假冒微軟 Office 365 的釣魚郵件,利用 Google 搜尋轉址功能行騙

資安研究人員發現全新釣魚郵件攻擊行動,除了假冒微軟 Office 365 登入畫面以騙取帳密之外,還透過 Google 搜尋轉址功能來隱藏行蹤。

資安公司 COdense Phshing Defense Center 的研究人員,近來發現一批全新釣魚郵件攻擊行動,會利用 Google 轉址功能隱藏詐騙登入頁面的網址。

這種手法是利用一種叫做 Percent 編碼的技巧,把非拉丁字母的網址字元轉換成以百分比符號加上兩個十六進位數字,讓瀏覽器能夠處理非英數字元的多國語言網址。

歹徒利用 Google 的轉址服務,隱藏詐騙頁面的實際網址;這樣不但能騙過郵件服務的惡意信件掃瞄器,也能讓用戶誤以為網址是來自 Google,所以不用擔心。

有些釣魚郵件業者,甚至會利用 CAPTCHA 機制,防止郵件服務的掃瞄分析機制進一步追蹤信件中的釣魚連結。

資料來源:

  1. https://cofense.com/threat-actors-use-percentage-based-url-encoding-bypass-email-gateways/
  2. https://www.bleepingcomputer.com/news/security/microsoft-phishing-attack-uses-google-redirects-to-evade-detection/

巴爾的摩市府證實,勒贖攻擊造成市政資料損毀

巴爾的摩市府審計單位證實,在數個月前針對該市的勒贖攻擊,確實造成部分市政資料永久損毀,無法復原。

美國巴爾的摩市審計員指出,該市資訊部門的部分資料,確定在先前該市遭受的勒贖攻擊中受損。

受損的資料是關於該市資訊部門的人員績效考核資料;這些資料都存在電腦系統的本地端,沒有其他備份;目前確認這些資料已經永久損毀。

巴爾的摩市於今年五月遭到勒贖攻擊,多個市政系統資料遭到加密,該市市政陷入癱瘓;該市隨後支付六百萬美元贖款,但遭到攻擊的市政系統與資料尚未全面復原。

巴爾的摩市先前任命的資訊部門主管,也因為此次攻擊事件而飽受責難;目前暫時處於停職狀態。

資料來源:

  1. https://www.baltimoresun.com/politics/bs-md-ci-data-lost-20190911-i6feniyk5nd3pereznpdxwsf7a-story.html
  2. https://www.baltimoresun.com/politics/bs-md-ci-ransomware-expenses-20190828-njgznd7dsfaxbbaglnvnbkgjhe-story.html
  3. https://www.baltimoresun.com/politics/bs-md-ci-frank-johnson-leave-20190910-waliphukdbcg3evzylbrjfefui-story.html

微軟緊急修補兩個已遭大規模濫用的 0-day 漏洞

微軟日前發出緊急修補更新程式,用以更新兩個新近被發現,而且已遭駭侵者大規模濫用的 Internet Explorer Microsoft Defender 中的 0-day 漏洞(CVE-2019-1366CVE-2019-1255)。

這兩個漏洞,前者存於 IE 之中,可讓駭侵者取得系統控制權,並且執行任意程式碼,後者則存於 Microsoft Defender 中,可用來發動 DDoS 攻擊。

由於這兩個 0-day 漏洞已遭駭侵者大規模濫用,因此微軟來不及等到下個月的 Patch Tuesday 例行更新,直接針對這兩個漏洞發布修補更新。

  • CVE編號:CVE-2019-1367、CVE-2019-1255
  • 影響產品(版本):IE 9, 10, 11、Microsoft Defender 1.1.16300.1 之前版本
  • 解決方案:安裝微軟最新推出的安全更新程式

資料來源:

  1. https://www.us-cert.gov/ncas/current-activity/2019/09/23/microsoft-releases-out-band-security-updates
  2. https://support.microsoft.com/en-us/help/4522007/cumulative-security-update-for-internet-explorer
  3. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

Facebook 近四億二千萬筆用戶個資外洩,資料庫被公開在網路上

資安研究人員在網路上發現多個含有 Facebook 用戶大量個資的超大型資料庫檔案,未經任何保護,可自由存取;總資料筆數高達四億一千九百萬筆;資料包含臉書用戶的 ID、手機號碼等個資。

資安研究單位 GDI 基金會的研究人員,日前在網路上發現數個資料庫,內含近四億二千萬筆 Facebook 用戶個資。

這些資料中有一億三千多萬筆資料屬於美國的 Facebook 用戶,一千八百萬筆屬於英國,也有五千萬筆以上來自臉書的越南用戶。

外洩的個資欄位包括用戶在臉書的 User ID、姓名、電話號碼、生日、國家、性別、所在地、資料更新日期等。

資安人員指出,這些含有超多內容的資料庫檔案,在網路上未經任何密碼保護,知道網址的人皆可任意存取。

駭客可經由這個資料庫輕易取得臉書用戶的手機號碼,發送垃垃簡訊或詐騙電話,甚至發動 SIM 卡置換攻擊,或是利用這個電話號碼來竊取用戶在其他網路服務的登入資訊。

Facebook 對此表示,這批資料是在 Facebook 去年取消用戶透過電話查詢其他用戶之前流出的,內容十分老舊,且 Facebook 很早以前就限制開發者取得用戶電話號碼;目前沒有證據指出資料係由 Facebook 內部直接外洩。

資料來源:

  1. https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
  2. https://www.theguardian.com/technology/2019/sep/04/facebook-users-phone-numbers-privacy-lapse

phpMyAdmin 被發現 0-day 漏洞

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中,發現一個中等嚴重程度的 0-day 資安濡洞,駭侵者可用以刪除受害用戶的網頁伺服器。

研究報告指出,這個 0-day 漏洞屬於典型的 CSRF 漏洞,駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限,且已登入其 phpMyAdmin 系統的用戶,受者者點按該連結後,即可在受害者不知情的情形下,刪除利用 phpMyAdmin 設定的 MySQL 資料庫。

這個 0-day 漏洞雖然會刪除網頁伺服器,但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時,立即通報給 phpMyAdmin 的維護團隊,但該團隊未能在九十天內修復此漏洞;目前該漏洞亦尚未修復。

  • CVE編號:CVE-2019-12922
  •  影響產品:phpMyAdmin 4.9.0.1 在內的各已推出版本
  • 解決方案:尚無,資料庫管理者應避免點按可疑連結

資料來源:

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922
  2. https://seclists.org/fulldisclosure/2019/Sep/23
  3. https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1

大量 Instagram 釣魚郵件,藉侵權為由騙取帳號控制權

資安單位發現大量假冒 Instagram 發送的詐騙釣魚信件,意在竊取帳號控制權,用戶須提高警覺,避免點擊假連結。

據資安公司 Sophos 發布的消息指出,近來有大量假冒熱門相片影片分享社群平台 Instagram 的釣魚信件,在網路上流傳,意圖騙取受害者的帳號控制權。

這波釣魚信件假裝是由 Instagram 平台發出的警告信,指稱用戶分享侵害著作權的內容,如果不按下信件中的申訴按鈕,帳號可能會在 24 小時內遭停權。

用戶如果受騙而按下連結,就會被導向到一個假網站,並要求輸入 Instagram 帳號與密碼;歹徒就可取得用戶的 Instagram 控制權。

由於很多用戶會將同樣的帳號密碼使用在不同服務上,所以歹徒還可能進一步入侵受害者在其他服務上的帳號。

事實上,Instagram 對於侵權內容的處理,並不會在事前通知用戶,而是會先下架內容才通知用戶,所以流程是不一樣的。Instagram 用戶如果收到不明的通知信,一定要提高警覺。

資料來源:

  1. https://nakedsecurity.sophos.com/2019/09/24/instagram-phish-poses-as-copyright-infringement-warning-dont-click/
  2. https://help.instagram.com/1445818549016877

2019年9月份事件通報概況

本中心每日透過官方網站、電郵、電話等方式接收資安情資通報,以下為各項統計數據,分別為通報地區統計圖及通報類型統計圖。

通報地區統計圖為本中心所接獲之通報中,針對通報事件責任所屬地區之通報次數比率,如圖1所示;通報類型統計圖則為本中心所接獲的通報中,各項攻擊類型之筆數比率,如圖2所示。

通報地區統計圖

 

通報類型統計圖

Google 資安研究團隊揭發史上最大 iPhone 駭侵事件

Google 資安研究團隊 Project Zero 揭發史上為期最長、受害範圍最大的 iPhone 駭侵事件;駭侵行動長達兩年時間,受害人數難以估計。

駭侵者係利用 iOS 長期未被發現的 0-day 漏洞,在數個網站中放置惡意程式碼;只要以 iPhone 瀏覽這些網站,就會被植入惡意軟體;用戶在 iPhone 上進行的通訊活動,以及行事曆、相片、密碼、手機所在位置的即時座標等個資都會遭竊。

據 Google 指出,這些被置入惡意程式碼的網站,每周都有數千個訪客。

雖然 Google 並未指出是哪些網站放置惡意程式碼,也沒有指名駭侵者或其目標,但據 TechCrunch 報導,熟知內情人士認為這是由中國支持的駭侵團體,以維吾爾穆斯林人士為目標的駭侵行動。

受這個 0-day 漏洞影響的 iOS 版本,自 iOS 10 一直到 iOS 12;Google 於二月通報 Apple 這個發現,Apple 隨即在二月發行的 iOS 12.1.4 更新中修補了這個嚴重漏洞。

富比士雜誌也指出,這些網站不只攻擊 iPhone,也存有針對 Android 和 Windows 系統的惡意程式碼。

  • 攻擊手法:於網站中安插攻擊用的惡意程式碼。
  • 關鍵字:iOS, 0-day
  • 資料來源:
  1. https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
  2. https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
  3. https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#2adac7224adf

新發現 Android 木馬,不但竊取用戶個資,還會暗中訂閱付費服務

資安研究單位發現一個名為「小丑」(Joker)的 Android 木馬,除了會竊取用戶個資、製造廣告假點閱外,甚至還會暗中訂閱付費服務。

資安公司 CSIS 日前發表研究報告,指出該公司發現一個全新的 Android 木馬程式,稱為「小丑」(Joker),且已經大量透過 Google Play 官方軟體下載中心散布。

這個惡意程式不但會竊取用戶手機中的通訊錄、裝置資訊和簡訊通訊內容,也會製造廣告假點擊,浪費用戶頻寛並詐取廣告分潤;更嚴重的是會自動幫用戶訂閱付費服務,造成更大的損失。

目前 CSIS 觀測到 Joker 已藏身在 24 支於 Google Play 上架的 App 之中,總安裝次數接近五十萬次。受害者多分布於歐洲和亞洲各國,但也觀測到當用戶身處美國和加拿大時,該木馬便會自動停止執行。

CSIS 的報告中有詳細的惡意軟體行為分析可供參考。

資料來源:

https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

Android 全新 0-Day 漏洞,可導致駭侵者取得更高操作權限

趨勢科技旗下的資安研究單位 ZDI 發表研究報告指出,該單位發現一個嚴重的 Android 0-Day 漏洞;駭侵者可藉此取得更高的作業系統操作權限。。

ZDI 指出,這個漏洞出現在 Android 的繪圖相關子系統驅動程式 V4l2(Video4Linux 2)中; 駭侵者只要先取得較低的執行權限,接著利用這個漏洞,就可以獲得更高權限,進而控制整個裝置。

這個 0-Day 漏洞的 CVSS 嚴重程度分數達到 7.8,算是相當嚴重的安全漏洞;ZDI 於今年三月通報 Google,但目前針對該漏洞的修補程式,尚未出現在 Google 九月的系統更新之中。

  • 影響產品(版本) :Android 各版本
  • 解決方案:尚無。
  •  CVE編號:暫無
  • 資料來源:
  1. https://www.zerodayinitiative.com/advisories/ZDI-19-780/
  2. https://threatpost.com/android-zero-day-bug-opens-door-to-privilege-escalation-attack-researchers-warn/148014/