不要错过 - 頁面 9

近日在以巴戰爭造成眾多死傷與破壞時，資安專業媒體 BleepingComputer 的資安專家，發現有多組詐騙者利用各種社群管道發起詐騙募捐，誑騙網友以加密貨幣轉帳並侵吞愛心捐款。 BleepingCoumpter 報導指出，該社的資安專家發現在 X（舊名 Twitter）、Telegram 與 Instagram 上出現許多疑似詐騙募捐活動；駭侵者假冒各種公益慈善團體，要求網友以加密貨幣進行捐款轉帳，以做為戰爭受害者的人道救援之用；但其中有許多錢包位址都並非所宣稱的公益團體所擁有，明顯屬於詐騙。 其中一個假冒為「Gaza Relief Aid」（加薩救援協助）的所謂公益團體，在 Telegram 和 Instagram 上都開設了捐款帳號，並且列出其捐款錢包位址；但其使用的網域名稱「aidgaza[.]xyz」是在 2023 年 10 月 15 日才註冊完成，且不屬於任何已知的正牌公益團體所擁有。該網站的版型和內容直接盜用自真正的 Islamic Relief 救援團體官網，而其「最新消息」中的內容也盜自其他新聞網站，網站中放置了許多來自新聞媒體的戰地照片，且網站中也沒有附上該組織的地址、聯絡資訊等訊息。 據 BleepingComputer 追蹤其接受捐款的三個錢包位址，目前都沒有任何轉帳記錄。 另外，也有詐騙分子假冒為以色列方的人道救援組織，以類似手法企圖騙取愛心捐款；所幸到目前為止均無任何人捐款。 資安廠商 Kaspersky 也指出，該公司的資安研究人員截獲 500 封以上的詐騙電子郵件，同樣以搧動性的文字和圖片，企圖騙取收信人的愛心捐款；且有多個詐騙活動都使用同樣的錢包位址，顯見是同一詐騙集團所為。 建議在網路上進行愛心捐款時，捐款人務必多方查證，確認募款者為真，且募款方提供可查證的資訊，捐款才不致落入詐騙分子手中。

奧地利警方日前宣布破獲一個大型國際版權影片盜播 IPTV 網路，該執法行動同步於維也納、下奧地利、薩爾茲堡等多個城市展開，除了逮捕 20 人之外，也破獲多台網路電腦設備與該集團的不法獲利達 160 萬歐元。 奧地利警方指出，該集團自 2016 年開始販售經過破解的加密版權電視節目觀看服務；奧國警方是在接獲德國方面的報案後開始進行調查，終於破獲這個共有 80 名嫌犯的大型盜版犯罪集團，嫌犯全數為土耳其國籍。 警方指出，該盜版集團成員中有負責破解加密電視訊號的內容提供者，也有負責招募訂戶的經銷商；經銷商以一年 50 美元的價格購買盜播網會員資格後，再以一年 200 美元的價格販售給想看盜版電視節目的網友。 警方說，每名經銷商手上約有 300 到 2,500 名訂戶，經銷商雖然會使用 Facebook 廣告進行宣傳，但主要的客戶來源以口耳相傳為主。 警方破獲的設備，包括 35 台用於訊號解碼與 IPTV 廣播的伺服器，以及 55 台電腦、硬碟、智慧型手機等，甚至還包括一台 Audi A7 豪華轎車。 警方說，主要的嫌犯靠盜版生意賺取大筆不法收入，除了擁有多輛豪華轎跑車外，也擁有多筆豪宅、多家公司、俱樂部等。 警方表示遭到逮捕的嫌犯，包括 3 名內容提供者與 15 名經銷商，都將以商業詐騙、洗錢、著作權侵權等罪名遭到起訴，尚未落網的嫌犯主要都在德國境內，目前也已掌握其犯罪地點的相關情報。 建議使用網路影音的觀眾，不應安裝來路不明的盜版影音機上盒或加入盜版網站會員，以免同時吃上侵害著作權的官司，面臨鉅額罰款。

Microsoft 日前推出 2023 年 9 月例行資安更新修補包「Patch Tuesday」，共修復 59 個資安漏洞；其中含有 2 個是屬於已遭駭侵者用於攻擊的 0-day 漏洞。 本月 Patch Tuesday 修復的漏洞數量有 59 個，較上個月（2023 年 8 月）的 87 個資安漏洞略為減少；而在這 59 個漏洞中，僅有 5 個屬於「嚴重」等級，另有 2 個是屬於已知遭到駭侵者用於攻擊的 0-day 漏洞，另外還有 24 個遠端執行任意程式碼 (RCE) 漏洞。 以漏洞類型來區分，這次修復的資安漏洞與分類如下： 資安防護功能略過漏洞：3 個； 遠端執行任意程式碼漏洞：24 個； 資訊洩露漏洞：9 個； 服務阻斷（Denial of Service）漏洞：3 個； 假冒詐騙漏洞：5 個； Edge -Chromium 漏洞：5 個。 本月的 Patch Tuesday 有 2 個已遭大規模濫用的 0-day 漏洞： 第一個 0-day 漏洞是 CVE 編號為 CVE-2023-36802，存於 Microsoft Streaming Service Proxy 中，屬於執行權限提升漏洞；駭侵者可透過此漏洞，將自身的執行權限提高的系統（system）等級。 第二個值得注意的 0-day 漏洞是 CVE-2023-36761，是存於 Microsoft Word 中的資訊洩露漏洞，駭侵者可利用此漏洞，在開啟檔案或預覽檔案內容時，竊取 NTLM 雜湊資訊，進一步用於透過 NTLM 中繼攻擊，最後可以取得帳號的控制權。 CVE 編號：CVE-2023-36802、CVE-2023-36761 影響產品：Microsoft 旗下多種軟體，包括 Windows、Office、Exchange 等。 解決方案：建議系統管理者與 Microsoft 用戶依照指示，套用 Patch Tuesday 與不定期發表的資安更新，以避免駭侵者利用未更新的漏洞發動攻擊。

全球大型加密貨幣交易所 CoinEx 日前對外公開駭侵事件，該交易所的熱錢包遭駭侵攻擊，大量加密貨幣資金遭竊。 據 CoinEx 交易所在 X （原 Twitter）上發表的官方推文指出，該交易所的風險控制團隊在 2023 年 9 月 12 日發現數個該交易所擁有的熱錢包發生不正常提領狀況；該交易所目前正在調查事件發生原因與經過。 CoinEx 在推文中也指出，發生不正常提領的加密貨幣幣種，包括 Ethereum ($ETH)、Tron ($TRON) 和 Polygon ($MATIC)，但 CoinEx 也強調，所有客戶的數位資產都安全無虞且並未遭到攻擊；如有任何損失，都會得到 100% 的補償。 CoinEx 也表示，為加強安全防護並進行調查，暫時停止該所的加密貨幣入金與出金業務；待調查告一段落後就會儘快恢復服務。 雖然 CoinEx 並未在公開的訊息中提及此次駭侵事件造成的數位資產財務損失金額，但區塊鏈資安公司 PeckShield 指出，據該公司的監測資料，CoinEx 的損失包括 1,900 萬美元等值的 ETH、1,100 萬美元等值的 TRON（以 BSC 形式存於幣安的 Binance Smart Chain 上）、600 萬美元等值的 BTC、約 29.5 萬美元等值的 Polygon。 PeckShield 也表示，攻擊造成的數位資產損失約為 4,300 萬美元，而保存在受攻擊錢包中的，另有 7,200 萬美元，已轉移到較為安全的冷錢包中；而另一家區塊鏈資安公司 CertiK Alert 估計的受害金額較高，達 5,300 萬美元。 建議加密貨幣相關業者與投資人，應對持有的數位資金安全性進行強化，資金勿長期存放於可連線存取的熱錢包中，以免因駭侵攻擊而造成鉅額損失。

Apple 於近日為旗下的 iPhone 與 Mac 產品推出緊急更新，修復兩個已遭駭侵者用於攻擊的 iMessage 0-day 漏洞 CVE-2023-41064 與 CVE-2023-41061。 這兩個 0-day 漏洞都存於 iOS 與 macOS 的 Image I/O 與 Wallet Framework 之中，其中 CVE-2023-41064 屬於緩衝區溢位錯誤，駭侵者可利用特製的圖片檔案來誘發此漏洞發生錯誤，藉以執行任意程式碼。 而 CVE-2023-41061 的 0-day 漏洞則屬於驗證錯誤，駭侵者可使用特製的夾檔來誘發此錯誤，同樣可在受攻擊裝置上執行任意程式碼。 發現 CVE-2023-41064 漏洞的資安廠商 Citizen Labs 指出，該公司的資安人員已發現這兩個 0-day 漏洞遭一個名為「BLASTPASS」的駭侵攻擊行動加以濫用，可在無需使用者互動的情形下，於受攻擊的裝置上布署 NSO Group 的 Pegasus 間諜軟體。 Apple 在針對這兩個 0-day 漏洞發表的資安通報上也指出，該公司已獲悉這兩個漏洞已遭駭侵者積極運用於攻擊活動的情報。 Apple 已推出修復此兩個 0-day 漏洞 CVE-2023-41064 與 CVE-2023-41061 的更新版作業系統，包括 macOS Ventura 13.5.2、iOS 16.6.1、iPadOS 16.6.1、WatchOS 9.6.2；受影響的硬體裝置則包括 iPhone 8 與後續機型、iPad Pro（所有機型）、iPad Air 第 3 代與後續機型、iPad 第 5 代與後續機型、iPad mini 與後續機型，以及所有執行 macOS Ventura 的 Mac 電腦、Apple Watch Series 4 與後續機型。 建議相關產品用戶立即更新至最新版本作業系統，以免遭到駭侵者利用未修補漏洞攻擊而造成損失。

資安廠商 EclecticIQ 日前發表研究報告，指出該公司旗下的資安人員，發現的新勒贖攻擊團體 Key Group 透過 Telegram 頻道散播惡意軟體，不但會對受害者設備中的資料進行加密，且還會竊取受害者的個人機敏資訊。 報告指出，Key Group 的主要目的應為藉勒贖攻擊斂財。主要的攻擊對象為俄羅斯境內的受害者。該團體除了要求受害者償付贖金外，也會在一個名為  Dark Store 的俄羅斯暗網中販賣用戶個資與其社群帳號、VPN 帳密和 email 地址。 EclecticIQ 是在 2023 年 1 月 6 日起觀測到 Key Group 的相關攻擊活動，並持續活動至今。資安研究人員發現 Key Group 的成員利用 Telegram 中的頻道 keygroup777Tg 來進行攻擊活動與贖金要求。另外該團體還有一個私密 Telegram 頻道，用以協調成員間的攻擊行動，並共享各種工具的資訊。 EclecticIQ 指出，該團體有可能自 6 月底開始利用一種稱為 NjRAT 的遠端遙控工具，來控制受害者的裝置。 報告也指出，Key Group 使用一種 CBC-mode 進階加密標準 (AES) 來加密受害者的資料，並將用戶的檔案名稱加上 keygroup777tg 的副檔名。由於這種加密方式並不太複雜，加上該團體的駭侵技術並不強，在進行加密時犯了一些技術上的錯誤，因此 EclecticIQ 已經利用這些錯誤，開發出針對其 8 月 3 日版本勒贖軟體的解密工具。 為避免遭到勒贖攻擊，建議使用者避免點按不明來源如釣魚郵件、社群頻道或聊天軟體中傳送的連結。

美國威斯康辛大學麥迪遜分校（University of Wisconsin–Madison）的資安研究人員團隊，近期發現一種攻擊方式，可以透過 Chrome 瀏覽器的擴充功能，竊取網站程式碼中儲存的使用者輸入密碼，且有不少擁有數百萬以上使用者的大型網站，將密碼以明文方式存在網頁 HTML 程式碼中。 該研究團隊已將其攻擊概念驗證程式編譯打包為 Google Chrome 擴充功能的格式，並上傳到 Chrome Web Store 中。 研究人員說，問題的根源在於開發人員在撰寫 Chrome 瀏覽器的擴充功能時，往往有個習慣性的做法，就是讓擴充功能能夠存取所有網頁會載入的 DOM 樹狀架構，而不會受到存取範圍的限制，因此導致擴充功能有機會存取到一些像是使用者輸入欄位之類的機敏資訊。 另外，擴充功能也可以濫用 DOM API 來跳過套用者網站上，用以保護機敏輸入資訊的各種資訊混淆機制，直接取得使用者輸入的值並加以竊取。 研究人員指出，雖然 Google 在 Manifest V3 協定已經針對 API 的取用加上限制，禁止擴充套件透過遠端取得程式碼的方式，來逃避資安偵測，並且避免以此方式遠端執行任意程式碼，但 Manifest V3 並未限制擴充套件存取網頁內容的範圍，所以仍存有上述可竊得使用者輸入資訊的問題。 研究人員進一步指出，許多使用者眾多的大型網站，都會把使用者密碼以明文存在HTML 源碼中，造成這類惡意擴充套件有可能竊得密碼；這些大型網站包括 gmail.com、cloudflare.com、facebook.com、citibank.com、irs.gov、capitalone.com、usenix.org、amazon.com 等。 建議網站開發人員應注意此問題，在撰寫程式碼時應嚴守資安最佳實務作法；使用者也應在各網站使用不同的強式密碼，並使用二階段登入驗證。

資安廠商趨勢科技旗下的資安研究團隊 Zero Day Initiatives 日前發表研究報告，指出該單位的資安研究人員，近期發現 WinRAR 內含一個嚴重漏洞，駭侵者可藉以在使用者開啟 RAR 壓縮檔時，遠端執行任意程式碼。 該漏洞的 CVE 編號為 CVE-2023-40477，問題源自對於復原檔案卷宗在處理上的錯誤，未能適當驗證用戶輸入的資訊，使得驗侵者可存取已分配緩衝區之外的記憶體。 駭侵者可將特製的 RAR 檔案傳送給攻擊目標，誘使其開啟檔案，即可利用該漏洞遠端執行任意程式碼。 CVE-2023-40477 的危險程度評分，雖然因為必須由使用者開啟檔案才能運作，所以分數僅有 7.8 分（滿分為 10 分），但是由於要誘使使用者開啟惡意檔案，在實作上並不困難，且 WinRAR 在 Windows 使用者中的普及率極高，是使用量非常大的常用工具軟體，因此這個漏洞造成的資安風險不容忽視。 發現該漏洞的 Zero Day Initiatives，在 2023 年 6 月 8 日將本漏洞通報給 WinRAR 的開發廠商 RARLAB，RARLAB 則是在近 2 個月後的 8 月 2 日推出新版的 WinRAR 6.23，解決了 CVE-2023-40477 這個漏洞。 RARLAB 這次發表的 WinRAR 6.23 版本，同時也修復了另一個由 Group-IB 發現的資安漏洞，駭侵者可利用特製的 RAR 壓縮檔讓用戶開啟錯誤的檔案。 CVE 編號：CVE-2023-40477 影響產品：WinRAR 6.23 先前版本。 解決方案：立即更新 WinRAR 至 6.23 與後續版本。

日本電腦網路危機處理暨協調中心 (JPCERT/CC) 日前發布資安警訊，指出一種全新駭侵攻擊方式；駭侵者利用嵌入在 PDF 檔中的惡意 Word 檔案來逃避防毒防駭軟體的偵測，成功發動攻擊。 JPCERT/CC 是在 2023 年 7 月開始觀察到利用這種技術發動的資安攻擊案例。該單位分享了一個樣本檔案，是一種集多種檔案格式於一身的特殊檔案，可以同時使用不同的軟體來開啟；多數的防毒防駭軟體，在對該樣本檔案進行掃瞄偵測時，會把該檔案當做是 PDF 檔，但該樣本檔同時也可以由 Microsoft Word 來開啟。 JPCERT/CC 指出，該樣本檔一旦由受害者以 Microsoft Word 開啟，即會執行其內含的 VBS 巨集，並且下載一個含有惡意軟體的 MSI 檔案，安裝在受害者的 Windows 系統中。 資安專家指出，駭侵者經常利用這種多合一格式檔案來放置內含  VBS 惡意巨集程式碼的 Word 檔案，由於掃毒軟體會把這種檔案當成相對無害的 PDF 檔，因此往往能成功避開系統上安裝的資安防護機制。 資安專家分析指出，雖然 JPCERT/CC 沒有進一步公開樣本檔內含的惡意軟體攻擊行為與方式，但一般來說，用戶可以在 Microsoft Office 相關設定中，停用巨集的自動執行功能，這樣就能夠阻止這類多合一格式惡意檔案的執行。 此外，還是有一些如 OLEVBA 之類的資安防護軟體，可以偵測到這類多合一格式的惡意檔案內含的惡意程式碼。 建議使用者避免開啟來路不明的任何檔案，系統管理者也應提防這類攻擊，在布署軟體時強制關閉 Office 巨集的自動執行。

義大利卡塔尼亞大學（Universita di Catania）與英國倫敦大學的資安研究人員，日前聯合發表研究報告；報告指出銷售量相當大的 TP-Link 智慧燈泡 Tapo L530E 與其控制用行動軟體 Tapo App，內含 4 個嚴重漏洞，駭侵者可藉以竊取使用者設定的 Wi-Fi 連線密碼。 兩所大學的資安研究人員，在進行市售 IoT 智慧聯網裝置的資安研究時，發現了這批漏洞；這些漏洞的問題分列如下： 其中一個漏洞可讓鄰近攻擊者取得 Tapo 系統的使用者密碼，以控制 Tapo 系列裝置； 還有一個漏洞是硬式編碼（hard-coded）在程式碼中的共享密碼，僅使用很短的 checksum 加密，駭侵者可透過暴力試誤法取得這些密碼； 另一個漏洞是在進行加密時缺少隨機性，因此其加密方式可預測得知； 第四個漏洞是訊息在執行期間的有效期限長達 24 小時，使得駭侵者可以在期間內不斷重播訊息。 兩所大學的研究人員，利用這四個漏洞的組合，找出多種攻擊 TP-Link Tapo 系統的概念驗證方法；其中包括利用前兩個漏洞的操作，找出使用者設定的 Wi-Fi 密碼；另一種攻擊方式是可利用第一種漏洞來發動中間人攻擊（Man-in-the-Middle Attack），用來破解裝置間溝通的 RSA 金鑰，最後也能取得 Wi-Fi 密碼和 Tapo 本身的密碼。 研究人員在報告發表之前已通報 TP-Link，TP-Link 也在日前推出新版韌體與 App 更近，解決了這批漏洞。 建議使用各類 IoT 裝置的使用者或系統管理者，必須隨時保持這些裝置與其軟體維持在最新版本，且應在原廠發表資安修補時立即更新。