等，但全世界各地也都有不少受害者。 建議用戶在下載各種 Android App 前，應仔細閱讀評價，如發現可疑之處，或有許多用戶給予負面回饋，應避免下載；對於透過社群平台廣告宣傳的 App，亦應提高警覺。  

美國資安主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA），日前發布 5 個影響工業控制系統的漏洞資安警訊，要求使用這些工業控制系統的生產單位，應立即依通報中的處理方式修補漏洞，以免遭到駭侵者利用這些漏洞發動攻擊。 第一個漏洞警訊指出的漏洞，存於 Inductive Automation Ignition 8.1.9 與 7.9.21 之前的較舊版本內，其漏洞 CVE 編號為 CVE-2022-1704，CVSS v3 漏洞危險程度評分為 8.5 分（滿分為 10 分）；該漏洞可導致駭侵者能夠存取系統內的檔案，造成機敏資訊外洩。 第二個漏洞警訊共含 4 個漏洞，其中有 3 個存於 Honeywell Safety Manager 所有版本內（CVE-2022-30315、CVE-2022-30313、CVE-2022-30316），另一個漏洞 CVE-2022-30314 存於 R160.1 前的較舊版本中，其 CVSS v3 漏洞危險程度評分為 7.7 分（滿分為 10 分）。這批漏洞可導致駭侵者能夠進行系統組態、操弄韌體，其至遠端執行任意程式碼。 第三個漏洞警訊共含 2 個漏洞，均存於 Honeywell Saia Burgess PG5 PCD 所有版本內，其 CVSS v3 漏洞危險程度評分為 7.6 分（滿分為 10 分）。這批漏洞可導致駭侵者跳過身分認證進行系統組態操弄。 第四個漏洞警訊共含 2 個漏洞，均存於 MOXA NPort 5110 版本 2.10 內，其 CVSS v3 漏洞危險程度評分為 8.2 分（滿分為 10 分）。這兩個漏洞可導致駭侵者變更記憶體內的數值，並且造成機器設備無法操作。 第五個漏洞警訊共含 3 個漏洞，均存於 Mitsubishi Electrics MELSEC 與 MELIPC 系列多個版本內，其 CVSS v3 漏洞危險程度評分為 7.5 分（滿分為 10 分）。這三個漏洞可導致駭侵者利用設備發動 DoS 攻擊，系統必須重新啟動才能修復。 建議採用上列工業控制系統的業者，應立即按照 CISA 在各該漏洞通報的處理建議進行必要處分，例如更新韌體版本或強化資安設定。

去中心化區塊鏈音樂平台 Audius，據傳於上周末遭到駭侵攻擊，導致 1,800 萬枚 AUDIO 代幣遭竊，換算成美元的損失高達 600 萬美元。 該平台於 7 月 24 日在 Twitter 上發表聲明，指出該公司已發現系統遭到不當存取；該公司暫時停止部分系統功能運作，以防駭侵者進一步攻擊。 該平台於隔日發表事件調查報告，指出駭侵者係利用其合約啟動模組中的一個漏洞發動攻擊，導致社群儲備資金有近 1,850 萬枚 AUDIO 代幣遭到竊走；此外駭侵者還試圖利用去中心化平台的投票機制，發動四個將所有社群儲備代幣轉帳至駭侵者錢包的投票，其中三個投票通過，一個未能通過。 Audius 平台是一個透過以太坊區塊鏈架設的串流音樂平台；音樂創作者在 Audius 平台上分享音樂時，可賺取 AUDIO 代幣；而用戶聆聽平台上的音樂或分享音樂，也可以賺取代幣。 駭侵者在竊得這批代幣後，隨即在去中心化交易所 UniSwap 中交易其竊得的代幣，將其交換為隱匿行蹤能力更佳的 Tornado Cash 代幣；但出售金額僅為 107 萬美元，其價值減損高達六分之五。 該公司表示，其系統於 2020 年 8 月與 2021 年 10 月兩度通過兩家不同區塊鏈資安公司的稽核，但沒有任何一家發現這次遭駭侵者利用的漏洞。 該公司目前系統已恢復運作，但代幣質押與委任的部分智慧合約功能仍在修復中，尚未開放使用。 由於這類加密貨幣平台漏洞，經常可能造成用戶的鉅額資金損失，建議加密貨幣投資人應避免將資產過度集中於單一平台或協定，且應妥善保管數位錢包的恢復短語。

資安廠商 Kaspersky 日前發現，搭載 Intel H81 晶片組的部分主機板產品，其 UEFI 的韌體程式碼中發現一個名為 CosmicStrand 的 rootkit 惡意軟體，且可追溯至 2016 年底。 UEFI（Unified Extensible Firmware Interface）是主機板韌體與作業系統的溝通橋樑，是電腦開啟電源時最先執行的程式碼；執行完此程式碼後，才會載入作業系統與後續的資安防護軟體，因此 UEFI 內的 rootkit 惡意軟體，不只開發難度高，也十分難以偵測移除。 這次由 Kaspersky 資安專家發現的 ComicStrand rootkit 惡意軟體，會修改作業系統載入程序，取得電腦控制權限，並在 Windows 核心中直接執行下載自駭侵控制伺服器的惡意酬載。 資安專家表示，ComicStrand 與另一家資安廠商奇虎 360 在 2017 年發現的另一個 rootkit 惡意軟體十分接近，可以視為該惡意軟體的變種；而 Kaspersky 也指出，發現 CosmicStrand rootkit 的主機板，同樣都採用 Intel H81 晶片組，因此可以推測駭侵者可能利用 Intel H81 晶片組內的一個漏洞，來進行 CosmicStrand 的開發與布署。 Kaspersky 目前發現含有此 rootkit 的主機板，均為 2013 至 2015 間生產的舊品，目前早已停產。 Kaspersky 說明，目前尚難以發現駭侵者是用什麼手法在主機板中注入 CosmicStrand rootkit，因為必須進行裝置實體操作，才能在韌體中注入惡意軟體；目前推測是駭侵者散布含有惡意程式碼的韌體更新程式，來進行 CosmicStrand 的散布。 建議進行任何軟硬體的系統更新時，切勿使用來路不明的更新工具；請務必自產品官方網站或內建更新機制進行更新，以免感染此類惡意軟體。 主機板製造廠商也建議： 1、客戶購買二手主機板，立即上網下載最新的官方 BIOS image 更新。若無法更新或提示型號不對，可送鄰近維修點辨認處理。 2、若需要硬體層級的保護，可採用具有 Intel Boot Guard 或 Intel Platform Firmware Resilience 功能的主機板，並啟動 UEFI Secure Boot 功能確保 trust chain，能抵擋 ROM 元件被更換或直接燒錄的攻擊。

資安廠商 Check Point 日前公布 2022 年第 2 季釣魚攻擊統計，在常被駭侵者冒名用於釣魚攻擊的全球各大品牌中，求職社群網站 LinkedIn 仍然如先前的統計一樣高居首位，且冒名比例遠高於其他品牌。 Check Point 的報告指出，和上一季的數字相比，雖然 LinkedIn 的冒名釣魚比例自 52% 下降到 45%，但仍然高居所有常遭冒名品牌的第一名。 其他在這次冒名榜上的大品牌，及其遭冒名的比例，分別為 Microsoft（13%）、DHL（12%）、Amazon（9%）、Apple（3%）、Adidas（2%）、Google（1%）、Netflix（1%）、Adobe（1%）、HSBC（1%）。 報告說，駭侵者最常冒名 LinkedIn 寄送給用戶的釣魚郵件，通常是假冒「你的檔案本周已有 100 人瀏覽」，或是「你有一封新的未讀訊息」之類的通知信件；而寄件者的 email address 通常看起來會很像 LinkedIn 官方的支援服務或資安團隊所發。 有些其他冒名 LinkedIn 的釣魚信，則會詐稱用戶獲得免費升級至 LinkedIn Pro 專業版，或是詐稱進行系統升級，甚至指稱用戶因違反使用條款而將遭停權，以誘使用戶點按信中的惡意連結。 用戶點按惡意連結後，即會被導入到釣魚網頁，誘使用戶輸入其 LinkedIn 的登入資訊；駭侵者再利用該登入資訊，來對受害者在 LinkedIn 上的同事或有價值的目標，發動進一步的駭侵攻擊。 建議收到疑似釣魚攻擊的不明郵件時，切勿點按信中的惡意連結或開啟不明檔案，應先確認寄件人 Email Address 的正確性，或是直接忽略該信件。

資安廠商 Avast 日前發表資安通報，指出該公司旗下的資安專家，日前發現一家惡意軟體公司 Candiru，利用 Google Chrome 一個 0-day 漏洞製作惡意軟體「DevilsTongue」，專門用以駭侵中東國家多名媒體記者與重要人士。 被 Candiru 公司用來製作 DevilsTongue 惡意軟體的 Google Chrome 0-day 漏洞，其 CVE 編號為 CVE-2022-2294，屬於 WebRTC 的 heap-base 暫存器溢位漏洞；駭侵者可誘使受害者前往特製的網站，誘發溢位錯誤後即可遠端執行任意程式碼。 該漏洞的 CVSS 漏洞危險程度分數為 8.8 分（滿分為 10 分），危險程度評級則為「高」（high）。 Avast 在報告中指出，雖然 Google 已於今（2022）年 7 月 4 日發布新版 Google Chrome 並修復本漏洞，但 Avast 發現有許多該公司的中東客戶遭到由 Candiru 開發的 DevilsTongue 透過此漏洞發動攻擊，進一步分析後發現攻擊對象有多數都位於黎巴嫩，其中有許多是新聞記者。 Avast 說，除了黎巴嫩外，Candiru 的攻擊對象還分布在土耳其、葉門、巴勒斯坦等地，攻擊對象十分集中，屬於一種水坑式釣魚攻擊。 報告說，駭侵者誘使列為攻擊目標的新聞從業人員進入其特製的惡意網站，導致其感染惡意軟體；接著開始竊取被害者的多種機敏資訊，包括語言、時區、螢幕資訊、裝置類型、瀏覽器外掛程式、推薦來源、裝置記憶體、cookie 功能等等。目前還不清楚駭侵者具體竊走哪些資料，但針對新聞記者的資安攻擊，目的多半是為了收集情報。 建議可能接觸機密情資的個人與單位，均應加強對各式釣魚攻擊的防範能力與意識，包括不任意點按不明連結，不任意開啟不明郵件夾檔，仔細檢視寄件人資訊等等，且應隨時升級至最新版本軟體與韌體，避免駭侵者利用未修補漏洞發動攻擊。 CVE編號：CVE-2022-2294 影響產品(版本)：Google Chrome 版本 103.0.5060.114 之前版本。 解決方案：升級至 Google Chrome 版本 103.0.5060.114 與後續版本。

資安媒體 Restore Privacy 日前發布新聞，指出資安專家發現有駭侵者在駭侵相關論壇上出售 540 萬 Twiiter 用戶的個資；該批個資係透過 Twitter Android App 中的一個漏洞取得。 據 Restore Privavy 指出，駭侵者很可能是利用 Twitter Android App 中的一個漏洞來取得這些個資。該漏洞可讓任何人在不需任何驗證的情形下，只要提供電話號碼或 Email 信箱，即可取得用戶的 Twitter ID，這相當於取得該用戶的登入名稱。 有了這個 Twitter ID 後，駭侵者就可以取得用戶在其個人檔案中輸入的各種資訊，並且利用這些資訊，進一步取得更詳細的個資，並在駭侵相關論壇上出售這批資訊，要價 3 萬美元。 Twitter 官方尚未證實這起資安事件，但資安媒體根據部分流出的資訊進行驗證，發現這些個資屬實的可能性相當高。 資安專家指出，駭侵者除了可以出售這批個資牟利之外，還可以進一步利用這些個資，發動進一步的攻擊，例如釣魚攻擊等等。 雖然該漏洞已在今（2022）年 1 月 13 日就獲得修復，但資安媒體與試圖出售資料的駭侵者聯絡時，駭侵者表示資料是於去（2021）年開始收集的。 由於這類可歸因於社群平台或服務商的漏洞，用戶比較難以防範，因此用戶應避免在社群平台上公開個人或服務機構相關的機敏資訊（如真實姓名、 Email 地址、電話號碼、重要證件編號、居住地址、所在地等），以避免駭侵者以類似手法竊得個資。

資安廠商 SEKOIA 日前指出，一波稱為 Roaming Mantis 的大規模攻擊行動，正在多個國家進行中；現在更針對兩大平台行動裝置用戶發動惡意軟體植入與釣魚攻擊，意在騙取用戶的金融資產。 SEKOIA 指出，Roaming Mantis 的攻擊行動，過去曾在德國、台灣、南韓、日本、美國、英國等地大肆發動攻擊，現階段則是重點集中在攻擊法國境內的行動裝置用戶。 SEKOIA 說，該公司是在今（2022）年 2 月份開始觀測到 Roaming Mantis 於歐洲的駭侵攻擊活動；近來該攻擊的形態則是以詐騙簡訊進行。如果 Android 用戶誤點簡訊中的惡意連結，就會將惡意軟體下載到裝置內；如果是 iOS 用戶點按惡意連結，則會被導向到一個釣魚網頁，誘使用戶輸入其 Apple 帳號登入資訊。 SEKOIA 在報告中分析，安裝在 Android 手機中的軟意軟體稱為  XLoader (MoqHao) 酬載，功能非常強大，能夠進行諸如遠端遙控、資訊竊取、發送垃圾簡訊等操作。 目前針對法國用戶發送的垃圾簡訊，其內容是詐稱有貨物包裹即將寄達受害者，需要受害者點按連結，以進行進一步的確認並指定送達地點。法國境內用戶會因其使用的手機平台，而有上述的不同攻擊方式，而法國境外的用戶，只會看到 404 錯誤頁面。 SEKOIA 的觀測報告指出，在 Roaming Mantis 這波針對法國用戶的攻擊中，已觀測到高達 7 萬個不重覆 IP 存取駭侵者設立的控制伺服器，並發出 XLoader 惡意軟體下載要求；iOS 的釣魚頁面存取數量不明，但想必會比 Andoird 更多。 建議行動裝置用戶收到不明簡訊時，切勿點擊內含連結，應直接將該不明簡訊設定為垃圾內容；如不慎誤點連結，也不要下載安裝任何軟體，或輪入任何登入資訊。