社群網站X(推特)在伊隆·馬斯克(Elon Musk)入主之後引發諸多爭議,包含了新的付費帳號及官方帳號的徽章制度、大量裁員的情況,但恐怕許多用戶最不樂見的是該網站資安受到影響。

遺憾的是,近日X屢屢爆出帳戶遭盜用的問題,繼上週資安業者Mandiant、CertiK,以及現代汽車、網路設備業者Netgear等知名企業的帳號傳出受害,本週再添一樁,而且這把火還燒到美國聯邦交易委員會(SEC),震撼全球!

 

【攻擊與威脅】

美國證券交易委員會的X帳號遭駭,駭客散布核准比特幣上市的假消息

根據紐約時報、The Verge、CNBC等多家媒體報導,1月9日美國證券交易委員會(SEC)的X(推特)帳號遭到入侵。

攻擊者假借SEC的名義,聲稱核准比特幣的指數股票型基金(ETF)上市,加密貨幣業者Coinbase隨即表示祝賀,業界更誤以為這是歷史性的一刻,比特幣價格隨之飆升達4.8萬美元。

但在15分鐘後,美國證券交易委員會主席加里·根斯勒(Gary Gensler)表示該機構的X帳戶遭駭,從而發布未經授權的推文,美國證券交易委員會發言人也透過電子郵件的形式對外界證實此事。上述消息被澄清後,比特幣價格應聲下跌,已降至4.6萬美元以下。(17日補充說明:10日SEC才在官方網站宣布這方面的消息,核准11檔比特幣現貨ETF上市並交易,也表示仍未批准或認同比特幣。)

資料來源

1. https://www.nytimes.com/2024/01/09/business/sec-x-hack-bitcoin.html
2. https://www.theverge.com/2024/1/9/24032095/bitcoin-etf-sec-fake-tweet-x-gary-gensler
3. https://www.cnbc.com/2024/01/09/sec-says-it-did-not-yet-approve-bitcoin-etf.html
4. https://twitter.com/coinbase/status/1744832249952899087
5. https://twitter.com/GaryGensler/status/1744833049064288387
6. https://www.sec.gov/news/statement/gensler-statement-spot-bitcoin-011023

現代汽車、網路設備業者Netgear的X帳號遭到挾持

根據資安新聞網站Bleeping Computer的報導,現代汽車中東及非洲(MEA)、網路設備業者Netgear的X帳號遭到挾持,被用於向使用者散布惡意軟體,從而洗劫加密貨幣錢包。

攻擊者將現代汽車MEA的帳號重新命名為《Overworld》,這是由幣安加密貨幣交易所投資的跨平臺多人角色扮演遊戲。對此Overworld也提出警告,要玩家提高警覺,並表示只有@OverworldPlay才是他們的帳號。

另一個X帳號遭駭的是Netgear,該公司帳號至少從1月6日就遭被劫持,攻擊者將其用於回覆BRCapp的推文,引誘使用者前往惡意網站註冊,該網站號稱前1千名新加入的會員將會獲得10萬美元,然而使用者若是依照指示操作,他們的加密貨幣資產就會落入駭客的口袋。現代汽車和Netgear並未針對此事提出說明。

資料來源

1. https://twitter.com/malwrhunterteam/status/1744243500181279220
2. https://twitter.com/SecuriTears/status/1743989857427329333
3. https://twitter.com/SecuriTears/status/1743991027755618504
4. https://twitter.com/OverworldPlay/status/1735234694319571270

中國聲稱破解蘋果無線檔案傳輸機制AirDrop

中國北京司法局指出,為了調查有人利用蘋果裝置的AirDrop功能,於公共場所匿名傳送不當訊息,北京網神洞鑑司法鑑定所近日破解AirDrop技術,揭露了發送者的設備名稱,以及雜湊的電子郵件帳號與電話號碼,成功將雜湊內容轉成明文。

在中國政府對於民眾言論進行審查的情況下,該國不只使用防火長城(Great Firewall,GFW)封鎖特定網站及服務,並禁止行動裝置應用程式市集提供VPN及加密通訊軟體,使得有些人士選擇利用AirDrop進行通訊,例如,在香港反送中運動當中,就有使用者透過這項功能來進行網路集會。

北京司法局宣稱當地民眾的iPhone在北京地鐵收到帶有不良言論的影片,經調查是有人利用AirDrop匿名散布相關訊息,這樣的手法已經有其他人效法,因此警方委託北京網神洞鑑洞鑑司法鑑定所協助,而成功破解。對此,蘋果並未做出回應。

 

【漏洞與修補】

微軟發布1月例行更新,修補49個漏洞

1月9日微軟發布本月份的例行更新(Patch Tuesday),總共修補49個漏洞,其中有10個可被用於提升權限、7個可被用於繞過安全功能、12個可被用於遠端執行任意程式碼(RCE)、11個資訊洩露漏洞、6個DoS漏洞,以及3個能被用於欺騙的漏洞。

上述的漏洞有2個被列為重大等級,其中1個是Windows的Kerberos安全功能繞過漏洞CVE-2024-20674,未通過身分驗證的攻擊者可藉由中間人攻擊(MitM)來騙過Kerberos伺服器,受害電腦將會收到通過驗證的假訊息,CVSS風險評分為9.0,為本次危險程度最高的漏洞,Zero Day Initiative(ZDI)的研究人員認為,在未來的一個月內很有可能會出現漏洞利用程式碼。

另一個被列為重大層級的漏洞是CVE-2024-20700,這項漏洞出現在虛擬化環境Hyper-V,有可能被用於遠端執行任意程式碼,雖然微軟沒有對漏洞進一步說明,但這項漏洞無須通過身分驗證,亦不需使用者互動,而有可能相當容易被利用,CVSS風險評分為7.5。

資料來源

1. https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2024-patch-tuesday-fixes-49-flaws-12-rce-bugs/
2. https://www.zerodayinitiative.com/blog/2024/1/9/the-january-2024-security-update-review

 

【資安防禦措施】

臺灣資本額千萬以上的超商、百貨業者,須在1月31日制訂客戶個資保護計畫

民眾購物經常會被要求加入會員、並提供個資給店家,政府為要求店家善盡保護個資的責任,經濟部去年8月發布「綜合商品零售業個人資料檔案安全維護管理辦法」,規範資本額千萬元以上、並有招募會員或可取得交易對象個資的百貨超商量販店,須於6個月內訂定個資安全維護計畫,截止日期是1月31日。估計約有4千家大型綜合零售業者必須訂定個資安全維護計畫,主要是超商、超市、量販店、百貨公司等大型業者;至於電商,則不在這次規範之內。

商業發展署官員表示,經濟部從2月1日會透過抽查的方式進行檢核,若是接獲檢舉或傳出個資外洩情事,也會進行查核。假如業者無法提供個資安全維護計畫,或違反安全維護管理辦法,就會根據個資法罰鍰2萬元至200萬元,若限期未改善或情節重大,將處以15萬至1,500萬元罰鍰;屆期未改正則按次處罰。

 

【其他新聞】

駭客組織Water Curupira透過垃圾郵件散布惡意程式載入工具PikaBot

西門子、施耐德電機發布1月例行更新,修補逾20個漏洞

Adobe修補Substance 3D Stager程式碼執行漏洞

CISA針對去年4月Apache修補的資料圖像化工具Superset漏洞提出警告,已出現攻擊行動

安碁資訊揭2024資安服務策略,雲端安全與人才培訓事業成重點,並擴大泰國布局

 

近期資安日報

【1月9日】 區塊鏈資安業者的X帳號驚傳遭駭並假借帳戶安全的名義散布惡意軟體

【1月8日】 分散式訊息串流資料平臺Apache RocketMQ存在修補不全的重大漏洞

【1月5日】 駭客組織利用新型態攻擊手法對烏克蘭組織散布木馬程式Remcos RAT

熱門新聞

Advertisement