3C資訊

駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目

駭客為了規避Android系統的防護機制,近期使用側載(Side Loading)手段來執行惡意程式的情況越來越頻繁,對此Google在新版Android 13加入了防堵機制,但在這套作業系統推出不到一天,就有資安業者提出警告,有駭客已經找到突圍的方法,很有可能讓上述防護措施無法發揮作用。

勒索軟體駭客近期針對從受害組織竊得的資料,想要找出新的獲利方式,或是對受害組織施加更大的壓力。而最近BlackByte架設新的受害者公布網站,當中就納入新的付費按鈕──任何人都可以付費下載受害組織的資料,或是要求銷毀。但這種做法效果仍有待觀察。

研究人員在美國黑帽大會(Black Hat USA 2022)上,針對即時定位系統(RTLS)的零時差漏洞提出警告,由於此種系統會運用於智慧城市、交通運輸、零售業等領域,一旦駭客利用漏洞,有可能因竄改地理位置資料而影響人身安全。

【攻擊與威脅】

Google在8月15日正式推出Android 13作業系統,並開始提供Pixel手機用戶升級。新版作業系統在安全性上,特別針對以側載(Side Loading)執行的軟體,限縮能夠取得的權限,來減少攻擊者用來提升惡意程式權限的現象。但最近已有駭客破解這種防護機制,且很有可能快要成功。

資安業者ThreatFabric發現,駭客組織Hadoken Group正在開發名為BugDrop惡意程式下載器(Dropper),試圖以多階段安裝惡意軟體元件的做法,模仿從Google Play市集下載的App安裝流程,突破這種防護措施,進而讓惡意軟體能取得輔助服務(Accessibility Service)的權限來控制手機。研究人員表示,BugDrop雖然尚在開發階段,但是這種新的部署惡意軟體手法,將可能會讓Android 13的防護機制失去作用。

勒索軟體BlackByte於去年夏天出現,攻擊舊金山49人美式足球隊而聞名,該駭客組織在沉寂一段時間後,最近有了新的動作。根據資安新聞網站Bleeping Computer的報導,這些駭客宣稱推出BlackByte 2.0新版,並架設新的受害組織公布網站。

此網站與過往最大的不同點,在於提供了額外收費的選項,例如,支付5千美元能要求駭客延後1天公布受害組織的資料,支付20萬美元可下載資料,若是要銷毀駭客竊得的資料,則要價30萬美元。研究人員表示,這些金額駭客有可能會根據受害組織規模進行調整。

這些新的收費項目將使得駭客的勒索行為變得更加複雜。受害組織可能因為無法接受贖金金額,選擇付錢增加對外處理的緩衝時間,或是得知遭竊資料內容,再者,這些資料也有機會被他人買走。

資安業者Agari與PhishLabs聯手,發布2022年第2季的網路釣魚威脅分析報告,當中特別提及使用語音的網釣攻擊(Vishing)現今相當氾濫,相較於2021年第1季,2022年第2季的攻擊數量增加了625%。

研究人員指出,現在的網釣攻擊已朝向多階段的混合攻擊發展,Vishing就占了所有網釣攻擊的四分之一。在這種手法中,駭客先是寄送電子郵件,並引誘受害者撥打信件上的「客服」電話,再透過電話騙得敏感資料。

 

【漏洞與修補】

蘋果於8月17日緊急修補CVE-2022-32894與CVE-2022-32893,這些漏洞存在於作業系統核心與Safari瀏覽器排版引擎WebKit,執行iOS、iPadOS,以及macOS作業系統的裝置都有可能受到影響,一旦遭到利用,攻擊者將能執行任意程式碼。蘋果發布iOS 15.6.1、iPadOS 15.6.1,以及macOS Monterey 12.5.1修補上述漏洞,並指出兩個漏洞都已經被用於攻擊行動,呼籲使用者要儘速更新作業系統。

Google於8月16日發布電腦版Chrome瀏覽器更新104.0.5112.102(Windows版)、104.0.5112.101(macOS、Linux版),當中總共修補11個安全漏洞,其中最值得留意的是高風險漏洞CVE-2022-2856,此漏洞與Intents未受信任的輸入驗證不充分有關,且已出現攻擊行動。而這已是今年出現的第5個Chrome零時差漏洞。

想知道最厲害的網頁設計公司嚨底家!

RWD(響應式網頁設計)是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

網頁設計公司推薦不同的風格,搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗,所以不用擔心有手機版網站兩個後台的問題,而視覺效果也是透過我們前端設計師優秀的空間比例設計,不會因為畫面變大變小而影響到整體視覺的美感。

資安業者Nozomi Networks在黑帽大會(Black Hat USA 2022)上,展示了超寬頻(Ultra-wideband,UWB)即時定位系統(Real Time Locating Systems,RTLS)的安全漏洞,指出RTLS的處理程序缺乏安全標準,可能會遭到中間人(MitM)攻擊,研究人員於Sewio Indoor Tracking與Avalue Renity Artemis Enterprise裝置上找到了零時差漏洞,一旦駭客利用這些漏洞,將能取得藉由無線網路傳遞的位置資訊。研究人員呼籲部署RTLS系統時應採用加密流量,也考慮設置防火牆與入侵偵測系統(IDS)。

 

【資安防禦措施】

8月17日,衛生福利部在於林口長庚紀念醫院舉行醫院資安攻防演練,由林口長庚醫院與長庚醫學科技公司的資訊、醫工與工務人員為防禦主體,搭配多家資安服務協辦廠商組成防禦團隊,並由3家資安服務業者模擬駭客手法,透過編製腳本攻擊方式進行攻防演練。

零信任架構(Zero Trust Architecture,ZTA)備受資安圈與全球政府重視,不只是美國政府在近一年來提出具體規畫 ,我國政府今年亦將開始行動,根據行政院國家資通安全會報技術服務中心,他們在7月中旬揭露相關資訊,並指出為了強化政府資安防護,導入零信任網路已經成為既定政策,目前確定將優先推動國內A級機關逐步導入。現階段正遴選機關試行,將以逐年導入方式,在2022年到2024年,建立起零信任網路中的「身分鑑別」、「設備鑑別與「信任推斷」3大核心機制。

 

【其他資安新聞】

 

近期資安日報

https://www.ithome.com.tw/news/152569

推薦評價好的iphone維修中心

擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!

以設計的實用美學觀點,規劃出舒適、美觀的視覺畫面,有效提昇使用者的心理期待,營造出輕鬆、愉悅的網站瀏覽體驗。

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。