微軟證實 Windows 用戶正遭「地獄大公」惡意軟體大規模駭侵

軟資安團隊發布公告,證實目前有個稱為「地獄大公」(Great Duke of Hell)的惡意軟體,針對 Windows 用戶進行大規模攻擊。

微軟指出,這個稱為「地獄大公」的惡意軟體,是所謂的「無檔案惡意軟體」;用戶通常是點擊了釣魚信件中的惡意連結;接著這個連結會開啟一個捷徑,以命令行指令執行一個 JavaScript 程式碼。

一旦用戶感染後,電腦中的登入資訊、按鍵輸入記錄等資料都會被送到遠端伺服器。也由於受害電腦沒有下載任何檔案,因此這種攻擊方式可以逃過多種防毒軟體的檔案檢測機制。

資料來源:

  1. https://www.theregister.co.uk/2019/07/08/microsoft_astaroth_examination/
  2. https://www.reactionarytimes.com/what-is-the-great-duke-of-hell-malware/

進出新疆旅客,手機被強迫安裝惡意軟體

多家媒體指出,進出新疆邊境的外國旅客,最近開始遭到中國邊防單位強制於其手機中安裝惡意軟體,以取得手機內各種資訊

包括紐約時報、南德日報、英國衛報、德國公共廣播NDR、科技媒體Motherboard等都報導這項強制監控行動。

近來進出新疆的外國旅客,會在邊境檢查時被要求交出手機給邊防人員檢查,同時強制安裝一支名為「蜂采」的 Android 惡意軟體。
南德日報和 Motherboard 取得這支「蜂采」App 後,會同紐約時報、英國衛報與多個資安研究單位,對其進行分析;研究人員發現這支軟體會竊取手機中的各項資訊,如行事曆中的所有行程、通訊錄、通話記錄、用戶在各個 App 中的登入資訊等,並將資料上傳到某一台伺服器中。

這支 App 還會掃瞄用戶手機中的各種檔案,內建超過七萬三千種不同檔案的雜湊特徵碼;其中某些目標檔案屬於伊斯蘭極端主義相關或 IS 的線上出版物,但該 App 也會針對伊斯蘭經典古蘭經或達賴喇嘛相關內容進行掃瞄。

通關旅客如果使用 iPhone,雖然不會被強制安裝惡意軟體,但手機也會被邊防人員取走,利用特殊機器加以掃瞄。

資料來源:

  1. https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware
  2. https://www.theguardian.com/world/2019/jul/02/chinese-border-guards-surveillance-app-tourists-phones
  3. https://www.nytimes.com/2019/07/02/technology/china-xinjiang-app.html

德國媒體揭發中國駭侵團體透過 Winnti 惡意軟體的長年駭侵行為

北德廣播電台(Norddeutscher Rundfunk)和巴伐利亞廣播電視公司(Bavaria Radio and Television Network)共同進行深度調查,指出來自中國的駭侵團體,長年透過一個稱為「Winnti」的惡意軟體,對全球各大公私營單位組織進行監聽與駭侵的內幕。

在這份由 NDR 和 BR 協同進行的調查中,多位資安專家深入追查,發現中國駭侵組織透過 Winnti 惡意軟體,對包括遊戲產業、科技、製藥和重化工業的多家知名廠商進行駭侵與監聽;受駭廠商如下:

  1. 遊戲:Gameforge、Valve
  2. 軟體:Teamviewer
  3. 科技:西門子、住友、蒂森克虜伯(ThyssenKurpp)
  4. 製藥:拜爾、羅氏(Roche)
  5. 化工:巴斯夫、Covestro、信越

報告指出,這個駭侵團體一開始係以遊戲業為主要目標,以謀取不法利益。該團體首先於 2011 攻擊總部設在德國 Karlsruhe 的遊戲公司 Gameforge,以 Winnti 惡意軟體入侵該公司 40 台資料庫主機。

接下來該團體的駭侵重點轉移到大型製造業,2014 年起開始攻擊高科技、化工與藥廠等對象;最近甚至開始進行政治監聽活動,針對西藏流亡政府駐印度所在地的電信業者進行駭侵攻擊。

資料來源:

  1. https://web.br.de/interaktiv/winnti/english/
  2. https://hub.packtpub.com/winnti-malware-chinese-hacker-group-attacks-major-german-corporations-for-years/
  3. https://www.europeanpharmaceuticalreview.com/news/95107/roche-confirms-cyber-attack-from-winnti-malware/

中國 Android 惡意軟體「狸貓換太子」,會將正版 App 替換成夾 帶廣告詐騙機制的假貨

資安研究人員發現一個來自中國的 Android 惡意軟體「史密斯探員」,會將用戶手機中的正版 App 偷換成會夾帶廣告詐騙機制的假 App,受害者已達兩千萬人。

資安公司 Check Point 指出,該公司發現一個來自中國廣州的 Android 惡意軟體,會將用戶手機中的各種正版 App 偷偷換成看起來很像,但是卻會暗中下載並點擊廣告的假 App。

這個被命名為「史密斯探員」(Agent Smith)的 Android 惡意軟體在 2018 年初首次出現,一開始只出現在 Adnroid 平台上一個稱為 9Apps 的第三方 App Store,但 Check Point 最近發現「史密斯探員」也出現在 Google 官方的 Play Store 平台中,已經發現有 11 支 App 內含該惡意軟體。

目前該惡意軟體的受害者已達兩千萬人左右,主要分布在印度、巴基斯坦與孟加拉;Check Point 擔心這支惡意軟體侵入 Google Play Store 後,受害者會大幅增加。該公司估計目前新增的受害者已達一千萬名。

Check Point 也在第一時間通報 Google,目前 Google Play Store 已將確認感染的 App 下架,但 Android 用戶仍應提高警覺,因為類似的惡意軟體種類相當多。

 

資料來源:

  1. https://blog.checkpoint.com/2019/07/10/agent-smith-android-malware-mobile-phone-hack-virus-google/
  2. https://www.zdnet.com/article/new-android-malware-replaces-legitimate-apps-with-ad-infested-doppelgangers/

美國網戰司令部發布警告,指有網軍透過 Outlook 老舊漏洞進行駭侵

美國網路作戰司令部於日前在 Twitter 上發布警訊,指目前正有透過老舊 Outloook 漏洞,針對美國政府單位的網路攻擊,正在大規模發生中。

 被利用來進行駭侵攻擊的 Outlook 漏洞,編號為 CVE-2017-11774,是兩年前就被確認的老舊漏洞;微軟已在 2017 年十月發行的安全更新中提供修補軟體。

這個漏洞可讓攻擊者跳過 Outlook 的沙盒限制,在目標電腦的作業系統中執行惡意程式碼。

資安研究單位 SensePost 指出,在 2018 年曾監測到由伊朗支持的 APT33 駭侵團體,利用此漏洞發動網路攻擊。

美國網戰司令部沒有列出可能的攻擊來源,但一般相信這次攻擊和伊朗有關;資安專家指出,未來來自伊朗的駭侵攻勢可能繼續升高。

資料來源:

  1. https://twitter.com/CNMF_VirusAlert/status/1146130046127681536
  2. https://www.zdnet.com/article/us-cyber-command-issues-alert-about-hackers-exploiting-outlook-vulnerabil

Telegram 遭受來自中國的大規模 DDoS 攻擊

資安公司 FireEye 的研究人員發現,一個名為 APT34 的駭侵團體,透過 LinkedIn 廣為發送夾帶惡意軟體的加友邀請。

FireEye 研究人員指出,該公司發現自今年六月起在 LinkedIn 上出現大量透過加友邀請夾帶惡意軟體檔案的駭侵活動,散布者疑似為 APT34 組織。

APT34 在 LinkedIn 邀請中會假扮成英國劍橋大學的人員,以取信於受害者;在邀請中夾帶的惡意軟體共有三類:後門軟體 TONEDEAF、瀏覽器帳密竊取工具 VALUEVAULT、鍵盤輸入密錄工具 LONGWATCH。

研究人員指出,這些惡意軟體是以微軟 Office 文件的巨集,藏在邀請訊息的附檔之中。

資料來源:

  1. https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html
  2. https://www.scmagazine.com/home/security-news/apts-cyberespionage/fireeye-researchers-identified-a-phishing-campaign-conducted-by-apt34-masquerading-as-a-member-of-cambridge-university-to-gain-their-victims-trust-to-open-malicious-documents/

中國江蘇省公安局洩漏超過九千萬筆個人與公司行號資料

資安專家發現一個屬於中國江蘇省公安局的資料庫在網路上公開,內含超過九千萬筆以上的個人與公司行號資料。

資安研究人員發現一台屬於中國江蘇省公安局所有的 ElasticSearch 伺服器,含有兩個完全沒有套用任何安全措施的資料庫,在網路上可任意存取。

這兩個資料庫的資料大小合計高達 26GB,資料筆數多達九千萬筆以上,內含許多人的個資,包括姓名、出生日、性別、身分證字號、地理座標資訊、所屬城市等個人識別資料,另外還有公司行號資料,包括公司名稱、編號、營業類型、地址、所屬城市、附註說明等資料。

資安研究人員指出,這兩個資料庫不但沒有加密或任何保護,任何人也能擁有完整的管理與存取權限。

目前該資料庫已經自公開網路離線,無法存取。

資料來源:

  1. https://www.bleepingcomputer.com/news/security/over-90-million-records-leaked-by-chinese-public-security-department/
  2. https://www.computing.co.uk/ctg/news/3078613/china-database-leak-90-million

又一個美國小城為勒贖攻擊繳付贖款

繼佛羅里達小城利維拉市之後,另一個位在佛羅里達的雷克市決定繳付贖金,試圖救回被加密的市政檔案。

同樣位在佛羅里達州的雷克市,成為近來第二個決定繳付贖款,以救回遭加密市政檔案的美國城市。

該市議會緊急會議通過決議,同意繳付 42 個比特幣的贖款,以當時的比特幣匯價來看,約合美金五十萬元。

雷克市的市政檔案資料遭到勒贖軟體攻擊,雖然 IT 人員在發現之後緊急將市政系統離線處理,但大多數市政系統仍遭癱瘓,僅有處於不同網路的警政和消防系統倖免。

該市大多數市政因此停攞長達兩周之久,贖款於六月25日繳付,但至今天為止,該市官網仍未公告市政系統復原訊息。

 

資料來源:

  1. https://www.lcfla.com/community/page/press-release-cyber-attack
  2. https://www.zdnet.com/article/second-florida-city-pays-giant-ransom-to-ransomware-gang-in-a-week/

俄國否認對以色列機場進行GPS信號干擾

以色列指控俄羅斯涉嫌干擾其機場附近的 GPS 信號,俄羅斯政府予以否認。

 六月初起,位於以色列特拉維夫東南方的本-古里昂機場,開始持續發生 GPS 信號遭到干擾事件;班機無法在空中透過 GPS 正確定位,僅能以機場地面系統進行起降;雖然沒有釀成任何飛安事故,但對機場的正常運作造成很大衝擊。

以色列政府指稱,這是一起典型的攻擊事件,以色列政府高度懷疑這項攻擊係來自俄羅斯布署在敘利亞境內的電戰系統,該系統位於本-古里昂機場北方約 350 公里的空軍基地之中。

俄羅斯駐以色列大使駁斥這項指控,說這項指控是假新聞,根本不值一談。

 

資料來源:

  1. https://edition.cnn.com/2019/06/27/middleeast/israel-russia-gps-failure-intl/index.html
  2. https://sporaw.livejournal.com/638666.html

佛羅里達小城支付勒贖金,但市政檔案並未完全復原

受勒贖軟體攻擊的美國佛羅里達小城 Lake City,雖然支付了相當於 46 萬美元的比特幣贖金,但市政檔案並未完全復原,整體復舊遙遙無期。

最近一年以來有多個美國城市遭到惡意勒贖攻擊,市政相關檔案系統遭到加密,導致許多城市的政務推動與日常運作陷入癱瘓。其中有一些城市選擇支付贖金,例如佛羅里達小城 Lake City 便以比特幣支付了相當於 46 萬美元的贖款。

然而,贖款付了,市政系統的全面復舊卻仍然遙遙無期。

以 Lake City 的例子來說,雖然電話和 Email 系統能夠恢復運作,但仍有不少系統和檔案並未回復成功;更糟的是,累積了一百年以上的市政歷史資料,例如各種會議記錄、政令等數千份歷史文件,還是得以人工作業方式重新掃瞄建檔。

另外,Lake City 在支付贖金後,立即開除了其 IT 主管。

FBI 指出去年發生超過一千五百起各式加密勒贖攻擊事件,攻擊對象包括各種公私營機構;最近則有集中攻擊像 Lake City 這類有投保的小型城鎮的趨勢;這類小型地方政府多半缺乏足夠的 IT 技術資源抵禦攻擊,再加上有保險公司承保,比較傾向支付贖款以救回市政檔案與系統。

資料來源:

  1. https://www.nytimes.com/2019/07/07/us/florida-ransom-hack.html
  2. https://www.zdnet.com/article/florida-city-fires-it-employee-after-paying-ransom-demand-last-week/