木马程式Gh0st RAT也利用EternalBlue漏洞展开攻击
图片来源:FireEye
重点新闻(06月03日-06月09日)
Sudo存严重程式漏洞,允许任何人取得Linux系统最高使用权限
资安公司Qualys近日揭露,一般用户可利用Sudo的漏洞(CVE-2017-1000367),取得UNIX、Linux系统的最高使用权限。正常情况下,最高权限的用户会利用Sudo,以较安全的方式分配系统权限给其他一般用户,例如制订某一个用户使用系统权限时间,超过期限需输入新的密码,才能再使用权限。然而,设计Sudo程式的作者Todd Miller解释,具有Sudo权限的用户,只要启用Linux的核心安全模组SELinux来支持Sudo,就能覆写任何文件,或是永久取得系统的最高权限,影响Sudo 1.7.10至Sudo 1.8.20的所有版本。目前,红帽、SUSE、Debian和Ubuntu修补了Linux版本的漏洞,Sudo也释出了Sudo 1.8.20p1安全更新。更多新闻
微软控告游戏网站窃取XBox用户帐号,赚取游戏点数低价销售游戏产品
微软近日控告游戏网路商店「iGSKY」,利用遭窃的Xbox玩家信用卡资料,获得低价的游戏价格,从中牟取暴利。微软从2016年12月着手调查发现,有许多玩家在iGSKY用低价来购买游戏,主要原因是iGSKY暗中窃取XBox用户帐号和信用卡资料,来累积游戏点数,才能够获取游戏产品的优惠价格。然而,这家网站伺服器设置在中国,美国联邦法院无法强制关闭该网站、关闭PayPal服务,以及冻结资产。更多资料
微软控告网路商店iGSKY,窃取Xbox用户信用卡资料,以低价销售游戏来吸引顾客。图片来源:萤幕截图。
恶意软体Fireball感染受害者的浏览器来蒐集个资,全球2.5亿台电脑受影响
资安公司Check Point研究团队于6月1日揭露,他们发现新恶意软体Fireball,专门劫持受骇电脑浏览器,利用替换伪造的搜寻引擎(如,Google、Yahoo!)和恶意广告程式,暗中蒐集用户的个资,甚至下载其他恶意程式,来执行恶意攻击,全球有2.5亿台用户电脑,以及20%企业网路受到影响。
研究人员调查指出,Fireball是由中国北京一家网路行销公司Rafotech(卿烨科技)所开发,主要应用在广告行销,操控受骇电脑的浏览器来製造网路流量,赚取广告收入。更多资料
注意!小心打开来路不明的简报档,恐在受害装置上自动载入恶意程式
根据资安部落格Bleeping Computer研究人员于6月2日发现,目前有假冒採购订单的钓鱼邮件,附件是含简报播放档(.ppsx)的压缩档,诱骗受害者开启。受害者开启档案后,该简报会自动播放,仅有一页显示「Loading...Please wait」超连结的投影片。受害者滑鼠移动至该文字,就会启动PowerShell来载入与执行恶意程式。微软人员解释,Office产品一般会预设开启「受保护的检视」功能,可以防止该攻击方式,而且Windows Defender和Office 365进阶威胁防护已可侦测并删除该恶意软体。更多资料
受害者开启档案后,简报会自动播放,只要滑鼠触碰简报内文字,就会启动PowerShell来载入与执行恶意程式。图片来源:Bleeping Computer
不只WannaCry使用EternalBlue,其他钓鱼木马也锁定同一个漏洞
资安公司FireEye研究人员于6月2日揭露,先前造成庞大灾情的WannaCry蠕虫所用的EternalBlue漏洞,开始出现其他木马也锁定这个漏洞展开攻击,如最近发现的Backdoor.Nitol和Trojan Gh0st RAT,会透过电子邮件随机在网路散布。Backdoor.Nitol锁定旧版IE的ADODB.Stream物件,利用含PowerShell指令的广告邮件,在远程执行恶意程式。研究人员指出,这两个恶意程式过去曾攻击航空製造业、国防工业、教育业、能源事业、製造业,以及电信业。他们发现Trojan Gh0st RAT的攻击样本里面,出现来自中国北京科技公司的签名凭证。更多资料
骇客锁定4千多台HDFS主机发动勒索攻击,5PB巨量资料恐遭删除
网路装置搜寻引擎Shodan创办人John Matherly近日指出,网路上有4,487台採用公开IP位址的HDFS主机(Hadoop Distributed File System),而且任何人不需要取得认证,就能够存取高达5,120TB的资料。其中,有1,900台公开HDFS主机位于美国,另有1,426台位于中国,且几乎所有的HDFS主机部署在云端代管服务,有1,059台部署在AWS,另有507台在阿里云。Matherly认为,今年初受到骇客攻击的HDFS主机数量仅有一百多台,但一个月后就超过了500台,目前还有207台HDFS主机遭骇客勒索,骇客仍持续锁定HDFS主机来发动攻击。更多新闻
维基解密再爆料:CIA利用Windows档案伺服器散布木马程式
根据维基解密于6月1日揭露CIA机密文件「Pandemic」表示,CIA开发一款与文件名称同名的木马程式,来植入Windows档案伺服器,监控使用者下载文件的流量,并造成使用者的电脑成为「零号病人」,感染其他电脑。使用者在受骇Windows档案伺服器下载档案时,受骇伺服器会在15秒内複製一个含Pandemic木马的档案,来替换原有的档案,最多可以置换20个档案。而且,使用者在受骇伺服器上储存含Pandemic木马的档案,同一个区域网路的电脑也会遭到感染。为了避免暴露攻击行动,Pandemic木马不会更动在伺服器的原始档案,只有在使用者下载档案时,才会替换档案。更多新闻
CIA开发一款木马程式「Pandemic」,会在受害者下载Windows档案伺服器的文件时,複製含Pandemic木马的档案来替代原有档案。图片来源:维基解密
Google利用机器学习技术分析用户垃圾邮件,宣称可阻挡99%的恶意邮件
Google于5月31日在官方资安部落格宣布,Gmail推出新的信件防护功能,利用机器学习技术,分析用户垃圾邮件的内容,辨别具有高危险性的恶意邮件,包括附件含执行档、JavaScript,以及超连结的电子信件,声称可以阻挡99%的垃圾邮件和网路钓鱼邮件,来保护用户不会受到勒索攻击、零日攻击和其他恶意软体的攻击。更多资料
报告:2016年金融恶意软体数量是勒索软体的2.5倍
赛门铁克于6月1日公布的攻击报告显示,2016年骇客主要锁定金融机构和企业的财政部门,利用金融恶意软体来发动攻击。虽然检测结果表示,2016年比2015年发现的金融恶意软体数量降低了36%,但同时发现金融恶意软体比勒索软体的数量多2.5倍。这些金融恶意软体大部分利用伪装扫描文件的钓鱼电子邮件,来诱骗金融业者上钩。其中,金融木马Ramnit、Bebloh、Zeus是2016年最常使用的恶意软体,占去年总攻击次数的86%。更多资料
密码管理服务OneLogin遭骇,用户金钥外洩
OneLogin于5月31日在官网部落格证实,骇客入侵在美国的资料库,窃取资料库内已加密的资料表单,内容包含用户名字、程式内容,以及各种形式的金钥,骇客恐怕有能力解密这些资料。更多新闻
整理⊙黄泓瑜