Gmail、Google 日曆等服務,已成釣魚郵件與惡意軟體有效散布管道

卡巴斯基發表研究報告,指出用戶眾多的 Gmail 和 Google 日曆等 Google 雲端服務,現在也成為釣魚郵件與惡意軟體散布的有效管道。

資安公司卡巴斯基指出,用戶眾多,使用便利的 Google 各種雲端服務,目前成為駭侵團體發動釣魚郵件並散布惡意軟體的有效管道。

詃公司近來發現,包括 Gmail、Google 日曆、Google 相簿、Google 線上表單、Google Drive 和儲存空間,甚至連網站分析工具 Google Analytics,都傳出駭客利用來散布釣魚垃圾信與惡意軟體的案例。

以 Google 日曆為例,駭客可以透過發送假的行程邀請給受害者,並在邀請中置入惡意軟體連結;通常用戶對於行程邀請的防備心較薄弱,再加上日曆服務不像 Email 一樣多半備有成熟且較精準的垃圾與病毒偵測機制,因此用戶中標比例更高。

同樣的,駭客也會透過共享 Google Photos 相片,來發送夾帶惡意連結的通知信;由於通知信是用 Google Photos 的系統發出,因此用戶不易起疑。

在卡巴斯基的報告中,分享了更多利用 Google 服務發送惡意連結的案例,頗值參考;用戶在收到任何來自 Google 服務的通知或邀請時,也應該仔細檢視發送者,來自不明發送者的邀請不要點開,疑似詐騙或夾帶惡意連結的應立即檢舉。

資料來源:

  1. https://usa.kaspersky.com/blog/spam-through-google-services/17799/

資安研究單位指出,Email 仍是最主要的駭侵攻擊目標

多家資安研究單位共同指出,雖然現今各種駭侵方式日新月異,Email 仍然是最主要且最容易的駭侵管道。

綜合各家資安研究單位針對 Email 易遭攻擊的研究資料,有以下發現:

  • Mimecast 指出,過去一年以來有高達 73% 的公私營單位曾遭假冒身分攻擊並造成損失;其中 55% 的攻擊是釣魚信件。
  • Mimecast 又說,同時也有 53% 的公私營單位曾遭勒贖信件攻擊;一年前的比例是 26%。
  • Proofpoint 表示,2019年第一季觀察到的惡意檔案攻擊,有 61% 和 Emotet 有關;Emotet 是一個能發動各式攻擊的 botnet,會透過垃圾郵件等方式來夾帶惡意檔案。值得注意的是,在郵件中放置惡意檔案下載連結的攻擊方式,五倍於直接夾帶惡意軟體檔案。
  • Proofpoint 也說,愈來愈多攻擊事件透過社交工程發動 Email 攻擊。

資料來源:

https://usa.kaspersky.com/blog/spam-through-google-services/17799/

僵屍網路(Botnet)攻擊布署,由 Windows 轉向 Linux 與 IoT 設備

資安研究指出,駭侵團體布署僵屍網路(Botnet)的主要目標,已逐漸由傳統的 Windows 主機,轉移至 Linux 與 IoT 裝置上。

資安公司 NSFOCUS(北京綠盟科技)近日發表研究報告,指出以僵屍網路發動 DDoS 大規模攻擊的形態正在改變;駭侵團體布署大批僵屍網路的對象,正由過去的 Windows 電腦逐漸轉移到為數更多的 Linux 主機與 IoT 裝置。

NSFOCUS 的報告中含蓋該公司所監測到 2018 年的各種僵屍網路 DDoS 攻擊,並且羅列以下觀察統計數字:

  • 去年該公司偵測到 111,472 次僵屍網路的攻擊指令,遭攻擊的目標共有 451,187 個,較 2017 年增加4%;
  • 美國(2%)和中國(39.78%)是僵屍網路 DDoS 攻擊的全球前兩大受害國;
  • 最容易受到 DDoS 攻擊的網站是線上賭博和色情網站,共遭到 29,161 次攻擊,平均每天被攻擊 79 次;
  • 被植入惡意軟體發動 DDoS 攻擊的平台,由 Windows 快速轉移到 Linux 主機和各種 IoT 裝置。

資料來源:

  1. https://www.helpnetsecurity.com/2019/06/20/botnets-shift/
  2. https://finance.yahoo.com/news/nsfocus-shares-botnet-trends-2018-130000923.html

Telegram 遭受來自中國的大規模 DDoS 攻擊

廣受用戶歡迎的全程加密通訊服務 Telegram,日前遭到來自中國的大規模 DDoS 攻擊;由於某抗議行動參與者大量使用 Telegram 進行溝通協調,資安專家懷疑此次攻擊可能和此相關。

Telegram 在抗議行動擴大時,於其官方 Twitter 上發出警示,表示正遭大規模強力 DDoS 攻擊,部分美洲和其他國家用戶可能會發生連線不穩狀況。

Telegram 也說,該次攻擊明顯是有人發動 Botnet 進行同時大量連線;當天的攻擊時間約持續一個多小時。

據 Telegram 執行長表示,這次攻擊幾乎所有來源 IP 都屬於中國所有,攻擊規模達到每秒 200~400 Gb。

據科技媒體 TechCrunch 表示,四年前當中國開始大規模搜捕人權律師時,Telegram 也曾同步遭到 DDoS 攻擊。

資料來源:

  1. https://twitter.com/telegram/status/1138768124914929664
  2. https://twitter.com/durov/status/1138942773430804480
  3. https://techcrunch.com/2019/06/12/telegram-faces-ddos-attack-in-china-again/

CloudFlare 多個代管網站因 BGP 路由洩露,一度無法連線

全球最大級的 CDN 服務商 CloudFlare,昨日因 BGP 洩露錯誤,導致多個知名大型網站的路由被錯誤導向,服務中斷長達近兩小時。

造成路由洩露錯誤的事主,是美國大型電信公司 Verizon;詃公司在進行 BGP 設定時發生錯誤,導致 CloudFlare 代管的多個大型網站流量,被錯誤導向至美國賓州某家小公司的網站。

這個錯誤導致包括 Overcast、WP Engine、Sonassi、Discord 等知名網路公司的服務中斷長達近兩小時。

這次的 BGP 路由洩露錯誤可能屬於無心之過,但 BGP 可被有心人士用來當做攔截網路流量的攻擊武器。本月初就曾發生過歐洲的行動網路通信流量被錯誤導到中國電信的事件,而且時間也長達兩小時。

資料來源:

  1. https://blog.cloudflare.com/how-verizon-and-a-bgp-optimizer-knocked-large-parts-of-the-internet-offline-today/
  2. https://www.datacenterdynamics.com/news/bgp-route-leak-causes-cloudflare-outages-aws-issues/
  3. https://www.cloudflare.com/learning/security/glossary/bgp-hijacking/

美國太空總署遭駭,500MB 火星任務等計畫檔案被竊

NASA 內部調查報告指出,有 500MB 火星任務等內部資料,遭到駭客以一台 Rasberry Pi 電腦接入內網竊走。

根據 NASA 公開的調查資料指出,此起駭侵事件發生在去年四月間;駭客將一台 Rasberry Pi 微型電腦接到 NASA 噴射推進實驗室(JPL)的內部網路中,竊取了近 500MB 的內部資料。

被竊的資料,以火星相關任務的檔案資料為主,共有 23 個檔案。

報告指出,駭客除了取走資料外,同時也入侵了 NASA 所屬的衛星通訊網路;這個通訊網路係用來與 NASA 歷來發射的太空飛行器傳輸資料之用。

去年 12 月,美國司法部控告兩名和 APT10 有關的中國人,涉及駭入 NASA 和美國海軍使用的雲端服務商;資安媒體懷疑這次駭侵事件也和中國政府支持的 APT10 有關。

資料來源:

  1. https://www.zdnet.com/article/nasa-hacked-because-of-unauthorized-raspberry-pi-connected-to-its-network/
  2. https://www.digitaltrends.com/computing/hackers-steal-500-mb-nasa-data-raspberry-pi/

Linux 主機新威脅:HiddenWasp

資安研究單位發現一個專門攻擊 Linux 主機的新惡意軟體 HiddenWasp,幾乎可以躲過所有防毒系統偵測,造成極大威脅。

資安公司 Intezer 發表研究報告指出,該公司的研究團隊發現一隻前所未見的新型惡意軟體,專門攻擊 Linux 主機,而且現今所有防毒軟體均無法偵測。

這隻被取名為 HiddenWasp 的惡意軟體,並不像最近常見的惡意軟體一樣著重在虛擬貨幣挖礦或 DDoS,而是用來進行遠端遙控。

根據分析結果,研究人員認為 HiddenWasp 使用許多已經開源的惡意軟體程式碼,和許多源自中國的惡意軟體也有相當類似的特徵。

Intezer 的報告中詳述了 HiddenWasp 的感染途徑與運作方式,提供資安人員參考防範。

資料來源:

  1. https://www.intezer.com/blog-hiddenwasp-malware-targeting-linux-systems/
  2. https://www.securityweek.com/sophisticated-hiddenwasp-malware-targets-linux

Netflix 發現 FreeBSD 和 Linux 的 TCP 安全漏洞

Netflix 的研究人員發表研究報告,指出多個 FreeBSD 與 Linux 核心的 TCP 安全漏洞。

Netflix 的報告指出,新發現的 TCP 安全漏洞與「最大分段大小」(Maximum Segment Size, MSS)與「TCP 選擇確認」(Selective Acknoledgement, SACK)功能有關。

其中最嚴重的安全漏泂,稱為「SACKPanic」,係透過操弄一連串的 SACK 指令,引發整數溢位錯誤,最後導至 Linux 發生核心錯誤(kernel panic)。

Netflix 在 GitHub 中發表的公告,內含各個安全漏洞的修補指南或暫時性解決方案,請使用 Linux 或 FreeBSD 主機的管理員注意並安裝更新。

資料來源:

  1. https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md
  2. https://www.computing.co.uk/ctg/news/3077598/netflix-warns-of-several-new-tcp-networking-vulnerabilities

美國佛州小城為求解開被加密檔案,同意支付六十萬美元贖金

美國佛羅里達州的利維拉市,決定支付駭客六十萬美元贖金,以求解開被勒贖軟體加密的市政相關檔案。

佛州利維拉市約在三星期前遭到勒贖軟體攻擊,原因疑似為一名公務人員誤點釣魚郵件的連結,導致該市市政檔案遭到加密,更造成 Email 系統停擺、政府雇員薪資無法透過轉帳發放,僅能以手開支票支付;另外消防隊也無法透過電腦接聽報案來電。

據報導,利維拉市議會投票通過以比特幣支付六十萬美元贖金,是接受多家外部顧問公司的建議而行。另外議會也決議撥款一百萬美元,購置全新的電腦系統。

近來各公私單位遭勒贖軟體攻擊的案件日趨增加,雖然美國聯邦調查局(FBI)在其網頁呼籲不要繳付贖款,但不少受害單位別無選擇。

美國政府指出,去年有兩名伊朗人涉嫌發動超過二百起勒贖攻擊,造成至少三千萬美元的損失;歹徒不法獲利高達六百萬美元,而且至今依然逍遙法外。

資料來源:

  1. https://apnews.com/0762caec21874fc09741abbdec0f78ab
  2. https://www.techspot.com/news/80595-florida-city-agrees-pay-ransomware-hackers-600000-unlock.html

 

美國將惡意軟體植入俄羅斯電力網路,以在網路戰中先發制人

紐約時報報導,美國國防與情報單位已將惡意軟體植入俄羅斯電力網路之中,以便在網路戰中取得優勢地位。

紐約時報指出,該報掌握的資訊指出,美國為了防止俄羅斯透過網路進行滲透,或再次發生操弄選舉情形,已經在俄羅斯的電力網路中植入惡意軟體,必要時可先發制人發動攻擊。

紐約時報指出,有兩名美國情治單位官員證實這個消息,並且指出相關單位尚未向川普總統報告此事。

川普總統得知此事後,在推特上發文否認紐約時報的報導;俄羅斯政府發言人則表示該國一直在對抗類似的人侵行為,這類行為無法傷害俄國的經滴與關鍵產業。

資料來源:

  1. https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
  2. https://edition.cnn.com/2019/06/15/politics/us-ramping-up-cyberattacks-russia/index.html