趨勢科技發現一個惡意RTF檔案會利用漏洞CVE-2017-11882來散播間諜軟體Loki(TSPY_LOKI)。它透過HTML應用程式(HTA)來呼叫PowerShell植入惡意軟體,再來取得資料竊取軟體。
CVE-2017-11882是什麼?
CVE-2017-11882是微軟Office(包括Office 360)內存在17年的記憶體損毀問題。一旦攻擊成功,在開啟惡意文件後可以讓攻擊者在有漏洞的電腦上執行遠端程式碼(無需經過使用者互動)。這個漏洞存在於方程式編輯器(EQNEDT32.EXE),這是微軟Office用來在文件中插入或編輯OLE物件的工具。概念證明漏洞攻擊碼已經被公布,而微軟已經在11月份的星期二更新日修補了這個漏洞。
Loki病毒家族可以竊取FTP客戶端的帳號資料,以及儲存在各種網路瀏覽器和數位貨幣錢包的憑證。Loki還可以從“Sticky”相關(即Sticky Notes)和線上撲克遊戲應用程式收集資料。
[相關資料:Cobalt駭客集團再次將目標放在俄語企業]
攻擊者如何利用CVE-2017-11882? 繼續閱讀
(1) Huang Yaya: 網路 ATM 與實體 ATM 的安全性是否有差異
這兩者運作方式十分不同。網路 ATM 是你要在電腦中跑另一個擴充套件,透過 waterhole 攻擊,可以 fingerprint 你是否為某個特定銀行的用戶,再進行攻擊。目前我們還沒看過針對網路ATM的攻擊,以後說不定會有。
(2) Ben Chien 實體隔離(ATM網路)就真的可以解決一銀案的問題嗎?
這次第一銀行的 case 因為所有的攻擊都是透過連上 internet 進行的,所以實體隔離可以有效增加攻擊的難度,但我們相信駭客還是會尋找不同的方式進行攻擊。
(3) Nicole Yu: 除了晶片密碼6-12位設計外 有更安全的防盜錄機制? (Poli Le 先問的,「導入生物辨識技術後的atm是否能夠完全防範駭客攻擊?」 我們把兩題合併回答)
導入生物辨識技術,比方說虹膜、指紋、心跳等等,可以更安全的防止盜錄,但是這只能防止側錄提款卡帳號,何況跨國提領能不能用生物辨識技術,還是另一個問題。此外,我們看到的 ATM 攻擊,包括了直接攻擊 dispenser 、存錢後再把錢夾出來、透過網路入侵 ATM 、把 ATM 整台搬走等等方式,所以導入生物辨識技術只能解決一小部份的問題。
(4) 蘇嗶: 為何ATM攻擊案例在全球漸多?是否ATM的防駭客攻擊系統遲遲沒有更新呢?
事實上各國的銀行有在加強 ATM 的防禦,比方說 skimmer 以前很普遍,但最近已經愈來愈少看到了。
有一個笑話是這樣說的,「你為什麼要去銀行搶錢?」「因為錢存在銀行裡面啊!」如果你要搶錢的話,銀行有保全和警衛,但 ATM 只有它自己。我們都知道罪犯會找最容易下手的目標,所以 ATM 就是一個好目標。此外,黑社會的技術會互相流傳,只要有人發現一個攻擊 ATM 的方法,其它人就會學走。
(5) Rock Chiang: ATM系統為何都使用微軟的WINDOWS….
提款機本身也是一台電腦,需要容易維護、也需要維護的 IT 人材。此外,為了節省維護成本、增加相容性,Microsoft 在 1991 年開始倡議 XFS (eXtended Financial Service) ,後來漸漸成為業界標準。這也是 Microsoft Windows 普遍用在提款機的一大主因。
斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」 已確認其網站和支付系統皆遭駭客入侵,其比特幣錢包內的貨幣已被偷走。根據報導,此次總共損失了 4,700比特幣(Bitcoin),約合 6,400 萬美元。
NiceHash 已在其網站發表一份聲明來說明此次事件:「很不幸地,NiceHash 的網站發生了駭客入侵事件,我們目前正著手調查整起事件,因此未來 24 小時將暫停所有營運。」
NiceHash 是一個讓使用者購買或銷售數位加密貨幣開採效能的市集,此外,會員還可將開採出來的貨幣儲存在外部錢包或本地端 BitGo 錢包。此事件的效應和影響範圍目前仍有待釐清,但這已意味著該市集的會員們將損失其經由 NiceHash 開採或累積的數位加密貨幣。
NiceHash 遭駭事件正好發生在數位加密貨幣流通量和價值達到巔峰之際 (比特幣價格目前已突破 14,000 美元)。目前的情勢對開採者、礦池業者以及投資人都是絕佳機會,因為數位加密貨幣已逐漸獲得企業機關和公家機構的青睞。 繼續閱讀
Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統
有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。
在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。
在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。
不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:
Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔
子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。
其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。
當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。
不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動。
“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”
Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密
這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。
烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。
不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。 繼續閱讀
消費者總是隨時在尋找最佳購買時機,而折價券正是商家促使消費者採取行動的關鍵之一。事實上,根據 2015 年 CreditCards.com 網站的一項調查,紙本折價券的實際兌換率約 63%,其次是網路商店和手機折價券。企業每年發行的折價券總價值高達數十億美元,這是企業持續吸引消費者上門的一項手法。不過,折價券詐騙(Coupon fraud)卻是企業必須面臨的一項嚴重問題。這類犯罪所帶來的實際成本,還不光只是提供消費者免費喝咖啡,免費試駕或是飯店免費住宿等等成本,這類詐騙整體累積起來的企業損失相當驚人。
折價券詐騙有很多種形態。正常來說,折價券的使用只不過是消費者、發券廠商以及收受、核銷這些優惠券的代理機構之間的資料轉手過程。但由於經過多次轉手,因此只要其中一個環節出問題,就會影響整體供應鏈。根據理財網站 The Balance 指出,消費者可能出現的不肖行為包括:重複印製折價券、試圖將折價券用在不適用的商品、偷竊報紙夾頁上的折價券,以及買賣折價券等等。當消費者不遵守折價券自行列印規則或使用條款時,都算是非法行為,企業也將因而蒙受損失。
折價券詐騙讓企業蒙受數百萬美元的損失。 繼續閱讀