《資安新聞周報》蘋果爆Apple ID集體遭駭!大量登入位置在中國/幾秒內超隱私資料被看光光!踏入元宇宙前要知道的資安危機/在家用手機/網路報稅好方便 但這三件事情可以留意

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

FBI:2021 年網路詐騙導致全球損失 69 億美元        科技新報網

Log4j漏洞揭露數月後仍有隱憂,全球有9萬應用程式曝險   iThome

臺灣下載到舊版Log4j的比例持續高達8成,遠高於全球多國          iThome

蘋果爆Apple ID集體遭駭!大量網友出現登入位置在中國「3招搶救」          自由時報電子報

Windows 10老用戶注意!20H2版微軟官方下週將終止支援服務  自由時報電子報

Outlook出現災情!自動下載不明文件檔「微軟承認新Bug」        自由時報電子報

新 DNS 漏洞引發駭客下毒及中間人攻擊,數百萬路由器及 IoT 裝置安全拉警報!          科技新報網

Google 劇透發表會內容!Android 有四大更新、新產品也會登場  自由時報電子報

Google Cloud協助福特、Kyocera等製造業者 提高資料透明度與生產效率          聯合新聞網

Google 終於出手了!組建神秘 Web3 團隊,葫蘆裡賣什麼藥?    科技報橘網

商業電子郵件詐騙大行其道,相關損失居網路詐騙首位          iThome

Emotet駭客正另尋感染途徑,改用雲端空間及惡意Excel外掛元件XLL檔散播       iThome

Android 13、新手機手錶同步亮相!Google開發者大會重點一次看          ETtoday新聞雲

蘋果、Google與微軟擴大對FIDO的支援以加速無密碼時代的到來          iThome

微軟偷偷送驚喜「在搜尋框塞了一匹馬」 卻讓用戶誤會自己電腦中毒     台灣蘋果日報網

微軟Patch Tuesday修補74個安全漏洞,一個已被開採 iThome

幾秒內超隱私資料被看光光!解析在踏入元宇宙前,一定要知道的資安危機          科技報橘網

IG進軍NFT!祖克柏:本週開始在美國測試功能     新頭殼

Meta領台灣走進元宇宙!在台成立亞洲首座XR Hub,瞄準三大領域     數位時代

繼續閱讀

零信任資安模型與 DevOps 整合的 5 大元素

看看零信任 (Zero Trust) 資安模型如何與您的 DevOps 流程整合而不影響您應用程式開發的靈活性與速度。

「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?

如果實施得當,零信任方法有助於讓資安在不影響開發時程與品質的情況下與 DevOps 流程整合,使應用程式能夠達到法規遵循的要求。這套網路資安方法的卓越性,從美國拜登政府簽署行政命令要求所有聯邦機構採用零信任資安方法即可見一斑。

資安界近來因 Log4Shell 漏洞攻擊事件而體會到採用零信任資安方法的重要,這類攻擊突顯出當企業資產不受控管、或不必要地暴露在外時所衍生的風險,因為駭客的攻擊絕大多數都是經由已通過認證的管道。本文探討零信任對於開發安全的應用程式有多重要,以及如何實施這套方法才不會影響開發者的作業流程。

繼續閱讀

你的iPhone 最近怪怪的-出現很多廣告、電池一下就沒電?五步驟檢測iPhone上的惡意軟體

你是否感覺自己的iPhone最近表現得有些異常?或許你收到了許多不尋常的廣告,或是電池電量比平常還要更快用完。如果你懷疑自己的iPhone感染了惡意軟體,請繼續了解該如何確認!

how to detect malware on iPhone

步驟 #1 – 檢查高行動數據使用狀況


|一個較明顯的感染惡意軟體跡象是iPhone會使用比平時更多的行動數據。請按照下面指示來進行檢查:

  1. 進入設定 > 行動網路設定 > 行動服務(取決於iOS 版本不同而會有所不同)。
  2. 接著你能夠準確地找出你在目前期間使用了多少行動數據。如果比平常都還要高得多,請拉到應用程式列表並找出你不知道或不記得安裝過的應用程式。如果有任何一個使用了大量行動數據,就應該考慮加以移除,因為很可能是惡意程式。
繼續閱讀

 【字說自話】 數字1 跟字母 l 說:「你是我沒有血緣的雙胞胎」一秒識別釣魚網站偽裝術

如果字會說話,正宮Google會怎麼嗆 Goog1e?
趨勢科技發現為數不少的網路釣魚(Phishing)利用類似網址的分身詐騙事件,比如 Paypal 被改成Paypa1 ;Google 被改成 Goog1e,廣告商與詐騙者利用雷同 URL ,企圖矇騙點擊,本文將介紹一些相似度很高的網址假雙胞胎案例。

網址障眼法,視力大考驗 -Goog1e ? faceb00k? Instaqram?

網路釣魚常用的網址障眼法,視力大考驗 -Goog1e ? faecbook? Instaqram?

當正宮與山寨網址關鍵字說自話

本文重點預覽:

🔸正宮Google 和山寨 Goog1e的對話:
「1」 跟「l」說:小L,你是我沒有血緣的雙胞胎
「l」 跟「1」說:3-2-1,滾!!

🔸正宮 facebook 和山寨 faceb00k 的對話:
「0」 跟「O」說:說到模仿你,你再瘦一點,我就拿 100分
「O」 跟「0」說:山寨敢嫌正宮胖,我請 PC-cillin 收拾你!

🔸正宮 Instagram和山寨Instaqram 的對話:
「q」 跟「g」說:別以為穿有勾勾的鞋,就會被多看一眼
「g」 跟「q」說:我砍斷你的腳,看你往哪裡跑?

🔸正宮 Momo 和山寨 Mornm 的對話:
「r」和 「n」跟「m」說:想不到你有連體嬰兄弟吧?
「m」 跟「r」和 「n」說:刀拿來,我從中間砍下去,別再恩恩阿阿了

繼續閱讀

以 MITRE ATT&CK for ICS 框架深入解析ICS 漏洞攻擊 (3-1)

本系列部落格文章分享趨勢科技研究團隊採用 MITRE ATT&CK for ICS 框架來解析駭客攻擊 ICS 漏洞時所用的技巧與手法。

 

每一年都有許多漏洞被發現並登錄到 MITRE Corporation 的通用漏洞及弱點資料庫 (Common Vulnerabilities and Exposures,簡稱 CVE) 當中並配發一個對應的編號 (ID),此外,資安專家也會記錄每一個漏洞的細節,並說明如何防範這些漏洞。除此之外,影響工業控制系統 (ICS) 環境的漏洞,會經由美國政府的「工業控制系統網路緊急應變小組」(Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 所發布的公告來對外揭露。

本系列部落格文章分享趨勢科技研究團隊採用 MITRE ATT&CK for ICS 框架來深入解析駭客攻擊 ICS 漏洞時所用的技巧與手法。我們之所以採用 ATT&CK 框架,是因為我們認為它是目前分析網路攻擊技巧、工具、目標及潛在衝擊最好的一套框架,它是以駭客在真實世界發動攻擊時使用的方法為藍本。除此之外,我們也使用了 Purdue 模型來將營運技術環境細分成不同的層面來說明漏洞的潛在衝擊。

2010 年起的 ICS-CERT 公告

ics
圖 1:ICS-CERT 公告數量逐年比較。

從上圖可看到,自從 ICS-CERT 計畫成立以來,其每年發布的漏洞公告數量都不斷成長,尤其是 2017 和 2021 年最為明顯。每當有 ICS 漏洞被揭露並且可能被駭客利用時,ICS-CERT 就會對外發出公告,大部分的 ICS-CERT 公告都包含了多個相關的漏洞。

ICS-CERT 在 2021 年發出 389 次公告,比 2020 年的 249 次多出 100 次以上,是該計畫成立以來年成長率最高的一次。依照近幾年的慣例,這些公告都會特別強調資安意識的教育以及網路資安準備度的強化。ICS 環境的漏洞不斷增加,也突顯出一項事實:想要徹底解決每一個漏洞幾乎是不可能的事。

ics
圖 2:ICS 網路威脅出現時間表 (2010 至 2020 年)。


2010 年出現了惡名昭彰的 Stuxnet 攻擊,此事件證明了 ICS 遭到大規模網路攻擊的可能性。

雖然該年 ICS-CERT 只發布了 20 次公告,但隨後每年的數字即開始不斷成長。而公告中所發布的 ICS 相關 CVE 數量也顯示出,那些出現重大 ICS 網路威脅的年份與其 CVE 數量之間存在著一定的關聯。

2017 年是 ICS 網路攻擊的轉捩點。該年,採用 EternalBlue 漏洞攻擊手法的 WannaCry 勒索病毒突然爆發並造成了大量的網路資安事件。自此之後,專門針對 ICS 環境的網路犯罪攻擊便越來越普遍。

cves
圖 3:ICS-CERT 公告所發布的 CVE 數量逐年比較。


從上圖我們可以看到,2010 至 2021 年 ICS-CERT 公告所發布的 CVE 數量每年都在成長,自 ICS-CERT 計畫成立至今加起來已超過 4,000 個。

2010 至 2021 年,ICS-CERT 公告總共發布了 4,436 個 ICS 相關的 CVE。其中,成長比較顯著的是 2016 至 2017 年 (從 260 增加至 407) 以及 2019 至 2020 年 (從 522 增加至 687)。然而成長幅度最大的是從 2020 至 2021 年 (從 687 增加至 1255),幾乎翻了一倍。

我們認為 2016 至 2017 年的成長 (從 260 成長至 407) 與企業對 WannaCry 勒索病毒事件的應對方式有關。

WannaCry(想哭)勒索病毒在 2017 年 5 月爆發時,成千上萬尚未套用 Microsoft 安全更新的電腦都立即成為它的囊中物。而其他一些跟隨 WannaCry 腳步的勒索病毒,也同樣使用 EternalBlue 手法來攻擊 SMB 通訊協定漏洞。這類專門針對此漏洞的攻擊,對於還在使用老舊及已終止支援系統的工廠環境來說是一大災難。經過了 WannaCry 及 EternalBlue 類似手法在 2017 年的肆虐之後,工業控制系統便開始跟著遭殃,因為這類環境同樣也經常使用老舊或已終止支援的系統版本。

cves
圖 4:2021 年 ICS-CERT 公告的漏洞 (按通報者)。


2019 至 2021 年,CVE 數量突然暴增 (2020 年的 CVE 數量為 687,占 2010 年以來所有公告發布漏洞數量的 15.5%),而這波暴增很可能跟 COVID-19 疫情有關。

這有兩個可能的原因:首先,疫情使得在家工作(Work-From-Home,WFH)遠距上班技術迅速普及並突飛猛進。大量的企業資產連上網際網路,規模遠勝以往。其次,研究人員在封城期間有更多的時間投入研究並發掘更多漏洞來賺取獎金。

ics

圖 5:2021 年每月出現的 ICS 網路威脅時間表。

2021 年,網路駭客的手法出現重大改變,而且該年還出現了更具破壞力的供應鏈攻擊。這樣的情況創造了一個令人焦慮的環境,進而帶動網路資安防禦的發展以及 ICS 相關漏洞的發現。

根據 2021 年 OT 及 ICS 網路資安事件時間表顯示,今日的網路犯罪集團已發展得相當成熟,甚至出現了一種新的服務產業及商業模式,也就是所謂的「勒索病毒服務」(Ransomware-as-a-Service,簡稱 RaaS)。

提供 RaaS 服務的駭客集團建立了一種可客製化的平台來服務想要從事犯罪的不法之徒。其中,近期比較活躍的知名勒索病毒集團是 Maze、Lockbit、REvil 及 DarkSide (儘管他們的活躍程度不一)。

Colonial Pipeline 與 Kaseya 攻擊事件

大約在 2021 年中期,Revil 和 DarkSide 駭客集團惹惱了美國政府,這些集團的服務被用來造成兩起該年最嚴重的勒索病毒攻擊:Colonial Pipeline  Kaseya 供應鏈攻擊事件。

Colonial Pipeline 公司因為該事件而支付了 440 萬美元的贖金,這起攻擊使用的是 DarkSide 的 RaaS 平台。至於 Kaseya 攻擊事件則是使用 Revil 的服務,利用的是 CVE-2021-30116 略過認證零時差漏洞。Revil 集團在要求 7 千萬美元的贖金時宣稱他們已經感染了超過 1 百萬個裝置。這兩起事件過後,DarkSide 和 Revil 都沉寂了一陣子,似乎是因為他們已經引起了政府單位與執法部門的注意力,不過 Revil 在 2021 年 10 月已重新復出。

我們預料未來 RaaS 仍會持續發展,包括將一些舊的平台整合之後推出新的 RaaS 平台。

例如,BlackMatter 勒索病毒即融合了 Darkside、Revil 及 LockBit 2.0 勒索病毒家族的工具和技巧。我們的研究人員懷疑 BlackMatter 其實是 DarkSide 集團換個名字之後重操舊業,這一點目前尚未證實。

截至 2021 年 12 月的最新發展是,Emotet 和 Conti 都已重出江湖,並使用進階技巧來攻擊 Log4Shell 漏洞。

美國總統拜登 (Joe Biden) 在其 2021 年 5 月發布的一則「提升國家網路資安」(Improving the Nation’s Cybersecurity) 的行政命令當中特別點名供應鏈攻擊興起的問題。基於這項行政命令,美國政府已開始制定一些規範來防範這類攻擊,其中最大的一項改革就是每次的相關交易都必須提供所謂的「軟體成分清單」(Software Bill of Materials,SBOM)。這類 SBOM 未來很可能會成為業界提升網路資安防禦並防範供應鏈攻擊的重要文件。

本系列第二篇,我們將進一步採用 MITRE ATT&CK 框架來探討 ICS 漏洞,此外也將說明受到影響的一些產業以及他們的風險等級。

原文出處:An In-Depth Look at ICS Vulnerabilities Part 1