客戶服務專區

客戶滿意度調查表

課程滿意度調查表

ODF實體課程 教學滿意度問卷調查表

2024年11月19日 星期二

轉載「駭客利用Office已知漏洞,透過網路釣魚散布Remcos RAT」訊息

 

駭客利用Office已知漏洞,透過網路釣魚散布Remcos RAT

資安業者Fortinet公布最新一波的木馬程式Remcos RAT攻擊行動,過程中駭客利用5年前的已知漏洞CVE-2017-0199,在後臺下載HTML應用程式檔案(HTA)啟動感染鏈。

 駭客利用RAT發動攻擊的情況,不時有事故傳出,而最近一波攻擊行動裡,攻擊者採用了新的手法來迴避偵測,因而引起研究人員的注意。

資安業者Fortinet發現假借公司業務往來的網路釣魚攻擊,駭客聲稱寄送採購單(PO)的名義,寄送帶有Excel檔案附件的釣魚信,一旦收信人開啟附件檔案,就會看到這份文件受到保護的訊息,若要檢視內容,就必須依照指示啟用編輯功能及啟用內容,然而若是照做,就會觸發遠端程式碼執行漏洞CVE-2017-0199,攻擊者藉此於後臺下載HTML應用程式檔案(HTA),並於受害電腦執行。

值得留意的是,為了避免東窗事發,此HTA採用JavaScript、VBScript等多種指令碼,並搭配Base64演算法、PowerShell指令來進行多層包裝。一旦該HTA檔案啟動,就會將dllhost.exe下載到受害電腦並執行。

此執行檔會利用處理程序挖空(Process Hollowing)手法,將惡意程式碼注入新的處理程序Vaccinerende.exe,從而在記憶體內執行Remcos RAT有效酬載,然後向C2伺服器進行註冊、接收命令,而這麼做的目的,就是避免於磁碟上留下痕跡。

【資安新聞-iThome】

駭客利用Office已知漏洞,透過網路釣魚散布Remcos RAT


詳細資訊請參考:https://www.ithome.com.tw/news/165851

轉載「惡意軟體GootLoader鎖定澳洲,針對愛貓人士下手」訊息

 

惡意軟體GootLoader鎖定澳洲,針對愛貓人士下手

資安業者Sophos發現相當具有針對性的惡意程式GootLoader攻擊行動,其中對方鎖定的對象相當特別,是針對想要在澳洲養孟加拉貓的使用者而來。

 在散布惡意軟體的手法當中,搜尋引擎最佳化中毒(SEO Poisoning)可說是相當常見,通常攻擊者會假借提供常見的應用程式及遊戲,或是破解軟體、盜版軟體的名義,引誘Google搜尋的使用者上當,但如今,有人專門針對喜好特定動物的人士而來。

資安業者Sophos揭露最新一波惡意程式GootLoader的攻擊行動,本來攻擊者就會透過搜尋引擎最佳化中毒的手法,來取得受害電腦的初始入侵管道,這次也不例外,但這波攻擊有所不同,駭客鎖定的對象,竟是詢問在澳洲養孟加拉貓是否合法的使用者。這種專門針對特定地區愛貓人士的情況,其實並不常見。

根據研究人員的調查,3月底他們在MDR用戶環境當中,察覺新的GootLoader變種開始積極活動的跡象,循線調查發現,攻擊者透過搜尋引擎最佳化中毒手法,藉由Google搜尋將使用者導向特定網路論壇,而使用者詢問的問題,是有關在澳洲養孟加拉貓是否需要執照(Do you need a license to own a Bengal cat in Australia),一旦他們執行搜尋,檢索結果列出的第一項網址,就是駭客放置的惡意廣告。

【資安新聞-iThome】

惡意軟體GootLoader鎖定澳洲,針對愛貓人士下手


詳細資訊請參考:https://www.ithome.com.tw/news/165964

轉載「D-Link停止支援的老舊NAS設備存在重大漏洞,至少有6.1萬臺曝露在網際網路」訊息

 D-Link停止支援的老舊NAS設備存在重大漏洞,至少有6.1萬臺曝露在網際網路

資安研究員Netsecfish上週末揭露D-Link有4款NAS機型存在資安漏洞,這個編號為CVE-2024-10914的弱點屬於命令注入漏洞,此事也得到D-Link證實,但由於設備的生命週期已經結束,他們不會進行修補。

 研究人員Netsecfish於D-Link旗下部分型號的網路儲存設備(NAS)發現重大層級的CVE-2024-10914,此為命令注入漏洞,存在於NAS設備名為account_mgr.cgi的URI,發生在CGI指令碼cgi_user_add處理name參數的過程,未經身分驗證的攻擊者有機會利用偽造的HTTP GET請求,藉由漏洞注入任意的Shell命令,估計全球約有6.1萬臺設備曝險。

 這項漏洞影響DNS-320、DNS-320LW、DNS-325,以及DNS-340L等4款機種,根據漏洞資料庫VulDB的評估,此漏洞的4.0版CVSS風險評分為9.2(滿分10分)。

 研究人員也進一步說明攻擊者如何利用這個漏洞,他們可對NAS發送特製的HTTP GET請求,並將惡意輸入的內容挾帶於name參數當中,這麼一來,就會觸發帶有name參數的cgi_user_add命令,並在設備注入Shell命令。

 針對該漏洞曝險的情況,Netsecfish透過物聯網搜尋引擎FOFA進行調查,結果從41,097個IP位址當中,找到61,147臺設備,其中英國有10,381臺最多,義大利、德國、俄羅斯居次,分別有5,835臺、4,877臺、3,936臺。

對此,11月8日D-Link發布資安公告證實上述漏洞,但也表明這些設備的產品支援狀態皆為生命週期結束(EOL)或是服務週期終止(EOS),該公司將不予處理,呼籲用戶儘速汰換設備。

 

【資安新聞-iThome】

D-Link停止支援的老舊NAS設備存在重大漏洞,至少有6.1萬臺曝露在網際網路


詳細資訊請參考:https://www.ithome.com.tw/news/165945

2024年11月8日 星期五

轉載「駭客濫用DocuSign API大量傳送假發票」訊息

駭客濫用DocuSign API大量傳送假發票

資安業者Wallarm發現駭客使用真實的DocuSign帳戶及範本,來冒充諸如Norton等合法公司,並大量寄出偽造的發票,以欺騙受害者付款。

 鎖定應用程式與API安全性的資安業者Wallarm本周警告,駭客正在濫用DocuSign的Envelopes API大量寄送假發票,企業稍一不慎就可能淪為受害者。

DocuSign為一專門提供電子簽名及數位交易管理服務的業者,協助企業與個人在網路上完成文件的簽署與管理,並在美國那斯達克股市掛牌。Envelopes API是DocuSign所開發的核心API,能夠用來建立、發送與管理信封,此信封內含文件、收件人資訊及簽署指導,以自動化整個簽署流程。

然而,Wallarm發現,駭客使用真實的DocuSign帳戶及範本來冒充諸如Norton等合法公司,並大量寄出偽造的發票,以欺騙受害者付款。

駭客先建立一個合法且付費的DocuSign帳戶,接著模仿合法公司的發票範本,再大量寄出,一旦受害者簽署了該文件,駭客就能利用該簽名檔來請款。危險的是,由於發票是直接自DocuSign平臺發送的,所以並不會被企業的過濾機制攔截。

【資安新聞-iThome】

駭客濫用DocuSign API大量傳送假發票


詳細資訊請參考:https://www.ithome.com.tw/news/165851

轉載「臺灣企業臉書粉專管理員遭鎖定,駭客企圖散布竊資軟體LummaC2、Rhadamanthys」訊息

  臺灣企業臉書粉專管理員遭鎖定,駭客企圖散布竊資軟體LummaC2、Rhadamanthys

思科揭露專門針對臺灣企業臉書用戶及廣告管理員而來的攻擊行動,對方聲稱收信人的公司盜用他們的圖片及影片,揚言採取法律行動,藉此引誘收信人開啟偽製成PDF的可執行檔,於受害電腦植入竊資軟體。

鎖定臉書企業粉絲專頁或是廣告管理員的攻擊行動已出現數起,但過往這種類型的事故多半發生在國外,如今有研究人員揭露專門鎖定臺灣用戶而來的攻擊行動。

思科旗下的威脅情報團隊Talos指出,他們發現自今年7月開始,有人針對臺灣的臉書企業用戶及廣告帳號,發動相關攻擊,攻擊者以侵犯版權為由,假冒企業的法律部門,寄送帶有偽裝成PDF檔案附件的釣魚信,意圖引誘使用者下載及執行惡意程式。

在這波攻擊行動裡,對方濫用Google的Appspot[.]com網域名稱,以及短網址服務、雲端檔案共享服務Dropbox,藉此迴避網路資安系統的偵測,而能成功將竊資軟體LummaC2(Lumma Stealer)、Rhadamanthys,傳送到受害電腦。

 再者,過程中駭客也運用多種迴避防毒軟體偵測及沙箱分析機制的手法,例如:程式碼混淆、Shell Code加密處理,以及將檔案膨脹至超過700 MB等。

【資安新聞-iThome】

臺灣企業臉書粉專管理員遭鎖定,駭客企圖散布竊資軟體LummaC2、Rhadamanthys


詳細資訊請參考:https://www.ithome.com.tw/news/165853

轉載「資安小知識:地址中毒」訊息

資安小知識:地址中毒

地址中毒(address poisoning)是近年來常被駭客利用的一種精巧網路釣魚手法,該攻擊主要發生在數據透明且公開的區塊鏈上,若受害者在操作加密貨幣交易的過程中,沒有仔細逐字檢查交易帳戶地址,便會掉落攻擊者所設計的圈套中,可能造成巨大財產損失。

地址中毒之攻擊手法十分精巧,利用的是人的「習慣」,首先,攻擊者針對經常在個人多個帳戶之間進行資金轉移,或是規律向某帳號發送資金的帳戶進行監控,攻擊者可透過帳號生成器建立相似的假地址,並向受害者發送一筆交易,使得假地址被記錄到受害者的交易紀錄中,當受害者進行交易時,可能被誘導將加密貨幣轉移至攻擊者的假地址。

呼籲加密貨幣的使用者在進行貨幣交易時,避免直接從歷史交易中複製地址,並請務必逐字確認交易地址是否正確。

【資安新聞-TWCERT/CC】

資安小知識:地址中毒


詳細資訊請參考:https://www.twcert.org.tw/tw/cp-14-8204-086d5-1.html

轉載「勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來,意圖入侵企業網路環境」訊息

勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來,意圖入侵企業網路環境

資安業者Arctic Wolf針對勒索軟體Fog、Akira的攻擊行動提出警告,表示在2個月的時間裡已出現30起攻擊行動,而且,駭客進入受害企業並加密檔案所需的時間不到一天,使得防守方更難對相關事故進行應變

9月初資安業者SonicWall針對防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766(CVSS風險評分為9.3),表明他們掌握這項漏洞有實際攻擊行動出現,資安業者Arctic Wolf也觀察到相關資安事故,如今他們公布更多調查結果。

10月24日Arctic Wolf表示,他們最早是在8月初察覺勒索軟體Akira及Fog的攻擊行動顯著增加的情況,而且,駭客初期入侵受害組織環境的管道,就是利用SonicWall防火牆設備的SSL VPN帳號。

截至10月中旬,駭客已發起約30起攻擊行動,根據研究人員掌握的受害企業組織產業類型和規模,駭客很可能隨機尋找下手目標,並未針對特定產業而來。

這些資安事故當中,約有四分之三與Akira有關,其餘則是被植入Fog。研究人員提及,駭客從入侵到加密檔案的時間並不長,大部分接近10個小時,但最短的僅有1.5至2個小時。

針對駭客入侵的方法,研究人員根據防火牆的事件記錄資料進行分析,他們尚未發現利用其他已知RCE漏洞的跡象,而且,攻擊者主要是透過虛擬專用伺服器(VPS)存取SSL VPN連線。值得一提的是,駭客利用的SSL VPN帳號並未與AD或其他類似的身分驗證機制整合,但研究人員無法確認使用者有無啟用多因素驗證(MFA)機制。

【資安新聞-iThome】

勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來,意圖入侵企業網路環境


詳細資訊請參考:https://www.ithome.com.tw/news/165817