圖片來源: 

Docker

0425-0501 一定要看的資安新聞

 

#資料庫外洩  #供應鏈攻擊

Docker Hub遭駭,外洩19萬用戶憑證

Docker容器映像檔的官方儲存庫Docker Hub遭到入侵,駭客於4月25日未經授權存取一個Docker Hub資料庫,該資料庫存放了19萬名用戶的憑證資料,包括使用者名稱與雜湊密碼,以及自動化部署(Automated Builds)工具中,用來驗證Github與Bitbucket的Token。

Docker表示,該資料庫並未存放用戶的金融資料,受影響的帳號僅占不到Docker Hub用戶數5%,該公司已要求用戶變更Docker Hub密碼及其它採用同樣密碼的帳號。詳全文

(圖片來源)Docker

 

#雲端服務濫用  #網路釣魚攻擊

GitHub網頁代管服務遭駭客濫用

資安業者Proofpoint披露,從2017年中開始,駭客就開始濫用GitHub的免費網頁代管服務GitHub Pages,從事網釣攻擊行動,而GitHub在收到Proofpoint的通知之後,也立即刪除駭客濫用的數十個網頁。

其實,包含Dropbox、Google Drive、Paypal、Ebay,以及臉書,都曾經成為駭客的攻擊跳板,駭客企圖透過這些廣為人知的服務,來躲避偵測並遮掩不法行為。而根據這份新的研究顯示,GitHub Pages已被駭客鎖定,因此,使用者與資安業者應小心提防github.io網域上的內容。詳全文

(圖片來源)Proofpoint

 

#勒索軟體  #特定目標攻擊

鎖定企業的勒索軟體攻擊數量爆增

Malwarebytes實驗室公布2019年第一季的《網路犯罪策略與技術》調查報告,指出鎖定企業的勒索軟體攻擊大幅成長超過5倍,至於個人端,則降低三分之一。

該報告指出,企業端攻擊的大幅增加,主要來自Troldesh這款勒索軟體再度蔓延。2014年首度現身的Troldesh,散布管道是透過垃圾郵件夾帶惡意附件,使用者解壓縮附件之後,會得到一個JavaScript檔案,一旦執行,便會下載真正的勒索軟體。

另外,這份報告也提到勒索軟體在亞太地區最猖獗──在針對企業的惡意程式攻擊類型中,排名第四,北美則排名第五、拉丁美洲排名第八,中東與非洲地區則是在第十名之外。詳全文

 

#雲端服務濫用  #特定產業攻擊  #VirusTotal

金融後門Carbanak原始碼於VirusTotal存在近兩年

由FIN7駭客集團大肆濫用的金融後門程式Carbanak,近期資安業者FireEye揭露功能與設計細節,其實早在2017年4月,相關的程式碼就被上傳到惡意程式分析網站VirusTotal,直到2018年10月才被FireEye的研究人員發現。

VirusTotal是個免費的惡意軟體分析平臺,全球資安人員可上傳惡意檔案進行分析,也能自該平臺存取各種檔案,然而,龐大的資安社群卻未能辨識Carbanak。詳全文

 

#影子網域  #憑證填充攻擊

Palo Alto與GoDaddy移除1.5萬個詐騙子網域

從網域名稱下手,是杜絕網路詐騙的有效方法之一。資安業者Palo Alto Networks與網域名稱註冊暨代管服務供應商GoDaddy,聯手移除1.5萬個涉及詐騙活動的子網域。駭客藉由網釣或其他手法,取得這些合法網站的憑證,再建立用來銷售偽造商品的「影子網域」,讓許多消費者上當。

這些詐騙網站有幾個共通點,不只透過假報導誇大產品功效、偽造明星或名人的推薦,而且還建置在合法的網域名稱上。

GoDaddy調查發現,詐騙集團在過去幾年來,持續利用網釣與憑證填充攻擊,取得用戶的帳號憑證後,進而在用戶不知情的狀況下建立所謂的影子網域,用以行銷各種誇大不實的產品。詳全文

(圖片來源)Palo Alto Networks

 

#隱私疑慮  #漏洞攻擊  #EteralBlue

基於法律爭議及成本考量, NSA建議美政府終止電話監聽

根據華爾街日報報導,由於法律爭議性及成本太高,美國國安局(NSA)建議白宮,停止監聽美國人電話和傳訊的計畫。NSA認為,執行監聽計畫的執行與法律負擔,已超過帶來的情報蒐集效益。

NSA監控計畫不僅有侵害公民隱私之嫌,開發出來的網路竊密工具,也對現今網路留下安全禍害。如EteralBlue、EternalRed,以及DoublePulsa等,後來都外流到駭客手上,用以發動多起大規模路由器及PC、伺服器駭入事件及網路威脅,包括WannaCry。

雖然NSA如此建議,不過報導指出,監聽計畫持續與否,最後仍是白宮說了算。詳全文

 

#硬體漏洞  #旁路攻擊  #ECDSA

研究人員公布可用來竊取機密資訊的高通晶片旁路漏洞

英國資安業者NCC Group公布了藏匿在逾40款高通晶片的旁路漏洞,可用來竊取晶片內所儲存的機密資訊,並波及採用相同晶片的Android裝置,高通已於4月初修補漏洞。

這個編號為CVE-2018-11976的漏洞,涉及高通晶片安全執行環境(QSEE)中,所採用的橢圓曲線數位簽章演算法(ECDSA),駭客得以推測出存放在QSEE中、以ECDSA加密的224位元與256位元的金鑰。詳全文

 

#廣告詐騙  #供應鏈攻擊  #應用市集亂象

中國開發商Android App涉廣告詐騙遭下架

來自中國的開發商DO Global,他們所打造的Android程式因涉及廣告詐騙,目前為止已有46款被下架,其他的也可能遭到Google Play市集移除。

之所以發生此事,是因為BuzzFeed News與資安業者Checkpoint聯手調查,發現DO Global所打造的程式內含PreAMo廣告詐騙機制,會偽裝成使用者點擊廣告,向廣告代理商詐騙廣告費。BuzzFeed News還發現,為了隱匿程式的來源,DO Global還使用不同的發行者名稱,此舉同樣違反Google的開發者政策。詳全文

 

#行動應用App安全  #開發安全

含有無用功能與檔案是臺灣熱門App普遍潛藏的風險

行動應用App開發者可能會以為,有了加密保護就具備足夠安全性,忽略相關防護措施是否到位。在叡揚資訊年度解決方案日的活動上,該公司揭露針對臺灣80款常見的App執行黑箱檢測,發現近7成的App含有無用模組,而這些元件可能會遭到攻擊者濫用,呼籲企業要重視行動應用App的開發安全。

企業為了將防護效益最佳化,保護措施通常集中於正式上線的各式功能,未必會保護未使用的模組,而這些模組一旦遭受攻擊,駭客很可能就得以長驅直入企業內部環境,因此,這種問題背後隱含的風險,其實相當嚴重。詳全文

 

更多資安動態

Cloudflare開源可防止DoS攻擊的XDP封包捕捉工具
針對Kubernetes特製的Linux發行版K3OS正式推出
微軟打算在新版Windows移除定期更換密碼政策
FBI:2018年網路犯罪投訴前三名為交易詐騙、勒索與個資外洩
Google Play移除逾50款含TsSdk廣告軟體的App
駭客利用假更新從Electrum錢包盜走比特幣,並發動DDoS大戰

熱門新聞

Advertisement