不要错过 - 頁面 7

資安廠商趨勢科技旗下的資安研究團隊 Zero Day Initiatives 日前發表研究報告，指出該單位的資安研究人員，近期發現 WinRAR 內含一個嚴重漏洞，駭侵者可藉以在使用者開啟 RAR 壓縮檔時，遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2023-40477，問題源自對於復原檔案卷宗在處理上的錯誤，未能適當驗證用戶輸入的資訊，使得驗侵者可存取已分配緩衝區之外的記憶體。 駭侵者可將特製的 RAR 檔案傳送給攻擊目標，誘使其開啟檔案，即可利用該漏洞遠端執行任意程式碼。 CVE-2023-40477 的危險程度評分，雖然因為必須由使用者開啟檔案才能運作，所以分數僅有 7.8 分（滿分為 10 分），但是由於要誘使使用者開啟惡意檔案，在實作上並不困難，且 WinRAR 在 Windows 使用者中的普及率極高，是使用量非常大的常用工具軟體，因此這個漏洞造成的資安風險不容忽視。 發現該漏洞的 Zero Day Initiatives，在 2023 年 6 月 8 日將本漏洞通報給 WinRAR 的開發廠商 RARLAB，RARLAB 則是在近 2 個月後的 8 月 2 日推出新版的 WinRAR 6.23，解決了 CVE-2023-40477 這個漏洞。 RARLAB 這次發表的 WinRAR 6.23 版本，同時也修復了另一個由 Group-IB 發現的資安漏洞，駭侵者可利用特製的 RAR 壓縮檔讓用戶開啟錯誤的檔案。 CVE 編號：CVE-2023-40477 影響產品：WinRAR 6.23 先前版本。 解決方案：立即更新 WinRAR 至 6.23 與後續版本。

日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊，指出一種全新駭侵攻擊方式；駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測，成功發動攻擊。 JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案，是一種集多種檔案格式於一身的特殊檔案，可以同時使用不同的軟體來開啟；多數的防毒防駭軟體，在對該樣本檔案進行掃瞄偵測時，會把該檔案當做是 PDF 檔，但該樣本檔同時也可以由 Microsoft Word 來開啟。 JPCERT/CC 指出，該樣本檔一旦由受害者以 Microsoft Word 開啟，即會執行其內含的 VBS 巨集，並且下載一個含有惡意軟體的 MSI 檔案，安裝在受害者的 Windows 系統中。 資安專家指出，駭侵者經常利用這種多合一格式檔案來放置內含  VBS 惡意巨集程式碼的 Word 檔案，由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔，因此往往能成功避開系統上安裝的資安防護機制。 資安專家分析指出，雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式，但一般來說，用戶可以在 Microsoft Office 相關設定中，停用巨集的自動執行功能，這樣就能夠阻止這類多合一格式惡意檔案的執行。 此外，還是有一些如 OLEVBA 之類的資安防護軟體，可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。 建議使用者避免開啟來路不明的任何檔案，系統管理者也應提防這類攻擊，在布署軟體時強制關閉 Office 巨集的自動執行。

義大利卡塔尼亞大學（Universita di Catania）與英國倫敦大學的資安研究人員，日前聯合發表研究報告；報告指出銷售量相當大的 TP-Link 智慧燈泡 Tapo L530E 與其控制用行動軟體 Tapo App，內含 4 個嚴重漏洞，駭侵者可藉以竊取使用者設定的 Wi-Fi 連線密碼。 兩所大學的資安研究人員，在進行市售 IoT 智慧聯網裝置的資安研究時，發現了這批漏洞；這些漏洞的問題分列如下： 其中一個漏洞可讓鄰近攻擊者取得 Tapo 系統的使用者密碼，以控制 Tapo 系列裝置； 還有一個漏洞是硬式編碼（hard-coded）在程式碼中的共享密碼，僅使用很短的 checksum 加密，駭侵者可透過暴力試誤法取得這些密碼； 另一個漏洞是在進行加密時缺少隨機性，因此其加密方式可預測得知； 第四個漏洞是訊息在執行期間的有效期限長達 24 小時，使得駭侵者可以在期間內不斷重播訊息。 兩所大學的研究人員，利用這四個漏洞的組合，找出多種攻擊 TP-Link Tapo 系統的概念驗證方法；其中包括利用前兩個漏洞的操作，找出使用者設定的 Wi-Fi 密碼；另一種攻擊方式是可利用第一種漏洞來發動中間人攻擊（Man-in-the-Middle Attack），用來破解裝置間溝通的 RSA 金鑰，最後也能取得 Wi-Fi 密碼和 Tapo 本身的密碼。 研究人員在報告發表之前已通報 TP-Link，TP-Link 也在日前推出新版韌體與 App 更近，解決了這批漏洞。 建議使用各類 IoT 裝置的使用者或系統管理者，必須隨時保持這些裝置與其軟體維持在最新版本，且應在原廠發表資安修補時立即更新。

十分受全球網友歡迎的社群聊天室服務 Discord，日前開始發送 email 通知部分用戶，因該平台先前發生的駭侵事故，導致這批用戶的個人可識別資訊（personally identifiable information, PII）外洩。 該次駭侵事件發生在 2023 年 3 月 29 日，起因是負責承包 Discord 平台客戶服務工作的第三方廠商一名工作人員，疑似遭到社交攻擊，導致駭侵者取得其工作用登入資訊，並藉以取得 Discord 平台部分系統的使用權限。 駭侵者竊得的資料，包括客服系統中的支援工單佇列、用戶的 email 地址、與客服人員溝通的訊息記錄，以及支援工單中附件的檔案內容。 Discord 表示在發現系統遭到不當存取，且證實資料遭竊後，該公司立即停用遭駭人員帳號的相關權限，清查後發現約有 180 名使用者的個人機敏資料遭到竊取。 Discord 在新聞稿中指出，目前證實有一名位於美國緬因州的使用者，其個人姓名、駕駛執照、州民證號碼等資訊遭到外洩。 另外，在先前有一家第三方、非官方的 Discord 邀請服務 Discord.io，在遭到駭侵攻擊並發生大量資料外洩後停止服務；資料遭到外洩的該服務使用者據傳多達 760,000 人。 Discord.io 被竊取的使用者資訊，據傳也在一個新成立的駭侵討論區 Breached 上出售，駭侵者還公開了 4 名使用者的資訊，以佐證該批資料的真實性。遭竊的資料欄位包括使用者名稱、email 地址、帳單地址（部分使用者）、已加密的密碼 hash、對應的 Discord ID 等。 鑑於第三方服務業者人員遭社交攻擊等方式，導致平台系統遭到駭侵的案例層出不窮，建議各平台業者加強第三方業者的資安認證與人員教育訓練，並將核心系統與資料進行必要的隔離保護。

資安廠商 Patchstack 旗下的資安研究分析人員，日前發現廣受歡迎的 WordPress 外掛程式 Jupiter X，內含兩個嚴重漏洞 CVE-2023-38388 和 CVE-2023-38389，可導致使用者的帳號遭竊，網站遭不當上傳檔案。 Jupiter X Core 是一個十分簡單好用的視覺化編輯器，屬於 Jupiter X 佈景主題的一部分，可以讓使用者快速設計好 WordPress 與 WooCommerce 網站的外觀；目前使用該佈景主題的 WordPress 與 WooCommerce 網站約有 170,000 個。 Patchstack 的報告中指出，第一個漏洞 CVE-2023-38388 可讓駭侵者未經登入驗證即上傳任意檔案到 WordPress 網站中，可用以在伺服器上執行任意程式碼；該漏洞的 CVSS 危險程度評分高達 9.0 分（滿分為 10 分），所有 Jupiter X Core 3.3.5 之前版本都含有這個漏洞。 至於第二個漏洞 CVE-2023-30389 則可讓未經授權的駭侵者，只要持有任何 WordPress 帳號登入時使用的 Email 地址，即可竊取該帳號的登入權限。該漏洞的 CVSS 危險程度評分更高達 9.8 分，影響所有 Jupiter X Core 3.3.8 之前的版本。 截至目前為止，資安廠商尚未發現有駭侵者利用這兩個漏洞大規模發動攻擊的跡象；而針對這兩個漏洞，開發廠商也已經緊急推出新版 Jupiter X Core 3.4.3，順利修復漏洞。 正在使用 Jupiter X 佈景主題的使用者，應立即將其中的 Jupiter Core X 更新到最新 3.4.3 版本，以免遭駭侵者利用已知漏洞發動攻擊。

資安廠商 Joe Security 與 Zimperium 近期分析發現，有數千種 Android 惡意軟體的 APK 安裝檔，採用非正規的壓縮方式，能夠成功避開多種防毒防駭工具的偵測；而且採用這種方式的惡意 Android APK 數量持續增加。 這些惡意軟體 APK 檔採用的壓縮方式，許多並未在 Android 系統中提供支援，也有一部分是非公開的壓縮演算法，或是經過大幅改寫，以致於無法使用公用解壓縮方式解壓。 據 Zimperium 的研究指出，市面上有至少 3,300 種 APK 使用這類特殊的壓縮方式，來規避防毒防駭機制的掃瞄；雖然許多 APK 都因此容易發生不穩定而當機的狀況，但 Zimperium 還是發現至少有 71 種惡意 APK 可在 Android OS 9 (API28) 版本上正常運作。 研究人員也表示，使用作業系統不支援或未知的壓縮演算法的 APK，無法在 Andoird 8 或先前版本上執行，但卻可在 Android 9 與後續版本上執行。另外，採用這種非正規的壓縮方式，駭侵者還可以使用超過 256 字元以上的檔名，這可造成許多惡意軟體分析工具無法執行。 研究人員指出，利用這種非正規的方式來壓縮 APK 檔，就能有效避開市面上多種 Android 平台上的防毒防駭軟體的靜態偵測機制，也能有效延緩資安廠商與研究人員分析惡意軟體並推出解決方案的速度。 研究人員也說，目前這些變造壓縮方式的 Android APK 檔，均未在 Google Play Store 中上架，但很可能出現在第三方的 App Store 中。 建議 Android 用戶避免下載安裝來路不明、非出自官方 Google Play Store 的 APK 檔案。

國際刑警組織（INTERPOL）日前宣布，在一場在多個非洲國家進行的網路犯罪偵查行動中，目前已逮捕 14 名嫌犯，並破獲為數眾多的犯罪工具與不法所得。 這場行動的代號稱為「Africa Cyber Serge II」，於 2023 年正式在多達 25 個非洲國家展開偵查活動；四個月的偵辦期間，針對包括釣魚攻擊、網路勒贖、企業電子郵件駭侵（Business Email Compromise, BEC）、網路詐騙等等進行偵辦，造成的財務損失高達 4,000 萬美元。 除了逮捕網路犯罪分子之外，Africa Cyber Serge II 行動也起出大量犯罪相關工具，包括近四千台用於進行駭侵攻擊的控制伺服器、近 15,000 個用以竊取資料的 IP、近 1,500 個用於釣魚攻擊的連結與網域、近 1,000 個用於詐騙攻擊的 IP、超過 400 個其他惡意網址和僵屍網路等。 Africa Cyber Serge II 在非洲各國的執行成果，包括在喀麥隆逮捕 3 名涉及 85 萬美元網路藝術品詐騙的嫌犯、在奈及利亞逮捕一名涉嫌詐騙一名甘比亞受害者的嫌犯、在模里西斯逮捕兩名即時通訊詐財分子、在甘比亞查緝 185 個惡意 IP、在喀麥隆破獲 2 個暗網網站、在肯亞緝獲 615 台駭侵攻擊用主機。 上一次的 Africa Cyber Serge 大執法是在 2022 年 11 月發動，當時逮捕 11 名犯嫌，破獲多達 200,000 個駭侵攻擊使用的基礎設備。

資安廠商 Cyberint 近日發表資安觀察研究報告指出，全球最大求職求才社群服務 LinkedIn，日前發生大規模帳號遭攻擊事件，大量帳號因而遭到竊取，或被系統認定為不安全帳號而遭鎖定。 Cyberint 近期觀察到在包括 X（即改名後的 Twitter）、Reddit 討論區與 Microsoft forum 等處，有許多使用者抱怨其 LinkedIn 帳號發生問題；許多帳號因遭到攻擊而被 LinkedIn 鎖定而無法使用，甚至還有不少帳號直接被竊。 這些帳號遭到攻擊的使用者也在上述社群頻道中抱怨，LinkedIn 的客戶服務系統不但未能及時解決使用者的帳號問題，甚至對用戶的反應沒有任何回應。 Cyberint 的資安研究人員指出，LinkedIn 的客服系統最近的反應遲緩，顯示該服務可能面臨較平時高出甚多的客服需求，以致客服系統與人員難以負荷。 駭侵者很可能是利用暴力試誤法，或使用已洩漏的登入資訊，來竊取使用者的 LinkedIn 帳號。有不少使用者的 LinkedIn 帳號，其登入密碼和 Email 遭到竄改，以致無法登入。 Cyberint 說，駭侵者甚至會在竊得帳號後開啟二階段登入驗證，導致使用者要取回帳號存取權的難度進一步提高。 目前已有一部分 LinkedIn 帳號遭竊的用戶，遭到駭侵者要求支付小額贖款；駭侵者威脅如果拒付贖款，帳號即將遭到刪除。 LinkedIn 的帳號經常用來作為進一步發動社交攻擊的工具，因此在駭侵者眼中是相當有價值的攻擊目標。 建議 LinkedIn 使用者應加強帳號密碼的保護，例如開啟二階段登入驗證、不使用與其他服務相同的密碼、使用強式密碼等等。

美國聯邦調查局（Federal Bureau of Investigation, FBI）日前發表資安警訊，指出有詐騙集團假冒為「非同質性代幣」（Non-Fungible Token, NFT）開發人員，針對 NFT 愛好者進行各種詐騙活動，意圖竊取其加密資幣與 NFT 數位資產。 FBI 指出，這些詐騙集團以駭侵手法取得部分知名 NFT 開發人員的社群媒體帳號控制權，或是設立一個幾可亂真的假帳號，來假扮這些知名開發者的身分，藉以取信於 NFT 愛好者與投資人。 在與目標對象建立溝通管道後，這些詐騙分子就會以限時專案等誘因來誘騙目標對象，宣稱有限定參與對象的新 NFT 鑄造計畫，有極佳的投資獲利機會，邀請受害對象參加；由於詐騙集團多半會強調時限，因此受害對象往往在沒有時間進行充分查證的情形下，就受到引誘。 接著受害者會被導向到偽裝成正宗 NFT 計畫網站的惡意釣魚網站，一旦受害者輸入自己的錢包位址與存取密碼，自己擁有的加密貨幣與 NFT 等數位資產，就會遭到盜領一空。 為了防止資金流向遭到追查，這些詐騙者還會利用多種數位資產混合服務，讓執法單位難以追蹤金流，以避免遭到查緝。這也使得受害者更不容易追回損失的資金。 FBI 在這次的警訊中，沒有透露目前這波攻擊具體造成的損失金額與受害情形，但這類案件的發生可謂層出不窮，損失金額也十分可觀。今年三月時公開的「Pig Butchering」詐騙案，損失金額就高達 20 億美元以上。 FBI 建議 NFT 愛好者在投資時，務必再三確認 NFT 開發者的身分，確認其社群媒體上的廣告真實可信；在進行相關購買時，也一定要確認網址的合法性。如果活動本身宣稱的利潤過高，就必須特別提高警覺。

Google Cloud 旗下的資安團隊 Cybersecurity Action Team，在近期發表的 2023 年資安趨勢報告「Threat Horizons: August 2023 Threat Horizons Report」中指出，愈來愈多駭侵者利用「版本置換」（Versioning）的方式，通過 Google Play Store 的上架前檢查流程並成功上架。 在這份報告中，Google 先列出 Google Cloud 2023 年第一季統計所得的雲端服務攻擊原因，其中未設定密碼或密碼不夠強，其佔比高達 54.8%；其他原因還包括資安設定錯誤（19%）、敏感 UI 或 API 曝光（11.9%）、登入資訊遭竊（7.1%）、使用軟體存有漏洞（2.4%）等。 此外，在這份報告中，Google Cloud 資安團隊也解釋 Google Play Store 中會有惡意軟體上架的原因。駭侵者多半利用一種稱為「版本置換」（Versioning）的手法，先把不含任何惡意軟體的最初版本上架到 Google Play Store 中，以通過各種資安檢查流程，成功上架到 Googel Play Store 上；待使用者下載安裝後，再以版本更新的機制，將惡意軟體酬載自第三方伺服器安裝到使用者已安裝在裝置中的 App 內。 雖然 Google 在其 Play Store 使用規範中明白規定，禁止任何軟體使用 Google Play 官方提供的更新機制以外的方式，對已下載安裝的軟體進行更新、變更或替換，也禁止自第三方伺服器下載任何可執行檔，例如 dex、JAR 等檔案，但顯然有不少 App 並未遵守這個禁令，仍會在使用者下載完沒有問題的版本後，再透過第三方伺服器安裝惡意軟體程式碼酬載。 建議 Android 使用者即使在官方 Google Play Store 中下載安裝軟體，也應在下載前先檢視其他使用者的意見回饋，如有大量負評則應避免下載。