
資安事件、殭屍網路
近日,安全公司 Infoblox 發現一起大規模的殭屍網路攻擊,超過 1.3萬台 MikroTik 路由器 被攻擊者劫持,用於散播包含惡意軟體的釣魚郵件。這些郵件偽裝成合法郵件,目的是欺騙收件人點擊附件並下載惡意程式。
攻擊手法
DNS 和 SPF 設定的漏洞
攻擊者利用錯誤配置的 DNS 記錄 和 SPF(寄件人政策框架)漏洞,讓釣魚郵件看起來像是從合法域名發出的,成功繞過郵件安全檢測系統。
攻擊者修改約 2萬個 DNS 域名 的 SPF 記錄,設為「+all」,這相當於允許任何伺服器冒充該域名發送郵件。
惡意附件傳播
釣魚郵件中夾帶的附件包含被混淆的 JavaScript 程式碼。一旦打開,這些程式會連接到攻擊者的指揮伺服器(C2),進一步進行攻擊。
利用路由器漏洞
攻擊者可能是透過 MikroTik 路由器的已知漏洞(例如 CVE-2023-30799)或其他尚未發現的漏洞,入侵設備並將其加入殭屍網路。
建議
更新路由器韌體
確保路由器使用的是最新版本的韌體,修補已知漏洞。
檢查 DNS 和 SPF 配置
管理 DNS 設定時,務必確保 SPF 記錄配置正確,避免使用「+all」,應指定可信的郵件伺服器範圍。
定期檢查域名設定是否有異常修改。
小心釣魚郵件
不要隨意點擊陌生郵件中的附件或連結。
若郵件來源看似可信但內容可疑,可向相關方核實。
使用網絡安全工具
部署網路安全防護措施,例如防火牆和入侵檢測系統,來監測和攔截異常活動。
更換預設密碼
如果使用 MikroTik 路由器或其他網路設備,務必更換設備的預設管理員密碼,並啟用雙重驗證(若支持)。
資料來源:
資安漏洞
Veeam 公司近日宣布,他們在旗下的備份軟體中發現多個安全漏洞,並已釋出修復更新。這些漏洞影響了本地端軟體 Veeam Backup & Replication 和雲端軟體 Veeam Backup for Microsoft Azure,可能使攻擊者利用漏洞發動攻擊,對系統安全造成威脅。
漏洞問題與影響
本地端軟體(Veeam Backup & Replication)
漏洞危害:攻擊者可利用漏洞提升權限,上傳惡意檔案,甚至存取關鍵服務。
解決方法:必須將軟體更新至 12.3版本 以修補這些安全問題。
雲端軟體(Veeam Backup for Microsoft Azure)
漏洞危害:攻擊者可能發動伺服器端請求偽造(SSRF)攻擊,進而存取或利用伺服器資源。
解決方法:需要更新至 7.1.0.59 或更高版本。
建議
立即檢查軟體版本
如果使用的是 Veeam Backup & Replication,請確認版本是否為 12.3 或以上。
如果使用的是 Veeam Backup for Microsoft Azure,請確認版本是否為 7.1.0.59 或以上。
安裝更新檔案
前往 Veeam 官方網站下載最新版本,或依據軟體內提示進行更新。
定期檢查更新
設置自動更新功能,確保系統隨時保持最新版本。
資料來源:
資安事件、釣魚攻擊
[1月22日] 警惕!Google Ads 大規模釣魚攻擊事件曝光
最近發生一起全球性的 Google Ads 釣魚攻擊 事件。攻擊者冒充官方 Google Ads 廣告,誘騙廣告主點擊惡意連結,進一步竊取其登入帳號的憑證和廣告預算,造成嚴重損失。
攻擊手法
假冒官方廣告
攻擊者設計的釣魚廣告幾乎無法與真正的 Google Ads 廣告區分,專門針對廣告主,讓人誤以為是合法的登入頁面。
竊取憑證與預算
當受害者點擊釣魚連結並輸入帳號資訊後,攻擊者便能登入受害者的 Google Ads 帳號,盜用廣告預算,甚至可能用這些資源進一步推廣惡意活動。
波及全球與知名企業
此次攻擊不僅影響一般廣告主,甚至波及台灣知名電子公司,顯示整個數位廣告生態系統的脆弱性。
建議
啟用雙重驗證(2FA)
為您的 Google 帳號添加額外的安全層,即使密碼洩露,攻擊者也無法輕易登入。
避免直接點擊搜尋結果中的廣告
當需要登入 Google Ads 時,務必直接輸入 ads.google.com 網址,不要透過搜尋或點擊廣告進入。
定期檢查廣告帳號活動
隨時檢查您的 Google Ads 帳號是否有異常活動,例如不明的廣告支出或變更。
提高釣魚辨識能力
留意登入頁面的網址是否正確,偽造網站的域名往往只有細微差異,例如拼寫錯誤或額外的字母。
資料來源:
資安事件、資安漏洞
上週發佈了一個警告,指出 Fortinet FortiGate 防火牆 存在一個名為 CVE-2024-55591 的嚴重安全漏洞。該漏洞影響廣泛,但令人擔憂的是,仍有超過 48,000 台 FortiGate 防火牆 暴露在互聯網上,未進行修補或防護,這使它們極易成為攻擊目標。
漏洞背景
這個漏洞早在今年 1 月已被公開,且官方已提供修補程式和解決方案。然而,許多企業和組織尚未採取必要措施修復,導致這些設備持續面臨被攻擊的風險。攻擊者可以利用這個漏洞對設備進行惡意操作,包括:
掃描設備漏洞。
利用漏洞獲取管理權限。
創建或劫持管理帳戶。
進一步在內部網路進行橫向移動(擴大攻擊範圍)。
根據 Arctic Wolf Labs 和 Kroll 的調查,攻擊者已經針對這些防火牆展開多次攻擊活動,對企業網路造成潛在威脅。
建議
為避免受到攻擊,建議使用 FortiGate 防火牆的用戶採取以下措施:
立即更新設備的安全補丁:確保系統升級至最新版本,修復漏洞。
限制管理介面的存取:避免管理界面直接暴露在互聯網上,或將其移除以降低風險。
檢查是否有入侵跡象:檢視設備是否有異常登入或未授權的帳戶變更。
資料來源:
資安漏洞、惡意軟體
近期中國資安業者奇安信揭露了名為 Airashi 的殭屍網路及其變種的惡意活動。這種攻擊工具不僅僅是一般的 DDoS(分散式阻斷服務)攻擊工具,而是一個更複雜且有組織的犯罪手段。
攻擊方式
利用設備漏洞感染
Airashi 利用了 cnPilot 路由器 的「零日漏洞」(指未被公開或修補的漏洞),讓攻擊者可以遠端控制這些設備,並將它們加入殭屍網路。
升級為代理服務
除了發動 DDoS 攻擊,Airashi 還能將受感染的設備升級為非法的 代理伺服器,提供攻擊者用於隱藏自身行蹤或發動其他網路犯罪。
加密通信
為了掩蓋與控制伺服器(C2)的通信,Airashi 使用了多種先進的加密技術,例如:
RC4
HMAC-SHA256
ChaCha20這些加密手段讓追蹤攻擊者的行為變得更加困難。
多IP分散設計
Airashi 使用了接近 60 個分散的 IP 位址,這讓整個殭屍網路變得更加穩定且難以被摧毀。
建議
更新設備韌體:立即檢查路由器等網路設備,確保其韌體已更新到最新版本,修復已知漏洞。
強化網路安全設置:限制不必要的網路存取,並關閉未使用的管理功能。
監控設備異常:定期檢查網路設備是否有異常活動,例如流量激增或未知 IP 的連線請求。
Airashi 已不只是單純的 DDoS 攻擊工具,而是一種具備多功能的網路犯罪平台。透過強化設備安全和定期更新,可以有效降低成為受害者的風險。
資料來源:
תגובות