资安一周第128期：骇客锁定台湾公部门及学术机构发动钓鱼信攻击。新西兰央行遭骇，业务资料与个资恐遭存取

1.7-1.13 一定要看的资安新闻

 

＃网络钓鱼

骇客锁定台湾公部门、研究机构、大学发动钓鱼信攻击

趋势科技公开自2019年5月出现的网络钓鱼攻击行动，这些骇客锁定的目标，包含了台湾的-组织、研究机构，以及大学。再者，声援图博、维吾尔族，以及香港的人士，也是这起事件被锁定的目标。不过，对于受害者的人数，该公司没有说明。

这些骇客的手法相当特殊，借由钓鱼邮件让受害者上钩之后，他们不仅透过受害者的邮件签名档，对他人发动XSS攻击横向感染，同时还窃取信箱内容，以及登入电子邮件信箱的凭证，或是连线阶段（Session）的金钥等。该公司指出，这样的攻击手法，过往没有骇客如此做过，他们将发动攻击的骇客组织命名为Earth Wendigo。详全文

图片来源：趋势科技

 

＃资料外泄

新西兰央行遭骇，业务资料与个资可能遭存取

新西兰储备银行1月10日公告遭骇，该行用来分享和储存部分敏感资讯的第三方档案分享服务，遭不明人士非法存取，可能导致重要的业务及个资曝光。

该国中央银行行长Adrian Orr 指出，不法活动已经被切断，受影响的系统亦下线，目前正在配合资安厂商及主管机关进行调查。调查团队正在评估被骇客存取的资讯范围和种类，但可能包含一些商业及个人敏感资讯。详全文

 

＃资料外泄

联合国惊传Git储存库泄露10万笔员工出差记录

资安研究团队Sakura Samurai近日揭露联合国的资安漏洞，因端点电脑曝露一些Git账号与密码，使得他们取得该单位的Git储存库，当中存放大量联合国员工个资，其中包含了近10万笔的员工出差记录，以及7千笔员工国籍统计资料、4千笔专案资金来源、283个专案评估报告。

除了上述员工资料，研究人员也在该单位旗下的环境规划署子网域，找到更多GitHub帐密，能下载原本受到密码保护的GitHub专案。详全文

 

＃资料外泄

网通设备业者Ubiquiti的云端系统遭未经授权存取，呼吁用户尽速变更密码

网通设备业者Ubiquiti于1月11日发出公告，指出他们建置于第三方云端服务供应商的资讯系统，遭到未经授权的存取，并建议使用者应立即更换密码，并启用双因素验证功能。

对于受害的范围，Ubiquiti表示尚不明朗，但他们没有发现用户账号资料被存取的迹象。至于云端服务业者名称、攻击事件发生时间，或者是攻击的路径等，该公司则没有进行说明。详全文

 

＃漏洞揭露

Google Ads漏洞恐使恶意人士撷取YouTube用户私人影片

白帽骇客David Schütz公开在2019年发现的漏洞，该漏洞可让攻击者透过广告服务Google Ads，逐个影格偷走YouTube私人影片。Google确认该漏洞存在并且已经完成修复，并发送5千美元给这名白帽骇客。详全文

 

＃资料外泄

Vodafone子公司被骇，用户个资及SIM卡资料出现在骇客论坛

Vodafone旗下的意大利电信公司ho.Mobile，于1月5日公告该公司2020年底遭骇，导致用户个资与SIM卡资料被窃取。此起事件引起许多媒体揭露进一步的资讯，根据意大利媒体Italy24news的报导，攻击行动可能从2020年5月就发生，且持续了5天。

而资安研究人士Bank Security发现，疑似ho.Mobile遭窃的资料在12月28日在网络论坛遭到兜售，亦有其他资安人员证实骇客提供的资料真实性，ho.Moible表示，他们已经通知资料外泄的用户，并提供用户免费更换SIM卡的服务。详全文

图片来源：Bank Security

 

＃资料外泄 

川普支持者暴动事件曝露美国国会资安威胁

百名川普支持者于1月7日冲进美国国会大厦，国会议员仓皇离开。记者发现众议院议长Nancy Pelosi的电脑没有登出，而参议员Jeff Merkley表示他的笔电不见了，这种情况很可能导致国会的重要资料外泄，而引发外界关注。

由于在美国国会存取机密文件，必须在指定区域进行，上述2名官员的电脑理应没有存放机密文件，但新闻网站Ars Technica认为，数千名在国会大厦工作人士的电脑，难保没有重要的资料。详全文

图片来源：Ars Technica

 

＃勒索软件攻击

FBI警告Egregor勒索软件来袭

美国联邦调查局（FBI）于1月7日发出公告，要企业当心勒索软件Egregor，正在互联网扩散以入侵企业网络。该单位指出，从2020年9月首度观测到Egregor以来，全球已经有超过150家企业遭到Egregor攻击。

FBI要求，假如企业遭到Egregor攻击，不论支付赎金与否，都务必通报警方。而在预防措施的部分，他们认为企业应该限制远端桌面连线（RDP）的存取权限，并检查公司网络上是否有可疑的BAT、DLL、LOG档案，或是对外连线程式等。详全文

 

＃供应链攻击

美国指控SolarWinds供应链攻击疑似俄国发起，自动化开发软件卷入其中

针对在2020年12月爆发的SolarWinds供应链攻击事件，美国-于1月5日发布调查报告，指出攻击来源可能源自俄罗斯。随后纽约时报与华尔街日报报导，消息人士指出，承办此案的调查官员怀疑，骇客透过SolarWinds采用的自动化开发平台TeamCity，在SolarWinds Orion植入后门程式，进而引发此起攻击事件。

这样的传闻随即遭到推出该开发工具的JetBrains否认，该公司首席执行官Maxim Shafirov引述SolarWinds发言人的说明，表示经过检查，TeamCity与攻击事件无关。详全文

 

＃网络诈骗

刑事局公布前5名网购高风险卖场，Momo购物网居冠

针对国内网络购物诈骗横行的情况，刑事警察局于1月11日公布2020年前5大高风险卖场名单，分别是Momo、小三美日、读册生活、486团购网，以及Hito本铺。其中该单位全年受理冒名Momo客服的诈骗案件，共有383件最为严重。

刑事警察局指出，这类诈骗手法的共通点，皆为歹徒假冒网络购物商城之客服，以工作人员操作错误导致误设分期付款、重复扣款等理由，要求客户操作ATM、购买游戏点数、或使用网络银行与App来解除设定等。该单位指出，电商业者因个资外泄仍需负损害赔偿责任，他们也促请高风险电商落实资安防护。详全文

 

 

更多资安动态

●Zend Framework 3.0含有远端程式执行漏洞
●合勤网通设备与防火墙高权限帐密，传出被骇客滥用的攻击行动
●因SolarWinds事件波及，美国司法部坦承部分电子邮件遭非法存取
●红帽准备买下容器安全平台StackRox