推特於今年1月修補的漏洞,駭客在尚未修補之前運用的情況恐怕遠超過先前研究人員的發現!近日有人在駭客論壇兜售超過4億筆的推特用戶資料,與先前公布的資料不同之處在於,這次的資料量極為龐大,而且,賣家向推特喊話,要該公司把資料贖回。

美國電信業者Comcast Xfinity的用戶帳號遭竊的情況也相當值得留意,駭客疑似發動帳號填充攻擊,然後使用特製的動態密碼(OTP)繞過工具,而能成功挾持部分用戶的帳號,之後駭客還會對其他雲端服務下手,利用相同的帳密企圖入侵。

我們之前介紹過惡意軟體散布服務Pay-per-install,業者透過惡意軟體下載器PrivateLoader來散布客戶的惡意程式,最近有兩家資安業者發現名為RisePro的竊密軟體就以這種方式發動攻擊,且至少有2千臺電腦受害。

【攻擊與威脅】

逾4億筆推特用戶資料出現於駭客論壇

駭客在去年利用推特漏洞竊取用戶個資料,影響範圍很可能再度擴大。根據資安新聞網站Bleeping Computer的報導,有人在12月23日於駭客論壇BreachForums上以2萬美元的價格,兜售4億筆推特用戶資料,並提供37個名人的資料讓買家比對(後來又再提供了1千筆資料)。

賣家警告推特執行長馬斯克,若不把資料買回去的話,很可能要面臨GDPR的巨額罰款。賣家表示,假如推特沒有買走這些資料,他們將會以6萬美元的價格賣給多個買家。而對於資料來源,賣家表示就是透過今年1月推特修補的漏洞取得。

威脅情報業者Hudson Rock指出,他們比對駭客提供的資料,研判應為真實資料,但無法確認駭客是否真的擁有如此龐大的資料庫。

美國電信業者Comcast Xfinity用戶遭到攻擊,駭客疑繞過雙因素驗證挾持帳號

根據資安新聞網站Bleeping Computer的報導,約自12月19日開始,有許多美國電信業者Comcast Xfinity的用戶收到通知信,告知他們的帳號資料出現更動的情況,隨後用戶便發現無法存取並向該電信業者通報,才得知自己的帳號遭到入侵,而且,駭客在用戶資料裡新增了YOPmail的電子郵件信箱。值得留意的是,受害者幾乎都啟用了雙因素驗證,但攻擊者卻能成功入侵並竄改密碼。

有不具名的研究人員向該新聞網站透露,此起事故很可能是帳號填充(Credential Stuffing)攻擊,一旦駭客成功存取該帳號,並收到雙因素驗證的請求,他們就會採用專屬的動態密碼(OTP)繞過工具,向Xfinity網站發出通過相關驗證的偽造訊息。有部分使用者發現,駭客在挾持他們Xfinity帳號後,便利用帳密資料嘗試存取DropBox、Evernote、Coinbase等雲端服務或加密貨幣交易所的帳號。

俄羅斯駭客企圖入侵北約國家的煉油廠

資安業者Palo Alto Networks揭露俄羅斯駭客組織Gamaredon(亦稱Trident Ursa)在8月底的入侵行動,駭客鎖定北大西洋公約組織(NATO)的大型煉油廠下手,所幸沒有成功。研究人員指出,這些駭客原本針對烏克蘭而來,並在釣魚郵件使用烏克蘭語,但後來他們看到該組織開始寄送英文版的釣魚郵件,原因是將攻擊範圍擴及北約國家。

研究人員也發現兩種附件型態的釣魚郵件,一種是透過內含RAR壓縮檔的HTML附件進行,一旦收信人依照指示點選壓縮檔裡的LNK檔案,駭客就會從惡意URL下載並執行HTA檔案、VBScript指令碼,進而對受害電腦進行遠端控制;另一種則是利用看似無害的Word檔案附件,收信人開啟後該文件會從遠端下載惡意範本檔案,此範本內含惡意巨集,目的是用來執行VBScript酬載。

竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

資安業者Flashpoint、Sekoia先後針對竊密軟體RisePro揭露細節,駭客亦採用了Pay-per-install(PPI)服務下手,藉由PrivateLoader惡意軟體下載器散布,假借軟體破解與金鑰產生器的名義散布此竊密軟體。

Flashpoint指出,他們在12月13日看到有人將此竊密軟體偷到的2千餘組機密資料,在地下市集Russian Market進行兜售,根據對該竊密軟體的分析,研究人員認為RisePro是由另一款竊密軟體Vidar發展而來。

Sekoia則發現,RisePro與PrivateLoader的程式碼有30%相似,研判有可能是PrivateLoader的開發者打造了RisePro,或是兩個惡意軟體的開發者存在密切合作的關係。

抖音證實員工曾存取記者個資

根據紐約時報的報導,短影片社交平臺抖音(TikTok)的母公司字節跳動(ByteDance)於12月22日證實,母公司與美國分公司的4名員工,曾存取美國記者的個資而遭到解僱。該公司是在內部稽核的過程裡,發現有內部員工洩密,而存取BuzzFeed、金融時報的記者個資,包含了記者的IP位址與通訊記錄。

新聞網站The Verge取得該公司內部信件,抖音法務長Erich Andersen向員工公布此事,並指出稽核與風險部門將重整;另有字節跳動執行長梁汝波,抖音執行長周受資也對此向員工發出信件說明。

 

【漏洞與修補】

內容管理平臺Ghost存在權限提升漏洞

思科研究人員揭露內容管理平臺Ghost的漏洞,其中最嚴重的是身分驗證繞過漏洞CVE-2022-41654,該漏洞可讓不具特權身分的使用者竄改電子報設定,發出未經授權的通知,而且能影響整個網站的所有使用者,CVSS風險層級達到9.6分。研究人員提出警告,由於該內容管理平臺預設允許管理者在電子報注入JavaScript,使得攻擊者能利用上述漏洞編輯電子報,並能建立管理者帳號。

研究人員公布的另一個漏洞是用戶枚舉漏洞CVE-2022-41697,駭客一旦利用,就有機會取得該網站所有使用者的電子郵件信箱,然後用於釣魚攻擊,CVSS風險層級為5.3分。

 

【其他資安新聞】

針對劍橋分析事件的集體訴訟,Meta有意拿出7.25億美元和解

南韓指控北韓駭客攻擊近900名外交專家

美國辛辛那提州社區大學傳出資料外洩,恐曝露師生社會安全碼

加密貨幣錢包Bitkeep遭竊800萬美元,駭客利用DeFi漏洞得逞

體育賽事賭博網站BetMGM證實資料外洩

 

近期資安日報

【2022年12月26日】 容器驗證系統的弱點可被用於上傳惡意映像檔、WordPress禮物卡外掛程式重大漏洞出現攻擊行動

【2022年12月23日】 提升為RCE的CVE-2022-37958被研究人員視為另一EternalBlue;LastPass客戶資料庫備份遭存取

【2022年12月22日】 資安研究人員提出硬體斷點規避EDR監控新技術;用ChatGPT與Codex降低攻擊門檻情況受關注

熱門新聞

Advertisement