微軟揭露鎖定Office 365用戶且可繞過多因素認證的大規模網釣活動

發動中間人(AiTM)網釣攻擊的駭客,在取得Office 365憑證及登入期間權限後,再以受害者的郵件帳號展開商業電子郵件(BEC)詐騙

圖片來源: 

微軟

微軟本周指出,從2021年9月迄今,至少1萬個組織成為中間人(Adversary-in-The-Middle,AiTM)網釣攻擊的目標,且駭客主要鎖定Office 365用戶。由於駭客不僅竊取了使用者的密碼,也挾持了使用者的登入期間,因而也能繞過雙因素身分認證(Multi-Factor Authentication,MFA)機制。

駭客先是寄送了網釣郵件,將使用者導至AiTM網釣頁面,進而竊取使用者的憑證與期間Cookie,隨之駭客即利用所取得的憑證及登入期間權限,以受害者的郵件帳號展開商業電子郵件(BEC)詐騙。

圖片來源/微軟

微軟描述了AiTM網釣活動的細節,指出駭客在使用者與所要造訪的目標網站之間部署了一個代理伺服器(網釣網站),當駭客以網釣郵件誘導使用者造訪目標網站時,代理伺服器便充當中間的橋梁,使得該代理伺服器得以取得使用者所輸入的密碼,以及使用者與目標網站之間建立的登入期間Cookie。

圖片來源/微軟

除了網址之外,該網釣網站幾乎與目標網站一模一樣,而讓使用者難以察覺。微軟強調,此一攻擊無關使用者所採用的登入機制,亦非MFA機制的安全漏洞,僅僅是因為駭客挾持了使用者的登入期間,而能以使用者的身分運作。

此外,這些網釣活動顯然是鎖定Office 365用戶,因為駭客所打造的冒牌網站就是偽裝成Office的線上認證頁面。

根據微軟的分析,最快的攻擊行動在盜走憑證及期間Cookie的5分鐘之後,便展開了BEC詐騙。

微軟建議組織可啟用條件式存取政策,部署更先進的防網釣解決方案,或是持續偵測可疑與異常行為,抑或是使用Microsoft 365 Defender來對抗AiTM網釣攻擊。

來源:https://www.ithome.com.tw/news/151924

郵件資安攻擊板塊位移 物流詐騙信隨疫情增25倍

相較於2020年,2021年度的垃圾郵件總量成長幅度約為8%,但垃圾郵件的大小卻成長了43%。在威脅郵件方面,利用免費表單生成、架站平台進行的釣魚攻擊郵件成長了210%;一般性詐騙郵件上升了近60%;偽冒為快遞、郵務相關詐騙成長了近25倍;針對企業交易時所進行的BEC攻擊郵件數量,則較2020年成長了近8倍。

回顧2021年,全球仍籠罩於COVID-19疫情之下,不過相較於2020年,企業對於居家辦公(Work From Home,WFH)的工作型態已漸適應,資安部署不再只是慌亂應對遠端工作帶來的資安事件,而是全新型態的適應性部署。

中華數位科技與ASRC研究中心觀察,相較於2020年,2021年度的垃圾郵件總量成長幅度約為8%,但垃圾郵件的大小卻成長了43%,這對郵件伺服器的儲存空間,以及郵件掃描過濾的效能帶來了不小負擔;但垃圾郵件亂槍打鳥式濫發、濫寄的情況,卻呈現下降的趨勢。而在威脅郵件方面,利用免費表單生成、架站平台進行的釣魚攻擊郵件成長了210%;一般性詐騙郵件上升了近60%;偽冒為快遞、郵務相關詐騙成長了近25倍;針對企業交易時所進行的BEC攻擊郵件數量,則較2020年成長了近8倍。

顯然,在WFH的工作型態下,偽冒、詐騙等社交工程手法的攻擊變得更加猖獗;多數企業似乎也察覺了這樣的趨勢,因此,2021年企業內部實施社交工程演練的郵件,較2020年上升了近90%。

APT攻擊與漏洞利用

APT攻擊大多以電子郵件為起點,直接寄送可利用Office漏洞的惡意文件來嘗試入侵企業內部,以進行竊資、部署勒索軟體等目的。但是既有Office漏洞利用並非APT攻擊的專利,大量濫發的病毒郵件中,也充斥著漏洞利用的手法。表1整理了2021年常見的既有Office漏洞利用狀況。

利用CVE-2018-0802漏洞的濫發病毒郵件。
惡意文件利用Office的XML結構抓取外部設定,來遠端抓取另一個惡意文件,並嘗試開啟。

郵件攻擊趨勢

2021年出現了大量惡意Office文件攻擊,在Excel也發現各種花俏的攻擊手段,另外也看到許多合法來源的攻擊郵件。

惡意文件內的惡意文件

儘管2021年有大量的惡意Office文件,但文件中並無漏洞利用的跡象,也沒有VBA程式語言的使用。它利用的是Office的XML結構來隱藏遠端真正包含攻擊意圖的另一個惡意文件。當收件者打開惡意Office文件時,Word就會去遠端抓取另一個惡意Word檔案,並嘗試打開它,以進一步入侵受害者的電腦。這樣的攻擊,讓真正有惡意意圖的檔案不容易被防禦機制抓取分析,也能在接觸到真正要攻擊的對象時,才暴露惡意文件的本體。

Excel的花式攻擊手段

同時,我們也發現Excel在2021年,有著各種花俏的攻擊手段,除了前述提及的利用XML結構的攻擊模式外,由於Excel可以針對檔案、表單或VBA程式碼做局部或全部的加密,再加上使用Microsoft Excel電子表格的VelvetSweatshop預設密碼,就能讓惡意的Excel檔躲過安全掃描;而將惡意的Excel檔案存成為.xslb格式,也具有讓惡意程式碼不被檢查出的效果。

合法服務遭到濫用

攻擊者深知,要發送一個不容易被安全措施偵測出的攻擊郵件,首先要從合法來源寄送,並且盡量避免直接夾帶惡意檔案或程式碼,真正的攻擊,應該放在夾帶的外部超連結。2021年也看到了許多合法來源發送的攻擊郵件,數量較多且較為知名的,都是電子報或行銷郵件的派報系統,諸如Salesforce、Sendgrid等等。

攻擊者可隨時移除、變更惡意檔案,或排除不是目標的受害者。
攻擊者可隨時移除、變更惡意檔案,或排除不是目標的受害者。
原用於提高Excel檔案運行速度的xlsb,成為掩飾惡意程式碼的好方法。

遭到濫用的發報系統,似乎不是因為某種系統缺陷而直接被用來派送惡意郵件,比較像是一些合法帳號遭到了釣魚、或從其他方面洩漏了機敏資訊後,利用這些機敏資訊合法登入派報系統後再進行濫發。

外部超連結部分,除了一般常見的免費表單生成器被用於釣魚外,許多雲端服務的API也被用於撰寫釣魚頁面或儲存惡意檔案。

信賴成為新的挑戰

過去,白名單、內外網、安全區域的區別,都在於信賴的是一個特定的對象或區域。並且信賴的「對象」或「區域」一旦設定完成後,幾乎沒有一個重新審視的基準或週期。攻擊者會設法入侵或控制這些被信賴的「對象」或「區域」,如此一來就可用特權進行深度的竊資或破壞。

疫情影響下的世界,遠端操作、有距離的人際互動,十分難以判斷原本信賴的對象是否受到控制或入侵。新的一年,不論疫情是否結束,攻擊者仍會以社交工程、詐騙手段讓自己更容易成為被信賴的「對象」,新的資安防禦措施,就不能單單地信賴對象而不稽核這個對象的「行為」是否有異。零信任的資安架構是基礎,加上內部使用者與裝置行為分析會是較為堅實的防禦措施。

來源:https://www.netadmin.com.tw/netadmin/zh-tw/trend/0F45CFDD9DDC40E598067616356FA51F

Google緊急修補已遭開採的Chrome漏洞

本周Google針對Windows、macOS與Linux平臺釋出Chrome更新,修補一項已出現攻擊程式的安全漏洞

Google於2月14日釋出了支援Windows、macOS與Linux的Chrome 98.0.4758.102,以修補11個安全漏洞,且已有涉及CVE-2022-0609漏洞的攻擊程式現身。

此次Google所修補的安全漏洞中,有7個被列為高風險漏洞,當中的CVE-2022-0609為動畫的釋放後使用漏洞,是由Google威脅分析團隊的成員所發現,且坊間已有相關的攻擊程式。

Google準備在未來幾天至幾周陸續傳送更新至用戶裝置上,心急的使用者則可透過Chrome設定中的「說明」~>「關於Google Chrome」,來檢查有否最新版本並手動進行更新。

來源: Google緊急修補已遭開採的Chrome漏洞 | iThome

京都大學超級電腦備份錯誤,損失77TB資料

校方指出因軟體瑕疵,導致特定時間點以後未更新的檔案遭到無預警刪除,經搶救後,77TB用戶資料中仍有約28TB資料,無法藉由備份回復
文/林妍溱 | 2022-01-03發表

情境示意圖,photo by patrick lindenberg on unsplash

日本京都大學上個月公告,該校一座開放其他學術研究單位使用的超級電腦系統發生備份瑕疵,導致近77TB用戶資料損失。

京都大學指出,受到軟體瑕疵影響,該系統的/LARGE0檔案系統於2021年12月14日下午5:32、到12月16日12:43發生檔案刪除活動。凡是在2021年12月3日下午5:32以後未更新的檔案,都遭到刪除。

根據維護單位調查,遭刪除的檔案近77TB,總共涉及3,401萬份檔案。有14個用戶群組受到影響,雖然經設法搶救,仍有其中4個群組約28TB資料,無法藉由備份回復。

京都大學於12月16日通知受影響的用戶。

京都大學超級電腦服務提供大量資料的科學及產業研究,包括計算化學、結構分析、統計運算、視覺化應用等。該超級運算服務由3座HP Cray的超級電腦組成,包括Camphor 2、Laurel 2及Cinnamon 2。其中Camphor 2為運算速度名列世界162的系統。根據京都大學提供的資料,這項服務中的儲存系統為DataDirect ExaScaler。

來源:https://www.ithome.com.tw/news/148672?fbclid=IwAR1ebpKkbhMYMj9DpbWJ2ZbNmLA2-UL41mm-LTyvA6OJBLWDRzSKan5n0_Q

三個月內第二起!又有大公司遭到駭客組織勒索,這次是 Olympus

知名光學大廠 Olympus 傳出遭知名駭客組織BlackMatter勒索,目前Olympus 正在優先處理中。

Photo credit: iaBeta on Flickr

又傳駭客勒索事件!知名光學大廠 Olympus 傳出遭知名駭客組織勒索,其影響範圍遍及歐洲、中東及非洲國家。而 Olympus 也隨即做出聲明表示目前正以最優先級別在解決這個問題。

據了解,該勒索駭客組織為 BlackMatter,會在受害的電腦上留下相關贖款條件「您的網路已被加密,目前無法正常運作;付費後我們將提供相關解密程式。」BlackMatter 為繼 DarkSide 與 REvil 後,新的勒索駭客組織。

今年七月才傳出 IT 管理軟體 Kaseya 遭到俄國駭客團體 REvil 入侵,影響了超過 100 萬台設備,並要求支付價值 7,000 萬美元的比特幣作為贖金。此勒索事件甚至讓美國總統拜登(Joe Biden)下令要求美國執法與情治單位協助 Kaseya,更於上個月與各科技巨擘開啟資安高峰會,期望共同解決資安相關問題。

此外,防毒軟體公司 Emsisoft 的技術長法比安·沃薩爾(Fabian Wosar)透過 Twitter 表示 BlackMatter 與 DarkSide 似乎有合作的跡象。雖然兩者勒索軟體不一樣,但確有諸多部分相似之處。根據外媒 TechCrunch 報導,自 BlackMatter 六月出現至今,Emsisoft 已記錄至少 40 起源自於此組織的攻擊事件,以上都還只是有紀錄的,沒記錄到的也許更多。

針對此勒索事件,Olympus 也僅表示目前仍在繼續了解問題的嚴重程度,並持續在修復當中,有最新消息會盡速更新。

來源:https://www.inside.com.tw/article/24816-olympus-hacked-by-blackmatter

駭客入侵台灣10大企業!研華慘遭勒索10億 仁寶認栽付千萬贖金 原文網址: 駭客入侵台灣10大企業!研華慘遭勒索10億 仁寶認栽付千萬贖金

研華董事長劉克振近年持續推動物聯網,但公司伺服器在11月19日也證實被駭客針對性地入侵。 (圖/研華提供)

▲研華董事長劉克振近年持續推動物聯網,但公司伺服器在11月19日也證實被駭客針對性地入侵。 (圖/CTWANT提供)

圖、文/CTWANT

根據國際資安公司「BlackFog」最新報告,截至今年11月,全球政府及企業遭駭客組織攻擊勒索的案件,高達228件,其中,台灣光是近3個月,就有逾10家上市櫃企業遭駭,最新的受害者是筆電大廠「仁寶電腦」(2324)及工業電腦大廠「研華科技」(2395),兩大廠被勒索的贖金,一共高達新台幣10億元!

全球新冠疫情死亡人數即將飆破一百五十萬,愈來愈多企業開啟在家工作模式,然而,住家資安環境不比公司內部,部分民眾非但不是使用正版作業系統,還透過「虛擬私人網路」(VPN,Virtual Private Network)連回公司網路,於是給了駭客可趁之機。

本刊調查,今年10月中旬以來,台灣逾10間上市公司遭駭客使用勒索軟體攻擊,並以每週2至3間的數量增加;受害公司的股價落在70元至350元區間,行業別包括建築、生技、傳產與汽車零件等,部分被害公司已支付新台幣200萬元至500萬元的贖金,換取遭駭資料的解密密鑰。最新的受災戶則是筆電大廠仁寶電腦(仁寶)及工業電腦市占龍頭研華科技(研華)。

仁寶專為DELL、HP、Lenovo、Apple及Google等品牌代工筆電,是全球第二大筆電代工廠。受惠疫情帶來的遠距商機,仁寶前三季每股稅後盈餘達1.1元,今年的筆電出貨量可望超越去年的4,390萬台。

據悉仁寶被駭客入侵後,資安人員一早都到董事長許勝雄的辦公室開會,討論解決辦法。左圖為許勝雄出席今年中華民國三三企業交流會。(圖/王永泰攝、讀者提供)

▲據悉仁寶被駭客入侵後,資安人員一早都到董事長許勝雄的辦公室開會,討論解決辦法。左圖為許勝雄出席今年中華民國三三企業交流會。

就在營收大好之際,11月8日,仁寶竟傳出遭勒索程式入侵!「內部員工開啟電腦後,出現藍屏畫面顯示『Your network was hacked.』(你的網路已經被駭),並警告禁止關閉電腦以及刪除任何檔案。」1名知情人士透露,仁寶IT(資訊科技)部門為此十萬火急發出通知:「伺服器遭勒索病毒攻擊,員工不要連回公司內網,即使在公司使用電腦也不要連上網路。」

該人士表示,「攻擊仁寶的駭客組職,正是近幾個月相當猖獗的『DoppelPaymer』(外界以該組織使用的勒索軟體DoppelPaymer稱之),對方要求在72小時內支付1,000比特幣,若不趕緊支付,贖金就會提升至1,100百枚比特幣(約新台幣6億元)。」

全球第二大筆電代工廠仁寶電腦,11月9日傳出遭駭客入侵。(圖/李宗明攝)

▲全球第二大筆電代工廠仁寶電腦,11月9日傳出遭駭客入侵。(圖/CTWANT提供)

資安專家阿哲(化名)證實仁寶遭到駭客攻擊,「事發後,仁寶以備份系統還原後,就查不出DoppelPaymer最初的入侵手法及潛伏時間。」「聽說DoppelPaymer提供的錢包已入帳28枚比特幣(約新台幣1,400萬元),就在仁寶被駭後1周。」

阿哲等資安界人士多認為,仁寶遭駭的「損害相當嚴重」,不過,仁寶副總經理呂清雄表示:「公司確實遭駭客攻擊,但並非遭勒索軟體入侵;影響範圍僅限辦公自動化系統(OA),對產能並沒有影響。」

根據美國資安研究團隊「CrowdStrike」調查,DoppelPaymer使用的同名勒索軟體,是去年四處作亂的「BitPaymer」的變種。DoppelPaymer先是勒索墨西哥及智利等石油公司,接著攻擊美國精密零件製造商「VisserPrecision」;由於Visser Precision拒付贖金,結果慘遭「撕票」,導致電動車大廠「特斯拉」及客機製造商「波音」這兩大客戶的部分機密文件遭曝光。

此外,美國賓夕法尼亞州的德瓦拉郡政府,也遭到DoppelPaymer攻擊,最後支付28枚比特幣(約新台幣1400萬元)贖金解圍。

DoppelPaymer提供給仁寶的比特幣錢包地址,曾被存入28枚比特幣(約50萬美元)。(圖/讀者提供)

DoppelPaymer提供給仁寶的比特幣錢包地址,曾被存入28枚比特幣(約50萬美元)。

為何駭客要求企業支付贖金的方式,不是銀行轉帳或刷卡,而是使用加密貨幣?資安公司「如梭世代」技術長何宜霖解釋,加密貨幣除了轉帳手續費較低,由於使用區塊鏈技術,僅需透過私鑰和公鑰發送,儘管所有用戶都能讀取交易總帳(包括交易金額與錢包地址),但用戶可匿名,連政府機關也難以追查其真實身分,因此犯罪者偏好以此交易。

對此,各國已開始制定加密貨幣法規,不少犯罪者轉而透過多個私人虛擬錢包進行資金分配,再以場外交易換取資金。

加密貨幣淪為洗錢管道。(圖/報系資料庫)

原文網址: 駭客入侵台灣10大企業!研華慘遭勒索10億 仁寶認栽付千萬贖金 | ETtoday財經雲 |

駭客利用惡意廣告散布3種工具,不只控制受害電腦,還側錄使用者鍵盤輸入的內容

思科發現自2018年底出現的攻擊行動,駭客組織Magnat透過惡意廣告,引誘使用者下載並執行冒牌的軟體安裝程式,最終在受害電腦部署RDP後門程式、竊密軟體,以及惡意Chrome外掛程
文/周峻佑 | 2021-12-10發表

圖片來源: 

思科

攻擊者同時利用多個惡意軟體,很可能因為部分的環節被人察覺異狀,而導致整個行動事跡敗露,但在思科近期發現的攻擊行動中,駭客組織Magnat自2018年下旬開始,以提供常見軟體的安裝程式名義作為誘餌,經由惡意廣告散布,且這起行動直到3年後才被發現。

比較特別的是,攻擊者在受害電腦當中,植入了3種惡意軟體,包含:RDP後門程式MagnatBackdoor、密碼竊取工具Redline,以及惡意Chrome外掛程式MagnatExtension。MagnatBackdoor與Redline的搭配,可讓攻擊者持續透過遠端桌面連線存取受害電腦,而幾乎不受限制;MagnatExtension則是能側錄鍵盤、截取螢幕畫面,進而取得敏感資訊。

根據Magnat所使用的C2中繼站IP位址、DNS來分析,約有半數的攻擊鎖定加拿大而來,美國、澳洲次之,而義大利、西班牙、挪威等國家,也有出現零星感染的事故。

結合後門程式、竊密工具、瀏覽器側錄外掛的攻擊行動

這個駭客組織大約是從2018年8月展開攻擊行動,一開始,利用MagnatExtension竊取瀏覽器Chrome的帳密,後來到了2019年10月,該組織開始運用MagnatBackdoor後門程式,思科指出,自此之後,Magnat的攻擊行動都部署3種惡意軟體,也就是:MagnatExtension外掛程式、MagnatBackdoor後門程式,以及竊密工具Azorult。

到了2020年2月,駭客的攻擊行動開始停止使用Azorult。會出現這樣的變化,研究人員認為,很可能是當時Chrome推出的第80版當中,採用了新的防護機制,而影響惡意軟體Azorult執行的效果。

此後Magnat持續找尋替代Azorult的惡意軟體,並於同年10月起,改用竊密工具Redline,於是這套惡意軟體工具,變成:MagnatExtension、MagnatBackdoor,以及Redline。

攻擊者疑似透過購買廣告的方式,來散布惡意軟體

究竟這些駭客如何散布作案工具?思科表示,雖然他們並未實際看到惡意廣告,但根據目前收集的證據來進行推測,這確實是Magnat散布惡意軟體的重要管道。

分析受感染的電腦後,研究人員發現,有問題的安裝程式,其實是透過Chrome下載取得,僅連接Cloudflare和Google的IP位址,且下載程式之前,使用者恰巧瀏覽軟體評測網站,但並未執行收信軟體。

這些看似相當理所當然的檔案下載操作流程,究竟和惡意廣告有何關連?

思科指出,他們發現Redline用於惡意廣告的殭屍網路ID,其他資安人員於2021年8月也發現相關的蛛絲馬跡,例如,曾有人購買Google的線上廣告,卻藉由搜尋引擎排行引誘用戶下載冒牌的WeChat安裝程式,最終目的就是散布Redline,而經過思科分析後,研判該名研究人員所發現的狀況,就是Magnat攻擊行動。

來源:駭客利用惡意廣告散布3種工具,不只控制受害電腦,還側錄使用者鍵盤輸入的內容 | iThome