不要错过 - 頁面 22

資安廠商 ZScaler 旗下的研究單位 ThreatLabz，日前發表研究報告，指出 Google Play Store 中發現 3 種不同的 Android 惡意軟體，藏身於多個 Android App 之中，總下載次數達 30 萬次以上。用戶若不慎下載安裝這些軟體，就會遭惡意軟體各種不同形態的攻擊。 第一種惡意軟體稱為「Joker」，用戶一旦感染這種惡意軟體，Joker 即會竊取用戶 Android 裝置內的多種資訊，包括簡訊內容、通訊錄中的聯絡人資訊，還會擅自訂購多種高價服務，造成用戶行動帳單費用暴增。 已知 Joker 藏身於多達 50 個 Google Play Store 中上架的 App 內，其中有一半以上是通訊軟體；由於這類 App 需要用戶給予較多存取權限（例如麥克風、攝影機、相簿、通訊錄、電話撥打、簡訊讀寫與傳輸等），因此往往是惡意軟體藏身的首選。 第二種惡意軟體稱為「Facestealer」，顧名思義，該惡意軟體專以釣魚網頁竊取用戶的 Facebook 登入資訊。 資安專家指出，Facestealer 藏身於一個叫做 Valina Snap Camera 的拍照 App 中，下載次數約有 5,000 次。 第三種惡意軟體名為「Coper」，也是一種資訊竊取惡意軟體，除了會攔截用戶的簡訊內容外，也會竊取鍵盤輸入字元、透過畫面覆疊誘使用戶輸入機敏資訊、發送惡意簡訊，並將攔截到的內容傳回駭侵者設立的控制伺服器。 ZScaler 指出有一個叫做 Unicc QR Scanner 的 App 內含 Coper 惡意軟體，感染裝置約在 1,000 台左右。 建議用戶即使透過官方的 App 商店下載安裝手機軟體，也應提高警覺，於下載前仔細檢閱說明與用戶評價；如果 App 出現可疑行為，如要求輸入各種登入資訊，或要求過多權限，也應立即停用並移除。

資安廠商 Dragos 旗下的資安專家，近日發現有駭侵者在網路上販售可破解多個廠牌工業控制設備（Industrial Control System, ICS）中「可程式化邏輯控制器」（Programmable Logic Controller, PLC）登入密碼的軟體，受影響產品的製造商遍及歐美日韓各大廠牌，嚴重影響各種工業設備的安全。 據報告指出，駭侵者在其社群媒體帳號中宣稱，能夠破解各大廠牌 PLC 與人機介面（Human-machine Interface, HMI）的登入密碼，受影響的廠牌包括 Automation Direct、Omron、Siemens、Fuji Electric、Mitsubishi、LG、Pro-Face、Allen、Bradley、Weintek、ABB、Panasonic 等。 據 Dragos 指出，該公司是在研究分析發生於 Autoation Direct 生產的 DirectLogic PLC 相關資安事件時，發現了有破解軟體可利用該裝置的一個已知漏洞，來取得登入密碼。 Dragos 同時指出，該破解軟體也會試圖安裝一個名為 Sality 的惡意軟體，可在使用者的電腦中建立一個同儕僵屍網路，用以發動後續的各種駭侵攻擊。 資安專家說，Sality 是一個頗有歷史的老舊惡意軟體，除了可以下載額外酬載、竊取宿主電腦內的資訊外，也能透過 Windows 網路、外接式儲存裝置等來進行散布，以發動各式不同的駭侵攻擊。 Dragos 表示，如果工業製造廠的工程師，為了快速找出 PLC 的登入密碼，而濫用這類破解工具，就很可能造成整個工業製造系統的資安危機。 建議各製造業者應嚴令禁止使用這類來路不明的密碼破解工具，如需取回密碼，應依正規管道尋求原廠支援；製造業者對工業系統的資安防護能力亦應加強，當有人員便宜行事，導致惡意軟體入侵時，才能予以偵測防範。

全球熱門 NFT 遊戲平台 Axie Infinity，曾於今（2022）年三月時發生損失高達 5.4 億美元的駭侵事件；日前一家名為 The Block 的區塊鏈專業媒體發表調查報告，指出該起攻擊事件係由 APT 組織 Lazarus 成員應徵該平台資深工程師職務，混入平台後進而竊得重要金鑰所致。 Axie Infinity 是目前全球熱門的 NFT 遊戲平台之一，主打「邊玩邊賺」模式，玩家只要在平台內購買以 NFT 型式販售的虛擬寵物和道具，即可透過對戰和寵物養成買賣來賺取利潤。最熱門時每日活躍用戶高達 270 萬人，每周交易額高達 2.14 億美元；甚至在菲律賓等東南亞國家，更有許多人靠替玩家代練虛擬寵物維生。 The Block 在近日推出的調查報告中說，該平台遭駭是因為 APT 團體成員，以空頭公司透過求職求才社群平台 LinkedIn，對 Axie Infinity 內部資深工程師進行高薪挖角，並發給獲得「錄取」的 Axie Infinity 工程師一個含有惡意程式碼的 PDF 檔做為錄取通知書，藉以駭入 Axie Infinity 使用的以太坊區塊鏈側鏈 Ronin 的系統內。 該報告指出，Lazarus 的駭侵者在成功入侵 Ronin 的系統後，很快就在 3 月 23 日取得了在 Ronin 上負責驗證交易的 9 個驗證者中的其中 5 個，因而可以控制交易驗證。資安專家表示，Axie Infinity 的區塊鏈交易問題不只是出在驗證者數量過少，更是因為這些驗證者都集中在一處，不夠分散，因此才會讓駭侵者一次掌握過半的驗證者，可以任意操作交易結果。 在 3 月發生的該起駭侵攻擊中，Lazarus 共取得高達 173,600 枚以太幣，以及 2,550 萬枚 USDC 穩定幣，以當時幣價來看，相當於 5.4 億美元，是一次十分成功的魚叉式釣魚攻擊。 鑑於駭侵者用以植入惡意軟體的手段愈見多元，建議掌握大量金流或用戶個資的公私單位，都必須加強釣魚攻擊的對抗能力，並且嚴格要求工作者禁止利用工作用電腦存取私人資源。

資安廠商 Evina 旗下的資安專家 Maxime Ingrao 近日發表研究報告，指出發現多個 Google Play Store 中的各類 Android 應用程式，內含一個會偷偷幫用戶訂閱高價服務，藉以賺取不法利益的惡意軟體 Autolycos；這些應用程式的總下載次數已經超過 300 萬次，Android 用戶需特別提高警覺。 據指出，Autolycos 這個惡意軟體，會在用戶不知情的情形下，悄悄透過遠端瀏覽器開啟 URL，而不使用 Webview，以避免遭到裝置上作業系統與防毒防駭軟體的偵測，用戶本人也更難以發現。 Maxime Ingrao 指出，目前已知至少有 8 個含有 Autolycos 惡意軟體的 Android 應用程式，在 Google Play Store 中上架，其中有 6 個已遭 Google 下架，其名稱與下載次數分別如下： Vlog Star Video Editor (com.vlog.star.video.editor) – 1 百萬次 Creative 3D Launcher (app.launcher.creative3d) – 1 百萬次 Wow Beauty Camera (com.wowbeauty.camera) – 10 萬次 Gif Emoji Keyboard (com.gif.emoji.keyboard) – 10 萬次 Freeglow Camera 1.0.0 (com.glow.camera.open) –  5 千次 Coco Camera v1.1 (com.toomore.cool.camera) –1 千次 Maxime Ingrao 於 2021 年 6 月發現這些含有 Autolycos 惡意軟體的應用程式後，立即通報 Google 進行處理；Google 雖然當時回應表示將進行處理，但過了 6 個月後，只移除了 8 個惡意 app 中的 6 個，另外還有 2 個 App 直到 Maxime Ingrao 近日公布其發現後才予以下架，分別是 Funny Camera by KellyTech 以及 Raxer Keyboard & Theme by rxcheldiolola，各有 50 萬次下載。 建議用戶即使在官方管道下載 App，也應注意檢視用戶評價與評論，如發現評價中有異常之處，應避免下載安裝該 App。

資安廠商 Proofpoint 日前發表研究報告，該公司旗下多位資安專家聯合撰文，指出多個國家的「進階持續性威脅」（Advanced Persistent Threat, APT）駭侵團體，近年來開始採用各種方法針對各國媒體發動駭侵攻擊行動，包括針對記者的魚叉式釣魚攻擊，或是假扮記者監控重點目標等，情況日趨嚴重，各國政府與新聞媒體暨從業人員，應特別提高警覺。 報告中指出，由於新聞媒體經常握有各種尚不為外界所知的情報和機敏資訊，也有許多重要的採訪對象，極具駭侵監控價值與誘因，因此新聞媒體本身及其從業人員，以及重要的採訪諮詢對象，都是各國 APT 駭侵團體的重點攻擊目標。 報告中指出，目前已證實一個稱為「Zirconium」（TA412）的駭侵團體，自 2021 年初起就透過魚叉式釣魚信件，鎖定美國多個媒體旗下的記者進行駭侵攻擊，以釣魚信件植入惡意軟體，收集記者本人所在地、IP、ISP 等資訊，並竊取記者的通訊內容；而自 2022 年 2 月起，Zirconium 集中火力攻擊專門報導烏俄戰爭的記者群。 報告也指出，自 2022 年 4 月起，另一個駭侵團體 TA459，針對追蹤報導阿富汗外交政策的媒體與其人員發動攻擊，以稱為 Chinoxy 的惡意軟體藏於信件中的 RTF 檔中。 駭侵團體 TA404 則於 2022 年春起，開始透過詐騙挖角方式，攻擊媒體從業人員；駭侵團體 TA482 則試圖竊取媒體與人員使用的社群平台帳號。 報告也指出，駭侵團體 TA453 的攻擊方式不太一樣，是假冒成媒體記者，對重要的中東政策研究學者寄出假稱採訪的釣魚信件；而駭侵團體 TA456 則是假冒 Fox News 與 Guardian 來發送釣魚電子報，在電子報中夾藏惡意連結。 由於媒體掌握相當多的未公開情報，對社會也具有較大影響力，因此媒體組織本身與其從業人員，都應加強防範各種駭侵攻擊；經常受訪的人士也應提高警覺，確認訪問者的身分，勿隨意開啟郵件附檔與連結。