資安一周[0401-0407]：臺灣金融機構成為全球駭客組織Bluenoroff攻擊目標

重點新聞（04月01日-04月07日）

Mirai襲擊美大學54小時，攻擊來源包含臺灣IoT裝置

資安公司Incapsula於3月30日表示，美國某大學在2月28日到3月3日期間，遭受殭屍網路Mirai發動DDoS攻擊54個小時，總共收到28億個請求，平均每秒為3萬個請求。Incapsula調查指出，駭客利用監視攝影機、路由器和DVR作為攻擊裝置，並且檢驗攻擊封包的簽名後，發現這些裝置都來自於殭屍網路Mirai，攻擊來源IP主要位在美國、以色列和臺灣，其中有56%以上DVR裝置來自同一個IoT設備製造商。更多資料

駭客組織鎖定全球金融機構發動APT攻擊，臺灣也是目標

卡巴斯基實驗室資安團隊小組GReAT於4月3日調查報告指出，駭客組織Bluenoroff曾在2016年攻擊孟加拉央行竊走8,100萬美元（約新臺幣25億元）、2017年鎖定波蘭政府金融部門，以及東南亞國家、中南美洲國家、俄羅斯、澳大利亞、印度、臺灣等當地的金融機構，發動水坑式攻擊（Watering Hole）攻擊。除此之外，GReAT追蹤Bluenoroff使用的C2伺服器來源發現，這些來自法國、南韓伺服器發動攻擊之後，竊取的資料會傳送到位於北韓的IP位址。GReAT認為，這些攻擊的幕後主謀可能來自北韓政府，但可能也是駭客刻意連線至北韓伺服器。Bluenoroff是駭客組織Lazarus的分支，Lazaru曾在2014年入侵 Sony影業以抗議電影「名嘴出任務」，污辱北韓領導人金正恩形象而聲名大噪。更多資料

專攻特定對象的惡意軟體Chrysaor現身，可竊取Android用戶個資

Google資安研究人員於4月3日揭露，少數Android App含有惡意軟體Chrysaor，駭客可利用惡意軟體，控制麥克風、相機和螢幕鍵盤，來竊取使用者裝置資料，包含個人資料、使用行為、聯絡人、瀏覽器歷史記錄和通訊軟體的聊天內容等。研究人員認為，Chrysaor與惡意軟體Pegasus兩者具有關聯性，都由以色列網路公司NSO Group Technologies開發的惡意軟體，但是Chrysaor鎖定Android裝置發動攻擊，Pegasus則鎖定iOS裝置來攻擊。研究人員表示，這些含有惡意軟體的App沒有上架Google Play，而且在超過14億臺Android裝置中僅有不到12臺Android裝置感染Chrysaor，可能是針對特定對象攻擊。更多資料

資安調查：非惡意軟體攻擊比惡意軟體攻擊更具威脅性

資安公司Carbon Black近期訪談了410位資安人員的調查發現，有64%資安人員認為，近年來非惡意軟體的攻擊頻率增加，大部分利用原生系統工具從事惡意行動，包括遠端登入、WMI攻擊、內從記憶體攻擊、PowerShell攻擊和Office巨集攻擊，而且有93%資安人員表示，非惡意軟體攻擊比惡意軟體攻擊造成更多商業風險。不僅如此，64%資安研究人員認為，目前市面的防毒軟體無法防護企業受到非惡意軟體攻擊。更多資料

通訊軟體Telegram提供「表情圖案」金鑰，防護使用者受到中間人攻擊

通訊軟體Telegram於3月30日發布最新Android版本，使用者需要與通訊對象相互點選4個表情圖案，就可啟動秘密聊天（Secret Chat）模式，並且提供端對端加密功能，確保用戶通訊內容不會被第三方中途攔截。由於Telegram與Line、WhatsApp不同，它雖然有提供端對端加密功能，但沒有自動預設開啟此功能，使用者需輸入安全碼或是圖片密碼，才會保護使用者的通訊內容。Telegram認為，過去加密方式經常會造成使用者花費較多的時間，為了簡化使用開啟加密的流程，改為設定「表情圖案」作為金鑰加密。更多資料

Skype發送惡意廣告，疑似為勒索軟體Locky變種

近日一名Skype用戶在美國社群網站指出，登入Skype程式後，會出現佯稱是Adobe Flash Player外掛的廣告，並且要求使用者下載「FlashPlayer.hta」，一旦開啟就會遭到加密勒索攻擊。ZDNet引述安全公司Phobos Group研究人員表示，這則假Flash廣告僅攻擊Windows設備，使用者下載並開啟惡意檔案後，就啟動名為「two stage dropper」的攻擊。它先驅動經過混淆的JavaScript程式碼來啟動指令，刪除用戶剛開啟的應用程式，再執行PowerShell指令，之後從一個可拋棄式網域下載JavaScript Encoded Script (JSE)。此外，研究人員指出，這個惡意程式攻擊過程類似勒索軟體Locky攻擊模式，預測可能是Locky的變種。更多新聞

用戶抗議Verizon新Android應用程式AppFlash，未經同意暗中蒐集個資

美國電信公司Verizon一款Android內建應用程式AppFlash，會暗中蒐集用戶手機資訊，包含電話號碼、裝置類型、操作系統、地點，以及用戶使用AppFlash的相關資訊。Verizon解釋，是為了用戶擁有更客製化的資訊服務，才蒐集用戶資料。然而，不少用戶認為AppFlash是變相的監控程式，沒經過用戶同意就蒐集資料，已侵犯用戶隱私權。更多資料

技嘉兩款迷你準系統UEFI韌體遭爆有漏洞

安全業者Cylance近日公布，技嘉電腦兩款迷你準系統UEFI韌體存在漏洞，可能遭到駭客植入勒贖軟體，受影響的系統包括GB-BSi7H-6500 及 GB-BXi7-5775。Cylance研究人員發現了兩項漏洞，分別為CVE-2017-3197漏洞和CVE-2017-3198漏洞，前者駭客可利用系統管理模式（SMM）在SPI記憶體寫入指令；後者駭客可利用AFU (AMI Firmware Utility)更新工具，鎖定受影響裝置的韌體任意執行程式碼。更多新聞

三星Galaxy S8人臉辨識解鎖遭破解，用照片就能通過驗證

三星最新智慧型手機Galaxy S8預計在4月21日上架，這次支援多種生物辨識技術，包含指紋辨識、人臉辨識和虹膜辨識來解除螢幕鎖定，但是，近日一名自稱為Miguel的網友，在YouTube上示範利用照片就能通過Galaxy S8人臉辨識機制的驗證，來揭露這個機制的安全漏洞。然而，三星回應，人臉辨識並非安全功能，僅為了方便使用者解鎖手機。更多新聞

未知Android勒索軟體竟能感染合法APP，還會避開防毒軟體偵測

資安公司Zscale的ThreatLabZ小組研究人員近日發現，一個未知勒索軟體可感染合法的Android App，受害者下載受感染的App後4個小時，才就會啟動勒索程式，鎖住受害者手機螢幕，並且要求受害者在12小時內支付500盧布（約新臺幣270元），若未支付贖金，就會在網路上公布受害者個人資料。ThreatLabZ表示，由於大部份防毒程式會針對App行為執行數秒到數分鐘的偵測，這隻惡意程式碼潛伏4小時後才開始活動，目的是為了躲避防毒軟體的動態分析。更多新聞

整理⊙黃泓瑜