標籤: News

日本科技巨頭Olympus證實，它在周末遭到網攻，迫使其關閉了在美國、加拿大和拉丁美洲(Americas)的 IT 系統。Olympus在其網站上的一份聲明中表示:

*於 10 月 10 日在美洲的 IT 系統檢測到可疑活動，並正在努力解決此問題

*Olympus已暫停受影響的系統；事件對其他地區沒有已知的影響

Olympus沒有透露在潛在的網路安全事件期間，客戶或公司數據是否被存取或被盜，表示調查仍在進行中，也會陸續提供有關此事件的更新。這與Olympus上個月在其歐洲、中東和非洲(EMEA)的IT系統遭到網路攻擊後發表的聲明幾乎相同。上個月，儘管Olympus沒有分享任何關於攻擊者身份的資訊，但據知情人士透露，Olympus的EMEA的IT系統是從勒索軟體攻擊中恢復過來，在受感染的系統上留下了來自 BlackMatter勒索軟體組織的勒索信。

Olympus沒有透露有關襲擊其美洲 IT 系統的攻擊性質的詳細資訊，但眾所周知，勒索軟體組織會在周末和假期進行攻擊以延遲檢測。FBI 和 CISA在 8 月發布的聯合諮詢中表示，他們“觀察到在美國的假期和周末（辦公室通常關閉時）發生的極具影響力的勒索軟體攻擊有所增加。

資安公司Egnyte表示，在短短一個月內像Olympus這樣的科技巨頭的第二次網路攻擊是一個重要的警示：任何大型跨國公司都不應認為自己可以避免於勒索軟體攻擊。

美國網路安全和基礎設施安全局 (CISA)和聯邦調查局(FBI)今天向美國政府和私營企業發布了一份聯合安全警告，敦促組織在假期和周末持續並積極地監控勒索軟體的威脅，並建議確認 IT人員在這些時間”隨叫隨到”，以應對勒索軟體攻擊。由於攻擊者意識到，如果他們在 IT或資安團隊下班或人數較少時進行破壞並在公司內部網路中移動，他們更有可能不被發現。即使他們的入侵被檢測到，但一些警報可能不會被及即時讀取或注意到，讓攻擊者在入侵時占得先機。

再加上大多數勒索軟體都更新了他們的程式碼以加快加密程式，大多數攻擊通常只需要幾個小時就能從最初的破壞到加密公司的伺服器，這讓 IT團隊幾乎沒有時間做出反應。

CISA和FBI表示，網路犯罪分子和APT駭客傾向在假期期間不休息而進行攻擊，勒索軟體在母親節、美國陣亡將士紀念日(Memorial Day)和美國獨立日假期等各大節慶的週末發動攻擊的趨勢在今年飆升，組織得思量相對應的營運模式以對抗及防禦勒索攻擊。他們敦促組織採取措施保護他們的系統，減少他們的暴露，並可能“在他們的網路上進行先發制人的威脅搜尋，以尋找威脅行為者的跡象”。

CISA和 FBI 點名3起在周末和假期發生的知名勒索軟體事件:

*操作Darkside 勒索軟體組織於 5 月 7 日(星期六)攻擊了美國最大燃油管道公司Colonial Pipeline。Colonial Pipeline 還向 DarkSide支付了 440 萬美元的贖金，（美國司法部後來沒收了一個 DarkSide 加密貨幣錢包，收回了大部分已支付的贖金）。

*REvil 勒索軟體對JBS Foods的攻擊發生在美國陣亡將士紀念週末假期，JBS向 REvil付了 1100 萬美元的贖金。

*REvil 勒索軟體對IT軟體製造商Kaseya的攻擊發生在 7 月 4 日美國假期期間，攻擊了數十名 Kaseya 客戶和多達 1,500 家其他下游企業。

另外，CISA和FBI建議組織可採取多種措施來保護他們的系統，包括：

*對數據進行離線備份

*避免點擊可疑的連結

*保護和監控遠端桌面協議的端點

*更新操作系統和軟體

*使用高強度密碼

*使用多因素身份驗證

CISA和FBI還建議在週末讓IT人員輪班並敦促組織適應這種新的營運模式並相應地改變他們的防禦措施， 根據 FBI 網路犯罪投訴中心 (IC3) 的數據，在過去一個月裡，發現以下勒索軟體的攻擊最活躍:

*Conti

*PYSA

*LockBit

*RansomEXX/Defray777

*Zeppelin

*Crysis/Dharma/Phobos

CISA 和 FBI補充說，即使他們今天發布了這份聯合公告，但沒跡象表明即將到來的美國勞動節(Labor Day)周末會發生重大勒索軟體攻擊。

新加坡電腦網路危機處理暨協調中心(SingCert)已針對ALTDOS發出警報

Key Points:

*已知受害目標包括新加坡房地產商OrangeTee、泰國互聯網服務提供商3BB、孟加拉跨國企業集團BEXIMCO、Audio House、Vhive、CGSEC 等公司

* 自 2020 年 12 月以來，ALTDOS 駭客組織對孟加拉、新加坡和泰國的公司進行攻擊和勒索

*已看到該組織部署勒索軟體，用被盜數據勒索公司，或在駭客論壇上出售數據。

*傳出最新的受害者寫信給駭客：“你們複雜的攻擊讓我們筋疲力盡，不論在精神上還是經濟上。”

在過去的八個月裡，一個自稱為 ALTDOS 的網路犯罪組織在東南亞肆虐，對企業發動攻擊，以竊取他們的數據並勒索贖金或在暗網論壇上出售。該組織於 2020 年 12 月首次被發現，對孟加拉、新加坡和泰國等地的公司遭入侵有關。與俄羅斯駭客組織要求的高額贖金，ALTDOS要求的金額相對地低，據了解，已有70%受害企業願意支付贖金，據外媒報導，ALTDOS的作案手法只能用混亂來形容，他們沒有特定的方式，該組織有時候被發現部署勒索軟體來加密受害者的數據，有時候也被發現只竊取機密資訊。此外，在某些案例，ALTDOS聯繫受害者並要求支付贖金，但也發現在另外一些案例，ALTDOS只是直接在網上拍賣或發布受害者的數據。

就在本月，ALTDOS仍在繼續製造新的受害者，新加坡今天發布了一份警報，說明了該組織最常見的策略。根據這份的警報，ALTDOS 入侵通常發生在該組織開採面向公眾的 Web 伺服器中的漏洞之後，他們最常見的目標是 Apache Web 伺服器。

一旦他們獲得初步立足點，該組織就會部署後門以建立持久性，然後部署 Cobalt Strike 滲透工具以擴展他們對其他系統的存取。

在該組織竊取受害者的數據後，也曾看到 ALTDOS也曾見過他們以硬碟抹除方式, 擦去可供鑑識的足跡。

一旦入侵進入最後階段，如果該組織尚未部署勒索軟軟體，他們通常會使用電子郵件聯繫受害者並要求支付贖金。如果受害者不付款，他們通常會在暗網上洩露數據。對於大型的企業，ALTDOS還會利用 DDoS 攻擊來施壓力。

ALTDOS曾入侵的公司包括：

• Country Group Securities (CGSEC)  – 一家泰國金融和股票市場公司（2020 年 12 月）。
• Mono Next Public Company Limited  – 一家泰國大眾媒體公司（2021 年 1 月）。
• 孟加拉出入口公司 (BEXIMCO)  – 一家跨國企業集團（2021 年 1 月）。
• 3BB  – 泰國的互聯網服務提供商（2021 年 1 月）。
• Vhive  – 新加坡受歡迎的零售家具連鎖店（2021 年 3 月）。
• Audio House  – 新加坡的消費電子產品零售商（2021 年 6 月）。
• Unispec Group Singapore  – 一家從事海運業的公司，總部位於新加坡（2021 年 6 月）。
• OrangeTee  – 一家新加坡房地產公司（2021 年 8 月）。

Key Points:

* Liquid的新加坡子公司Quoine PTE疑是駭客攻進的破口

*Liquid 還公佈了攻擊者的錢包地址

8月19日，總部位於東京的加密貨幣交易所 Liquid 表示，駭客入侵了其伺服器並竊取了以今天的匯率估計至少價值約 9700 萬美元的加密資產，為了應對這次攻擊，交易所將資產轉移到離線存儲的冷錢包中，另外要求用戶不要將加密貨幣資產存入他們的 Liquid 錢包，暫停了存取款服務，這起攻擊事件目前仍然在調查中，但根據日本Liquid的部落格發文，此次攻擊追溯到 Liquid 的新加坡子公司 Quoine PTE，並表示是因Quoine PTE的多方計算（Multi-Party Computation，MPC)錢包遭駭客入侵所引起，但也沒有再透露更多細節。

區塊鏈分析公司Elliptic追踪到 Liquid被盜的資金，確定被盜貨幣價值將近 1 億美元，並表示駭客使用去中心化交易所（例如 Uniswap 和 SushiSwap）將其中有價值4500萬美元的加密貨幣，透過去中心化交易所轉換成以太幣，以避免資產被凍結。據了解，這已不是 Liquid 第一次遭到駭客攻擊，2020 年 11 月底，該交易所也曾遭駭客攻擊，雖然沒有任何加密資產的損失，但駭客成功盜取其顧客資料。

Liquid 還公佈了駭客的錢包地址，分別爲：

BTC 地址：1Fx1bhbCwp5LU2gHxfRNiSHi1QSHwZLf7q

ETH 地址：0x5578840aae68682a9779623fa9e8714802b59946

TRX 地址：TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

XRP 地址：rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

上週，另一起針對加密貨幣的攻擊，一名綽號為Mr. White Hat的駭客從 Poly Network竊取了價值 6 億美元的加密貨幣，後來表態歸還，並獲Poly Network邀他出任首席安全顧問。

Key Points:

*香奈兒韓國分公司發生了資料庫不法存取事件，造成客戶個資外洩。

*被洩露的數據將成為社交工程和網路釣魚攻擊者手中的豐富資源。

*受香奈兒事件影響的潛在受害者數量未被公開，韓國香奈兒未提供任何身份盜用保護服務

據外媒Korea Times的報導，國際奢侈品牌香奈兒(Chanel)韓國分公司公司傳出客戶資料遭外洩，由於銷售的是昂貴奢侈品，高端客戶和貴婦們對其個資看待尤其嚴謹，因此，此事件在當地引起極大的關注。目前尚不清楚受數據洩露影響的客戶是否會對這家法國奢侈品牌的韓國公司採取法律行動。

香奈兒通知其客戶稱，駭客在 2021 年 8 月 5 日至 8 月 6 日期間入侵韓國香奈兒(Chanel Korea)管理的數據中心，由於這是存儲客戶資料的地方，因此造成敏感資料被存取甚至複製。

據了解已洩露的個資包括：姓名、生日、電話號碼和產品購買清單，同時還包含同意提供其地址、性別和電子郵件的客戶個資也被竊取了，但這家法國奢侈品牌補充說，被盜數據不包括註冊會員的用戶名和密碼。

韓國香奈兒在6日發現事件後，立即封鎖了IP和非法存取路徑，修補了用於破壞網路的漏洞，目前香奈兒 IT 團隊正在與外部資安全公司、相關政府部門、韓國訊息安全局（Korea Internet & Security Agency，KISA） 和個人信息保護委員會 (PIPC) 進行調查，韓國香奈兒也稱，這次駭客入侵攻擊沒有對其他系統造成損害。

目前尚不清楚此事件是單一事件(只在南韓)或有機會影響全球香奈兒的客戶。今年6月麥當勞遭駭，台灣、南韓客戶及員工個資被竊。

美國國家安全局 (NSA) 和網路安全與基礎設施安全局 (CISA)發布了一份 59 頁有關強化 Kubernetes 集群的安全技術指南，以加強組織的 Kubernetes 系統的安全性。

Kubernetes最初由 Google 工程師開發，後來在 Cloud Native Computing Foundation 下開源， 是一種流行的開源解決方案。Kubernetes 主要用於基於雲的基礎架構，允許系統管理員使用軟體容器輕鬆部署新的 IT 資源。它提供了更大的靈活性，但也經常成為攻擊者的目標，該報告建議對Kubernetes系統進行加固。

由於 Kubernetes與傳統的單體式軟體平台不同，因此許多系統管理員常遇到了安全性錯誤配置的問題。在過去幾年中，發現一些加密貨幣採礦殭屍網路營運組織針對這些錯誤配置，威脅參與者掃描互聯網上的 Kubernetes Management feature，這些功能在沒有身份驗證的情況下暴露在網上，或在大型 Kubernetes 集群上運行的應用程式(如 Argo Workflow或 Kubeflow)，獲得對 Kubernetes 後端的存取權限，然後使用此存取權限在受害者的雲端基礎設施內部部署加密挖礦程式。這些攻擊在 2017 年初開始發生，但現在已到達多個威脅參與組織爭相在攻擊同一錯誤配置。

CISA 和 NSA 的聯合報告還詳細介紹了公司和政府機構可以實施的基本緩解措施，以防止或限制 Kubernetes 被入侵的嚴重程度。這些包括：

*掃描容器和 Pod 是否存在漏洞或錯誤配置。

*以盡可能最少的權限運行容器和 Pod。 

*使用網路分離來控制入侵可能造成的損害程度。

*使用防火牆限制不需要的網路連接和加密以保護機密性。

*使用強式身份驗證和授權來限制用戶和管理員存取以及限制攻擊面。

*使用日誌審核，以便管理員可以監控活動並就潛在的惡意活動收到警報。

*定期檢查所有 Kubernetes 設置並使用弱點掃描來幫助確保適當考慮風險並應用安全修補程式。

Source:

https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES%20HARDENING%20GUIDANCE.PDF

2021年通用缺陷列表(Common Weakness Enumeration-CWE) 項目中，前 25 名最危險的軟體安全缺陷已出爐! 該項目是由美國國土安全部(Homeland Security)旗下的國土安全系統工程與發展研究所 (HSSEDI) 贊助，並交由非營利的研發機構MITRE負責管理。

MITRE參考了由2021 年 3 月 18 日下載到的美國國家漏洞資料庫 (NVD)的2019 年和 2020 年常見漏洞披露(Common Vulnerabilities and Exposures，CVE) 數據，分析了大約 32,500個 CVEs特性與CVSS（常見漏洞評分系統）分數後，公布了前 25 名最危險軟體安全缺陷的排名。第一名是編號CWE-787的越界寫入（Out-of-bounds Write）缺陷。

2021年列出的前三名最危險漏洞類別中，第1名是CWE-787的越界寫入（Out-of-bounds Write）缺陷，這缺陷在2020年時位列第2名。越界寫入指的是軟體在預期緩衝區的末尾或開頭之前寫入數據，這會導致數據損壞、當掉或允許程式執行，使軟體可修改index或執行指標運算（Pointer arithmetic）來引用緩衝區邊界之外的存儲位置，令隨後的寫入操作產生未定義或意外的結果。

今年的第二名是CWE-79，是在網頁生成的過程中，出現不當的中和輸入（Improper Neutralization of Input During Web Page Generation）而可能衍生出各種跨站程式攻擊（Cross-site scripting，XSS），CWE-79是在去年的第一名。

第三名缺陷是CWE-125的越界讀取（Out-of-bounds Read）指的是軟體讀取超出預期緩衝區末尾或開頭之前的數據，可允許攻擊者從其他內存位置讀取敏感資訊或導致當掉。

總體而言，前 25 名最危險的軟體安全缺陷可導致軟體中的嚴重漏洞，攻擊者通常可利用這些漏洞來控制受影響的系統、獲取敏感資料或導致阻斷服務的情況等，企業應在軟體開發流程中排除和解決這些缺陷。

Source: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html