不要错过 - 頁面 3

美國聯邦通訊委員會（Federal Communication Commission, FCC）日前推出新規定，強制要求各家電信業者強化 SIM 卡補發或攜碼轉換電信業者作業申請的安全驗證流程，以保護消費者免於日益嚴重的 SIM-swap 攻擊。 FCC 旗下的「隱私與資料保護工作小組」（Privacy and Data Protection Task Force）在 2023 年 7 月研擬推出新規定，以強化消費者與電信業者對 SIM-swap 攻擊的防護能力。所謂 SIM-swap 攻擊是指駭侵者假冒消費者要求補發手機 SIM 卡或申請攜碼至其他電信業者以取得新 SIM 卡，藉以竊取消費者的手機門號控制權。 駭侵者取得新 SIM 卡後，即可以該門號來進行進一步的攻擊活動，例如配合竊得的用戶登入資訊，以該門號接收二階段登入驗證簡訊，取得消費者各種社群與金融服務帳號的控制權，或是假冒消費者身分使用或申請各種服務，以散布惡意連結或惡意軟體等，為害甚大。 FCC 本次新規定修改了與「消費者專屬網路資訊」（Customer Proprietary Network Information，CPNI）與「本地門號可攜性」（Local Number Portability）的相關規定，強制要求電信業者在接獲消費者進行新 SIM 補發或攜碼至其他電信業者服務時，必須進行額外的使用者身分驗證，並且明確通知用戶。 FCC 表示，新規定強化了電信業者對消費者的安全保護責任，期可大幅提高 SIM-swap 的攻擊難度，減少這類攻擊的得逞。 由於在台灣申請這類電信服務均需出示雙證件，因此國內的 SIM-swap 攻擊較為少見；但消費者如果擁有國外電信門號，務必提防這類攻擊。

加拿大政府日前發表資安通報，指出兩家為加拿大政府處理員工轉調手續的外包廠商，日前遭到勒贖攻擊，致使加拿大政府雇員的多種個資外洩。 據加拿大政府的通報指出，兩家協助該國政府員工轉調手續的廠商，分別是 Brookfield Globla Relocation Services (BGRS) 與 SIRVA Worldwide Relocation & Moving Services，兩家公司自 1999 年起即承辦加拿大政府員工調任的相關事宜。 加拿大政府雖然沒有在通報中詳細說明兩家公司遭駭的詳情，但勒贖團體 LockBit 在其官網中表示是該組織犯下對 SIRVA 公司的勒贖攻擊；LockBit 也揚言已經取得該公司多達 1.5TB 的資料，並向該公司要求高達 100 萬美元的贖金，但 SIRVA 並未支付，因此該批被竊資料就遭到 LockBit 公開在暗網中。 另一方面，加拿大政府於 2023 年 10 月 19 日接獲兩家外包廠商遭駭的通報後，立即向該國資安主管機關加拿大資安中心（Canadian Centre for Cyber Security）與隱私保護官辦公室（Office of the Privacy Commissioner）通報事故。 在加拿大政府對外公開的資安通報中，並未提供本次事件的受害人相關資訊，包括潛在的加拿大政府雇員受害者人數在內；不過由於 BGRS 和 SIRVA 兩家公司自 1999 年開始就承接相關業務，因此包括個人資訊財務資訊遭竊的受害者人數可能不在少數。包括加拿大皇家警察（Royal Canadian Mounted Police）、加拿大空軍與多個政府單位從業人員都受到影響。 加拿大政府表示，已針對受害者提供信用監控服務，並對有需要的人員重新核發有效護照等證件；加拿大政府也將在案件調查告一段落後盡快公布調查報告。 建議各政府單位協力外包廠商，應加強資安防護能力，避免政府所屬各種機密文件與人員相關資料遭竊。

全球大型財經媒體彭博新聞（Bloomberg News）所屬的加密貨幣子頻道，其在 X 平台上官方帳號日前遭竊，稍後該官方帳號即遭駭侵者用於進行詐騙，將讀者導向至釣魚網站，以騙取受害者的 Discord 平台登入資訊。 根據加密貨幣詐騙觀察家 ZachXBT 指出，駭侵者在該帳號的個人檔案中，放入了一個原本就有 14,000 個成員的 Telegram 聊天頻道連結；該連結會將點按者導向到一個有 近 34,000 名成員的假冒 Bloomberg Discord 聊天室。 據 ZachXBT 指出，Bloomberg 原本的 Telegram 頻道，其使用者名稱為 @BloombergNewsCrypto；在 2023 年 10 月時，該頻道更名為 @BloombergCrypto，但原先使用的舊名因不明原因遭到駭侵者取得，並用來發動釣魚攻擊。 受害者如果進入該舊 Telegram 頻道後，會看到由機器人自動發送的訊息，要求使用者前往其在 Discord 上的聊天室；而使用者在點按該連結後，會先被導到一個假冒的 Discord 使用者身分驗證服務釣魚網站，要求使用者輸入其 Discord 登入資訊，從而竊取使用者的帳密。 資安專家指出，由於許多加密貨幣投資者都使用 Discord 社群服務，因此 Discord 帳號資訊經常成為駭侵者的攻擊目標；駭侵者可利用竊得的 Discord 帳號來推廣加密貨幣詐騙或釣魚攻擊，甚至竊取使用者的加密貨幣資金。 為防範釣魚攻擊，建議加密貨幣投資人避免點按任何不明連結，並採用多階段登入驗證，不在任何可疑網站中提供任何帳密等個人資訊。

美國聯邦調查局（Federal Bureau of Investigation, FBI）與網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA），日前聯合發表資安通報，指出一個名為 Royal 的勒贖團體，自 2022 年 9 月起犯下多起勒贖攻擊，總共要求的贖金高達 2.75 億美元。 FBI 在通報中更新了於 2023 年 3 月發出的資安指引，指出自 2022 年 9 月以來，Royal 勒贖團體的攻擊行動，至少有 350 個以上受害個人或團體。 如同其他勒贖團體的攻擊手法，Royal 勒贖團體會先竊取受害者的資料，然後再將其加密並要求高額解鎖贖金；如果受害者拒付贖金，被竊的資料就會遭到 Royal 公開在其網站上。 兩個單位也指出，Royal 勒贖團體最常用於入侵受害者電腦系統的手法，是藉由釣魚郵件來騙取受害者的系統登入資訊。 資安廠商 RedSense 旗下的資安專家也指出，Royal 在今年 9 月時更名為 BlackSuit，並放棄原先使用的駭侵工具與組織架構；新的組織架構更加企業化，更接近其來源駭侵團體 Conti2 的組織與運作方式。 今年 3 月時 FBI 與 CISA 已經在針對 Royal 勒贖團體發布的資安通報中，提供防範該團體進行駭侵攻擊的指引，包括該團體典型的攻擊手法、流程等詳細資訊，以協助各單位阻擋其攻擊，並且攔截進行攻擊用的惡意程式碼酬載。

Microsoft 日前推出 2023 年 11 月例行資安更新修補包「Patch Tuesday」，共修復 58 個資安漏洞；其中含有 5 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量僅有 58 個，較上個月（2023 年 10 月）的 104 個資安漏洞大為減少；而在這 58 個漏洞中，僅有 3 個屬於「嚴重」等級，另有 5 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 15 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 執行權限提升漏洞：16 個； 資安防護功能略過漏洞：6 個； 遠端執行任意程式碼漏洞：15 個； 資訊洩露漏洞：6 個； 服務阻斷（Denial of Service）漏洞：5 個； 假冒詐騙漏洞：11 個。 本月的 Patch Tuesday 有 5 個 0-day 漏洞，其中有 3 個已遭大規模濫用的兩個，分別如下： 第一個 0-day 漏洞是 CVE 編號為 CVE-2023-36036，存於 Windows Cloud Files Mini Filter Driver 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，提高自身的執行權限到 SYSTEM 等級，但駭侵者是如何運用此漏洞發動攻擊的，目前仍屬未知狀態。 第二個已遭用於攻擊活動的 0-day 漏洞是 CVE-2023-36033，是存於 Windows DWM Core Library 中的執行權限提升漏洞，駭侵者可利用此漏洞獲得 SYSTEM 權限。 第三個已用於攻擊之中的 0-day 漏洞為 CVE-2023-36025，存於 Windows SmartScreen 中，屬於資安防護機制略過漏洞；駭侵者可利用特製的 Internet shortcut 來跳過資安檢測程序與警示訊息顯示。 CVE 編號：CVE-2023-36036、CVE-2023-36033、CVE-2023-36025 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶應立即套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未及更新的漏洞發動攻擊。

東歐國家斯洛維尼亞最大電力公司 Holding Slovenske Elektrarne (HSE)，日前遭到勒贖攻擊，導致該公司部分系統與檔案遭到破壞；但該公司表示供電並未受到影響。 HSE 的電力供應，占斯洛維尼亞國內電力消費的 60% 以上，因此算是該國關鍵基礎設施之一。該公司係於 2001 年由斯洛維尼亞政府設立，目前屬於政府持有的國營企業；其發電方式相當多樣，包括水力發電、火力發電、太陽能發電，甚至還擁有煤礦。HSE 同時也在義大利、賽爾維亞與匈牙利設有分支機構。 據當地媒體報導，攻擊事件係發生於 2023 年 11 月 22 日，該公司於 11 月 24 日發現攻擊事件後，隨即通報斯國資安主管機關，並與警察單位、第三方資安業者與專家合作處理，避免災情擴大到斯洛維尼亞其他機構與系統。 據 HSE 在官方聲明中表示，該公司尚未接獲任何支付贖款的要求，且受到影響的系統，目前侷限於 Sostanj 火力發電廠與 Velenje 煤礦；該公司的供電能力與供電系統運作保持正常。 當地的資安專家指出，這次攻擊事件很可能與 Rhysida 勒贖團體有關；美國資安主管機關 FBI 與 CISA 日前曾針對 Rhysida 勒贈團體的攻擊技術、策略與手段發布資安警訊。 資安專家表示，由於 Rhysida 在攻擊後，通常只會以 Email 來通知受害者，要求受害者以信內提供的密碼，到該團體在暗網設立的網站登入以「協商」贖款，在 Email 中不會有贖金相關金額的資訊。 建議各關鍵基礎設施應加強各類資安防護能力，避免因勒贖或其他型態的資安攻擊，而導致資料外洩，甚至無法正常運作。

Eurocom 旗下的資安專家，近日發現針對藍牙連線通訊的全新攻擊方法 BLUFFS；這些攻擊手法可以介入裝置間的藍牙加密通訊，除可假扮成連線對象裝置外，還可發動各種中間人攻擊（Man-in-the-middle attacks）。 BLUFFS 一共包括六種攻擊手段，其運作原理係應用四個不同的藍牙標準漏洞（其中兩個是未被發現的新漏洞）；這些漏洞發生於裝置間進行藍牙連線時的連線階段解密金鑰的交換流程。 利用這些漏洞的組合，BLUFFS 可以產生出長度較短、較易預測出來的 SKC 金鑰，接著再利用暴力試誤法來試圖解碼藍牙通訊的內容，以便假扮藍牙通訊中的通訊方，進而發動後續的中間人攻擊。 Eurocom 的研究人員不只發展出理論上的攻擊手法，同時也開發出概念驗證工具，可實際進行模擬攻擊；由於該漏洞存於藍牙通訊的基礎架構上，因此不分硬體製造商，所有從 Bluetooth 4.2 到 2023 年 2 月方才發布的最新版本 Bluetooth 5.4，都含有此漏洞。 Eurocom 在研究報告中也提供了對多種市售藍牙晶片與裝置的攻擊結果，各大廠牌推出的各種產品中的藍牙晶片幾乎無一倖免，全部可以使用 BLUFFS 中的六種攻擊手法加以攻擊得逞。 藍牙標準制定者 Bluetooth SIG 已接獲 Eurocom 的通報，並建議廠商在實作藍牙連線時提高加密金鑰長度限制，並使用 Mode 4 Level 4，並在裝置配對時使用 Secure Connection Only 模式，即可避免遭到 BLUFFS 攻擊。

歐洲刑警組織（Europol）、歐洲檢察官組織（Eurojust）日前會同七國執法單位，在烏克蘭境內多處同步執行搜索，成功破獲一個大型勒贖集團，遭該集團攻擊的受害者多達 1,700 個，分布遍及全球 71 國。 超過 20 名來自挪威、法國、德國、美國的調查人員，在行動開始前夕於烏克蘭首都基輔會合，並在荷蘭設立協調行動用的虛擬指揮中心，會同烏克蘭警方於該國境內 30 處以上地點，於 2023 年 11 月 21 日同步展開執法行動。展開搜索行動的城市包括 Kiev、Cherkasy、Rivne、Vinnytsia 等地。 警方行動大有斬獲，不只成功逮捕該勒贖集團的 32 歲首腦，同時也逮捕其他四名集團成員，並扣押多種犯罪相關工具與證物，包括電腦系統、多片 SIM 卡與大量電子犯罪記錄等。 據 Europol 發表的新聞稿指出，該勒贖團體同時利用多種不同的勒贖工具進行攻擊，使用的惡意軟體包括 LockerGoga、MegaCortex、HIVE、Dharma 等；在進行攻擊後，該團體會要求受害企業以比特幣將贖款匯款到指定的加密貨幣交易所帳號，以換取解密用的金鑰。 Europol 也指出，該團體通常先透過暴力試誤法與 SQL 注入攻擊，以及夾帶惡意軟體附檔的釣魚信件，來取得受害企業系統的登入資訊，之後再利用 TrickBot、Cobalt Strike、PowerShell Empire 等惡意軟體來操控受害企業的內網，再啟動勒贖軟體。所有受害企業合計有超過 250 台伺服器遭到加密攻擊，損失高達數億歐元。 建議各公私單位必須強化資安防護與人員教育訓練，避免勒贖團體利用資安漏洞或釣魚成功，因而遭到攻擊，蒙受重大損失。

資安媒體報導，近日一次勒贖攻擊造成獨立遊戲 Ethyrial: Echos of Yore 中所有 17,000 玩家的帳號資料，以及帳號中儲存的遊戲中寶物與進度全部遭到刪除。 Ethyrial: Echos of Yore 是由獨立遊戲開發廠商 Gellyberry Studios 開發的多人線上角色扮演遊戲，提供使用者免費遊玩；但玩家也可以選擇每月付費以支持遊戲開發。該遊戲仍在早期開發階段，最近開始在 Steam 遊戲平台上開始提供「搶先體驗」版，提供玩家嘗鮮體驗，然而卻在近日遭到勒贖攻擊。 在遭到攻擊後，Gellyberry 於官方 Discord 聊天室發表公告，指出該遊戲在上周五清晨突然遭到不明來源攻擊，伺服器中所有的資料和備份檔都遭到加密鎖定，駭客並要求支付數額不明的比特幣贖金；該公司鑑於多個案例在支付贖金後仍無法取得解鎖密鑰，因此決定不予支付，並且將手動重建伺服器，並且建立新的帳號與遊戲角色資料庫。 Gellyberry 表示，受到影響的 17,000 名玩家，其帳號與儲存的遊戲進度、遊戲內寶物都將復原，並且還會獲得一個進階版的遊戲寵物，以感謝玩家對這段期間不便之處的支持與體諒。 Gellyberry 也表示，為防範這類攻擊再度影響玩家權益與遊戲開發運作，今後會提高遊戲資料庫的離線備份頻率，同時要求所有連線到開發伺服器時必須使用 P2P VPN，並且限制可存取的 IP 網段。 受到影響的玩家須註冊一個新帳號，然後要求平台進行手動資料復原。 服務大批用戶的平台營運者，必須強化資安防護措施，以免因各類攻擊造成服務中斷，或是使用者機敏資訊外洩。

資安廠商 Recorded Future 近日發表統計報告指出，由多個駭侵團體所發動的加密貨幣相關攻擊，自 2017 年以來已經累積竊得超過 30 億美元的不法資金。 包括 Lazarus、Kimsuki、Andariel 等多個駭侵團體，近年來將其攻擊目標集中在加密貨幣相關產業與個人，利用多種方式竊取加密貨幣資金；光在去年一年之間犯下的加密貨幣相關竊案，竊得金額就高達 2022 年全年加密貨幣所有竊案損失金額的 44%。 Recorded Future 在報告中指出，駭侵組織原先以攻擊國際銀行轉帳匯款系統 SWIFT 為主，在 2017 年第一次加密貨幣泡沫發展時，開始轉向進行加密貨幣攻擊。一開始先以南韓的加密貨幣交易所為攻擊對象，之後轉而攻擊全球各地的加密貨幣交易所與個人。 駭侵團體在 2017 年犯下 BitThumb、Youbit、Yapizon 等多家南韓交易所攻擊事件，當時竊得的加密資金約為 8270 萬美元；而在今年犯下的 Atomic Wallet 與 AlphaPo、CoinsPaid 攻擊，合計便已竊得 2 億美元。 Recorded Future 也指出，在 2022 年一年之間，各駭侵團體竊得的加密貨幣總額高達 17 億美元，相當於其全國經濟總額的 5%，更是其國防軍事預算的 45%。聯合國一份機密報告也指出，2022 年駭侵者竊取的加密貨幣資金，約在 6.3 億美元到 10 億美元之間。 建議加密貨幣機構、交易所與投資人應提高資安防護能力，慎防駭侵者以漏洞、釣魚攻擊等手法竊取加密資金，造成鉅額財損。