微軟證實 Windows 用戶正遭「地獄大公」惡意軟體大規模駭侵

軟資安團隊發布公告,證實目前有個稱為「地獄大公」(Great Duke of Hell)的惡意軟體,針對 Windows 用戶進行大規模攻擊。

微軟指出,這個稱為「地獄大公」的惡意軟體,是所謂的「無檔案惡意軟體」;用戶通常是點擊了釣魚信件中的惡意連結;接著這個連結會開啟一個捷徑,以命令行指令執行一個 JavaScript 程式碼。

一旦用戶感染後,電腦中的登入資訊、按鍵輸入記錄等資料都會被送到遠端伺服器。也由於受害電腦沒有下載任何檔案,因此這種攻擊方式可以逃過多種防毒軟體的檔案檢測機制。

資料來源:

  1. https://www.theregister.co.uk/2019/07/08/microsoft_astaroth_examination/
  2. https://www.reactionarytimes.com/what-is-the-great-duke-of-hell-malware/

進出新疆旅客,手機被強迫安裝惡意軟體

多家媒體指出,進出新疆邊境的外國旅客,最近開始遭到中國邊防單位強制於其手機中安裝惡意軟體,以取得手機內各種資訊

包括紐約時報、南德日報、英國衛報、德國公共廣播NDR、科技媒體Motherboard等都報導這項強制監控行動。

近來進出新疆的外國旅客,會在邊境檢查時被要求交出手機給邊防人員檢查,同時強制安裝一支名為「蜂采」的 Android 惡意軟體。
南德日報和 Motherboard 取得這支「蜂采」App 後,會同紐約時報、英國衛報與多個資安研究單位,對其進行分析;研究人員發現這支軟體會竊取手機中的各項資訊,如行事曆中的所有行程、通訊錄、通話記錄、用戶在各個 App 中的登入資訊等,並將資料上傳到某一台伺服器中。

這支 App 還會掃瞄用戶手機中的各種檔案,內建超過七萬三千種不同檔案的雜湊特徵碼;其中某些目標檔案屬於伊斯蘭極端主義相關或 IS 的線上出版物,但該 App 也會針對伊斯蘭經典古蘭經或達賴喇嘛相關內容進行掃瞄。

通關旅客如果使用 iPhone,雖然不會被強制安裝惡意軟體,但手機也會被邊防人員取走,利用特殊機器加以掃瞄。

資料來源:

  1. https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware
  2. https://www.theguardian.com/world/2019/jul/02/chinese-border-guards-surveillance-app-tourists-phones
  3. https://www.nytimes.com/2019/07/02/technology/china-xinjiang-app.html

德國媒體揭發中國駭侵團體透過 Winnti 惡意軟體的長年駭侵行為

北德廣播電台(Norddeutscher Rundfunk)和巴伐利亞廣播電視公司(Bavaria Radio and Television Network)共同進行深度調查,指出來自中國的駭侵團體,長年透過一個稱為「Winnti」的惡意軟體,對全球各大公私營單位組織進行監聽與駭侵的內幕。

在這份由 NDR 和 BR 協同進行的調查中,多位資安專家深入追查,發現中國駭侵組織透過 Winnti 惡意軟體,對包括遊戲產業、科技、製藥和重化工業的多家知名廠商進行駭侵與監聽;受駭廠商如下:

  1. 遊戲:Gameforge、Valve
  2. 軟體:Teamviewer
  3. 科技:西門子、住友、蒂森克虜伯(ThyssenKurpp)
  4. 製藥:拜爾、羅氏(Roche)
  5. 化工:巴斯夫、Covestro、信越

報告指出,這個駭侵團體一開始係以遊戲業為主要目標,以謀取不法利益。該團體首先於 2011 攻擊總部設在德國 Karlsruhe 的遊戲公司 Gameforge,以 Winnti 惡意軟體入侵該公司 40 台資料庫主機。

接下來該團體的駭侵重點轉移到大型製造業,2014 年起開始攻擊高科技、化工與藥廠等對象;最近甚至開始進行政治監聽活動,針對西藏流亡政府駐印度所在地的電信業者進行駭侵攻擊。

資料來源:

  1. https://web.br.de/interaktiv/winnti/english/
  2. https://hub.packtpub.com/winnti-malware-chinese-hacker-group-attacks-major-german-corporations-for-years/
  3. https://www.europeanpharmaceuticalreview.com/news/95107/roche-confirms-cyber-attack-from-winnti-malware/

中國江蘇省公安局洩漏超過九千萬筆個人與公司行號資料

資安專家發現一個屬於中國江蘇省公安局的資料庫在網路上公開,內含超過九千萬筆以上的個人與公司行號資料。

資安研究人員發現一台屬於中國江蘇省公安局所有的 ElasticSearch 伺服器,含有兩個完全沒有套用任何安全措施的資料庫,在網路上可任意存取。

這兩個資料庫的資料大小合計高達 26GB,資料筆數多達九千萬筆以上,內含許多人的個資,包括姓名、出生日、性別、身分證字號、地理座標資訊、所屬城市等個人識別資料,另外還有公司行號資料,包括公司名稱、編號、營業類型、地址、所屬城市、附註說明等資料。

資安研究人員指出,這兩個資料庫不但沒有加密或任何保護,任何人也能擁有完整的管理與存取權限。

目前該資料庫已經自公開網路離線,無法存取。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/over-90-million-records-leaked-by-chinese-public-security-department/
  2. https://www.computing.co.uk/ctg/news/3078613/china-database-leak-90-million

又一個美國小城為勒贖攻擊繳付贖款

繼佛羅里達小城利維拉市之後,另一個位在佛羅里達的雷克市決定繳付贖金,試圖救回被加密的市政檔案。

同樣位在佛羅里達州的雷克市,成為近來第二個決定繳付贖款,以救回遭加密市政檔案的美國城市。

該市議會緊急會議通過決議,同意繳付 42 個比特幣的贖款,以當時的比特幣匯價來看,約合美金五十萬元。

雷克市的市政檔案資料遭到勒贖軟體攻擊,雖然 IT 人員在發現之後緊急將市政系統離線處理,但大多數市政系統仍遭癱瘓,僅有處於不同網路的警政和消防系統倖免。

該市大多數市政因此停攞長達兩周之久,贖款於六月25日繳付,但至今天為止,該市官網仍未公告市政系統復原訊息。

 

資料來源:

  1. https://www.lcfla.com/community/page/press-release-cyber-attack
  2. https://www.zdnet.com/article/second-florida-city-pays-giant-ransom-to-ransomware-gang-in-a-week/

俄國否認對以色列機場進行GPS信號干擾

以色列指控俄羅斯涉嫌干擾其機場附近的 GPS 信號,俄羅斯政府予以否認。

 六月初起,位於以色列特拉維夫東南方的本-古里昂機場,開始持續發生 GPS 信號遭到干擾事件;班機無法在空中透過 GPS 正確定位,僅能以機場地面系統進行起降;雖然沒有釀成任何飛安事故,但對機場的正常運作造成很大衝擊。

以色列政府指稱,這是一起典型的攻擊事件,以色列政府高度懷疑這項攻擊係來自俄羅斯布署在敘利亞境內的電戰系統,該系統位於本-古里昂機場北方約 350 公里的空軍基地之中。

俄羅斯駐以色列大使駁斥這項指控,說這項指控是假新聞,根本不值一談。

 

資料來源:

  1. https://edition.cnn.com/2019/06/27/middleeast/israel-russia-gps-failure-intl/index.html
  2. https://sporaw.livejournal.com/638666.html

佛羅里達小城支付勒贖金,但市政檔案並未完全復原

受勒贖軟體攻擊的美國佛羅里達小城 Lake City,雖然支付了相當於 46 萬美元的比特幣贖金,但市政檔案並未完全復原,整體復舊遙遙無期。

最近一年以來有多個美國城市遭到惡意勒贖攻擊,市政相關檔案系統遭到加密,導致許多城市的政務推動與日常運作陷入癱瘓。其中有一些城市選擇支付贖金,例如佛羅里達小城 Lake City 便以比特幣支付了相當於 46 萬美元的贖款。

然而,贖款付了,市政系統的全面復舊卻仍然遙遙無期。

以 Lake City 的例子來說,雖然電話和 Email 系統能夠恢復運作,但仍有不少系統和檔案並未回復成功;更糟的是,累積了一百年以上的市政歷史資料,例如各種會議記錄、政令等數千份歷史文件,還是得以人工作業方式重新掃瞄建檔。

另外,Lake City 在支付贖金後,立即開除了其 IT 主管。

FBI 指出去年發生超過一千五百起各式加密勒贖攻擊事件,攻擊對象包括各種公私營機構;最近則有集中攻擊像 Lake City 這類有投保的小型城鎮的趨勢;這類小型地方政府多半缺乏足夠的 IT 技術資源抵禦攻擊,再加上有保險公司承保,比較傾向支付贖款以救回市政檔案與系統。

資料來源:

  1. https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html
  2. https://www.zdnet.com/article/florida-city-fires-it-employee-after-paying-ransom-demand-last-week/

又有一所美國大專院校遭勒贖,要求二百萬美元贖金

位於美國紐約的蒙洛學院(Monroe College)上周遭勒贖軟體攻擊;駭客要求的贖金高達二百萬美元。

蒙洛學院於七月十一日遭到勒贖軟體的駭侵攻擊,導致該校師生無法存取校務電腦系統;包括該校的網站、Email、教學輔助系統等都陷入癱瘓。

攻擊者要求該校以比特幣支付相當於二百萬美元的巨額贖款,以取回被加密鎖定的系統與校務檔案。

該校表示,目前尚不清楚攻擊者的身分;該校也尚未決定是否要支付高達二百萬美元的贖金。該校已經會同 FBI 進行調查,而資安研究單位認為最近幾起針對政府單位和學校的勒贖攻擊行動,很可能都是同樣幾個駭侵團體發動的。

另外,駭侵團體要求的勒贖金額也有升高的趨勢;數年前幾家美國大學院校被勒贖的贖款約在數千美元上下,然而近來贖金卻節節上漲。

 

資料來源:

  1. https://www.insidehighered.com/news/2019/07/15/hackers-demand-2-million-monroe-college-ransomware-attack
  2. https://nakedsecurity.sophos.com/2019/07/16/ransomware-attackers-demand-1-8m-from-us-college/

掀起全球流行的變臉軟體 FaceApp,資安疑慮引發各界關注

近來再度於社群平台上掀起全球話題俄羅斯變臉軟體 FaceApp,引發大量資安疑慮;資安專家認為用戶應該謹慎使用這類 App

兩年前就已推出的手機變臉軟體 FaceApp,最近推出可以計算模擬人臉變老的模樣,因而再度掀起使用熱潮;許多用戶在社群平台上分享自己變老後的照片;但 FaceApp 是由俄羅斯團隊開發,再加上美國總統大選將至,因而引發各界的資安疑慮。

美國民主黨全國委員會就提出警訊,呼籲民眾不要安裝使用這支來自俄羅斯的 App,以避免潛在的資安風險;也有資安專家從其使用授權條款出發,認為這支 App 的使用條款要求太多權限,無法確保用戶隱私。甚至有人指出 FaceApp 會把用戶手機裡的所有相片上傳到俄羅斯的伺服器。

TechCrunch 和其它專家研究 FaceApp 的運作過程,指出並沒有觀察到除了用戶選定的相片之外,其他相片也被上傳的跡象;專家說 iPhone 版 FaceApp 使用的是 iOS 的標準 API,一次只能上傳一張用戶主動選取的相片。

FaceApp 團隊也出面說明,該團隊雖然位在俄羅斯,但用戶相片是在 AWS 和 Google Cloud 中處理,並沒有傳送到俄羅斯。

資料來源:

  1. https://techcrunch.com/2019/07/17/faceapp-responds-to-privacy-concerns/
  2. https://edition.cnn.com/2019/07/17/politics/dnc-warning-faceapp/index.html

Google 發現能讓 iPhone 變磚的 iMessage 訊息炸彈

Google 的資安研究單位發現,特定的 iMessage 訊息能讓 iPhone 陷入反覆重開機的錯誤,除非將手機重設為出廠預設狀態,否則手機將無法使用。

根據 Google 資安研究單位 Project Zero 指出,該單位發現一個可讓 iPhone 無法使用(變磚)的 iMessage 文字訊息炸彈;iPhone 一旦接收到這個訊息,就會陷入不斷重新啟動的循環,導致用戶無法使用手機,甚至 hard reset 都無法解決問題。

研究人員說,用戶想要取回手機控制權的唯一方式,就是在重開機後立即進入恢復模式,然後清空手機內所有資料,回復至出廠狀態。這當然會造成用戶存在手機中的資料流失。

除了 iPhone 外,如果是 Mac 版 iMessage 接收到這個訊息,同樣會造成 MacOS 當機,但重新啟動後即可繼續使用,不會造成 Mac 變磚。

Google Project Zero 在發現這個問題時便立即通報 Apple,Apple 也在問題提報的九十天之內就推出了修補軟體;只要 iPhone 在五月時更新到 iOS 12.3 之後的版本,就不用擔心這個問題。還沒有更新到此版本的 iPhone 使用者,請立即更新,並打開手機的自動更新開關。

資料來源:

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1826
  2. https://www.forbes.com/sites/daveywinder/2019/07/07/google-confirms-apple-iphone-bricking-imessage-bomb/#296a19177a43