防毒軟件公司 ESET 最新發現，一班被稱為 FamousSparrow 的 APT 網絡犯罪集團正在大肆利用已知漏洞，入侵全球各地政府部門、國際機構、酒店、工程公司及法律事務處。所利用的已知漏洞包括 SharePoint、Oracle Opera、Microsoft Exchange 等伺服器服務。唯一解決方法，就是盡快安裝系統更新檔。 APT 全名為 Advanced Persistent Threat，是一種專門以收集情報為目標的網絡犯罪組織，這些組織大都有國家支援，因此賺錢並非他們的主要目標。為減少被受害企業或機構發現的機會，APT 攻擊一向以隱密性為優先，因此經常瞄準目標對象 IT 系統上存在的已知漏洞發動攻擊，以避過網絡防護工具的偵測。另外，他們亦不會長期存在於受感染的電腦設備內，只會於運作期間靜靜地將機密資料斬件外傳，或將資料藏在圖像內外傳，盡量不會出現可疑的網絡活動。 今次被…

勒索軟件集團 REvil 在 7 月高調宣布成功攻擊 IT 管理公司後，突然一日消失得無影無蹤，當外界以為他們已被執法機關搗破後，近日 REvil 又再度出現，而且破解 REvil 的工具亦在近日釋出，究竟背後發生何事？ 如果有跟進勒索軟件集團 REvil 的動向，相信近來都會感到謎團重重，因為 REvil 在 7 月中曾神秘消失，當時外界均估計與他們高調宣布成功入侵 IT 管理工具公司…

打機為輕鬆，但亦會有資料外洩的危機！研發 Android 遊戲應用程式的中國開發商 EskyFun，因使用不安全的伺服器，致使 134GB 用戶信息曝光，由其開發的遊戲包括：Rainbow Story: Fantasy MMORPG、Adventure Story、The Legend of the Three Kingdoms 和 Metamorph M。 由 Noam…

研究發現，71% 企業或機構曾在過去一年遭受商業電郵詐騙攻擊 (BEC)，而美國 FBI 在過去一年接獲的 19,369 求助中，計算中企業或機構的累計損失高達 18 億美元，屬 2020 年最昂貴的網絡攻擊。而要阻止 BEC，不能單靠電郵防護系統或員工，更重要是結合行政管制政策，全方位堵塞漏洞出現。 商業電郵詐騙攻擊 (Business Email Compromise) 的攻擊手法大致可分為三類，分別是假扮寄件人，或盜用帳戶進行各種詐騙手段，例如轉帳金錢、開啟釣魚網站連結或打開惡意軟件。BEC 相較一般釣魚電郵的不同之處在於它並非漁翁撒網，而是有目標地攻擊企業或機構內的職員。為了假扮成公司內的高層或員工，BEC 罪犯通常會潛伏在內部網絡或電郵系統內一段較長時間，以了解內部架構、生意夥伴的合作業務等情報，甚至偽裝目標的慣常用字，提高詐騙電郵的成功率。以涉及金錢轉帳的騙案為例，日本媒體 Nikkei…

正所謂「敵暗我明」，敵人暗中在策劃的行動難以預計，但即便如此，在明的調查一方也不可能公開地表明：「我懷疑緊你同查緊你！」不過最近一名研究人員竟然發現， FBI 恐怖分子篩查中心（Terrorist Screening Center, TSC）的數據緩存，可在沒有密碼或身份驗證的情況下讀取！ 該名研究人員透露，早前發現了一個聯邦恐怖分子觀察名單，內含 190 萬條紀錄，這些紀錄可在沒有任何安全保護措施下直接在線上獲取，而國土安全部 (Department of Homeland Security, DHS) 在獲悉事故後，有關數據仍然持續在網上暴露了足足三周的時間。 Comparitech 的安全研究主管 Volodymyr Diachenko 在…

雖然勒索軟件、木馬程式佔據了網絡安全新聞的頭條，不過，超過 90% 網絡攻擊都是由釣魚電郵發動，因此企業了解電子郵件威脅的趨勢仍是最重要的工作，因為每一封繞過電郵防護系統進入的釣魚電郵，都有可能導致嚴重的數據外洩事故，造成無法估計的損失。 釣魚電郵中最常見的攻擊方法是騙取帳戶登入資料，因為黑客毋須於電郵中放入惡意軟件，只須引誘受害者到虛假網頁填交資料，因而通過電郵防護系統的機會更大，而這種攻擊主要依賴員工的網絡安全意識高低，去識別是否陷阱。除此之外，電郵防護系統的攔截功能主要建基於已知的攻擊手法、有問題的伺服器位址等，所以未能對付新的攻擊手法，必須借助人類的知識，根據收集到的安全威脅情報去預測攻擊趨勢，因此單憑電郵防護系統是無法完全阻止釣魚電郵攻擊。 在電郵安全領域上，被阻截的惡意電郵數量並不能真正反映系統是否成功，衡量標準應該落在通過安全關卡後的釣魚電郵，是否能夠在演變成數據外洩事故前被迅速偵測出來。不過，電郵防護服務供應商並不傾向分享這些數據，在商言商，這種做法完全合理，因為分享系統無法第一時間攔截的數據對他們並沒有益處，反而有可能影響客戶的信任，而且公開後便需要快速修補問題，以彌補放入釣魚電郵的漏洞。 換一個角度說，防護工具的攔截方法始終有迹可循，黑客可通過嘗試調整攻擊策略，以成功讓釣魚電郵進入正常郵箱；不過，黑客難以估計員工的識別標準，可通過防護系統並不等於可成功騙取員工。既然沒有任何防護系統可 100% 阻止網絡攻擊，而企業亦無法單靠人力處理數以千計的安全警報或完全識別惡意電郵，關鍵便在於如何結合雙方，真正推動電郵安全水平。 企業平常必須為員工進行安全意識培訓，而對於安全意識經理來說，模擬攻擊必須接近真實的威脅，即因應當時的社會狀況、潮流、時間，作為模擬攻擊的主題。安全意識經理應與和 SOC 安全運作中心齊心協力設計模擬，以密切模仿針對特定行業的最新威脅。 關於如何模擬電郵攻擊及處理未能通過模擬安全測試的員工，企業亦須特別注意，警告或懲罰只會顯著下降員工的士氣，而且即使員工不慎中招，也不應嚴厲責罵，以免令他們日後不敢上報，反而令作業環境變得更不安全。 資料來源：https://bit.ly/3rXtIs6

企業依賴不同網絡安全服務供應商維護，但黑客攻擊一樣都有服務提供！犯罪即服務 (Crime-as-a-Service, CaaS) 是有經驗的網絡犯罪分子，出售對執行網絡犯罪所需的工具和知識，並多見於發動網絡釣魚攻擊。CaaS 可謂是令人人都可以成為攻擊者的途徑！ 對於黑客來說，利用網絡釣魚手法，是竊取組織的數據最簡單方法之一，但一般而言，成功發起網絡釣魚活動的網絡攻擊者，需具備技術和社交工程知識相關經驗。但隨 CaaS 的出現，幾乎任何人都可以通過支付些微費用，搖身一變成為網絡釣魚高手。 CaaS 服務供應商會向業餘攻擊者，提供讓他們能自己成功發動網絡釣魚攻擊所需的一切，包括詳盡的攻擊目標列表、電郵模板等。攻擊者甚至可以支付存取已被入侵的伺服器，以更容易隱藏痕迹，在入侵時的障礙減少，將令網絡釣魚攻擊變得更易，對被針對的目標組織來說將會是很大的難題。CaaS 令網絡釣魚成為一種對網絡犯罪分子而言，更具吸引力的攻擊方法，因為它更易存取資料，兼且勞動力低。當攻擊者可使用現成的網絡釣魚攻擊，來攻擊目標機構的安全漏洞時，就不需花費數月時間尋找漏洞，更可令網絡釣魚活動更容易擴展，換言之犯罪分子執行攻擊所需的時間和精力將減少。 CaaS 具有可下載的模板，令缺乏相關知識的攻擊者同樣可發動攻擊，提升釣魚電郵成功進入企業員工的電郵信箱的機會，例如內容加密、隱藏附件中的 URL 來逃避檢測。由於攻擊者能夠執行大量技術複雜的攻擊，因此對組織的威脅是顯而易見的。最令人企業擔憂的是，這些釣魚活動易於執行且非常有效。 由於使用 CaaS 工具執行的網絡釣魚攻擊大多針對員工，付企業及組織更難解決問題。他們使用社交工程策略來欺騙終端用戶，大多是透過欺騙信任和緊迫性的手段。他們可以使用公開的情報，例如從公司網站、社交媒體資料和過去的數據洩露中收集數據，以製作可信的魚叉式網絡釣魚活動。 在 CaaS…

再有調查發現，愈來愈多黑客利用開源 Python 套件倉庫例如 PyPl 作為散播惡意軟件的工具，所使用的手法包括串字錯誤 (typosquatting)、依賴混淆 (dependency confustion) 或社交工程 (social engineering)，開發者如果隨便下載有問題的套件使用，廣大客戶將會受牽連！ 供應鏈攻擊 (supply chain attack) 是近年黑客愛用的其中一種網絡入侵方法，因為黑客只須入侵開發者的上游服務供應商，之後就可以感染其客戶及用家，性價比極高。供應鏈攻擊可以分兩種類，一種是非法入侵官方伺服器，利用其服務的漏洞發動攻擊，或將惡意軟件替換成官方的更新檔，借助自動更新功能大規模感染下游客戶的電腦設備；另一種則毋須入侵，黑客可以將惡意軟件偽裝成存放於開享資料庫上的共享套件，再靜候獵物上釣，而今次由 JFrog 網絡安全研究員發現的情況就屬於後者。 專家解釋，開源資料庫一般缺乏自動化安全控制功能，未有詳細驗證用家上載的共享檔案是否含有惡意功能，因此如應用服務開發者未有對共享檔案進行安全檢測就使用，便有可能直接將惡意功能引入自家的軟件中，推出後便有很大影響。JFrog 便在知名…

香港互聯網註冊管理有限公司（HKIRC）舉行「網絡安全青年計劃2021頒獎禮」，活動為 HKIRC 首次舉辦的全新活動，冀加強年青網絡安全的認知和知識，並由資訊科技教育領袖協會 (AiTLE) 擔任協辦機構，及獲政府資訊科技總監辦公室支持。計劃共有來自超過 56 間中學、逾 100 名學生，參與為期 4 天的免費網絡安全課程，內容涵蓋網絡攻擊及防禦培訓、伺服器漏洞、系統基礎及攻擊鏈等，在完成課程後，同學進行了一場網絡安全比賽，把所學到的知識應用其中。 香港互聯網註冊管理有限公司行政總裁黃家偉表示，在為期 4 天的課程中，除了教授基本的網絡和安全知識外，亦透過互動的學習環境，讓學生進行網絡滲透測試、識別網絡漏洞等，盼參與學生在完成計劃後，能提升他們對網絡安全的意識和興趣。他亦感謝學界對活動的支持和參與。 因應互聯網和電子商貿發展趨勢，網絡安全對企業和機構的重要性不容忽視，各類型的網絡威脅如勒索病毒、新型攻擊工具、惡意軟件等，也日漸普遍，故此全球對網絡安全人材需要殷切。外國有報告顯示，全球共有超過 300 萬個網絡安全職位空缺有待招聘，因此 HKIRC 希望透過計劃增加參與學生對日後從事網絡安全工作的興趣。 黃續指，HKIRC…

漏洞是黑客經常入侵的途徑，這個缺口一日不修補，仍然讓企業處於危險當中。雲端安全解決方案供應商 Barracuda 表示，在過去兩個月內，其安全防護系統阻截到的自動化掃描和攻擊，由每天數十萬次激增至數百萬次，當中更有每天數千個掃描是針對最近修補的 Microsoft 和 VMware 漏洞。 今年年初，全球數以萬計的電腦受到針對 Microsoft Exchange 電子郵件伺服器漏洞的攻擊影響，包括至少 30,000 個美國地方政府和跨國企業等組織的系統。這個名為 Hafnium 的漏洞於 2021 年 3 月被首次披露，透過 Exchange 伺服器中存在的伺服器端請求偽造 (SSRF) 漏洞，攻擊者能發送 HTTP 請求並向 Exchange 伺服器進行身份認證。從公開的資料可得知，Hafnium 能用作識別易受攻擊的系統，而其餘漏洞似乎與該漏洞有關連，包括將 web shell 放入被利用的系統中，以獲得存取權限作進一步的利用。 Barracuda 亞太區副總裁 James Forbes-May 指，軟件漏洞在修補程式和緩解措施發布後的一段長時間內，仍可被繼續掃描和利用。因為作為黑客知道防禦者不一定有時間或能力，隨時安裝最新的修補程式，變相提供一種輕鬆入侵網絡的方法。 攻擊者周末暫停攻擊 或因難隱藏易觸發警報 Barracuda 的研究人員透過分析攻擊模式，發現大多數攻擊者即使是執行自動化的攻擊，亦會在周末暫停攻擊。早前 Barracuda 亦發現機械人 (Bot) 會按照工作日來執行攻擊，原因可能是因為在工作日發動的攻擊，可更容易地隱藏在其他正常的工作中， 而在週末時向使用率較低的系統發動攻擊，更容易觸發警報。 就攻擊類型而言，以往 WordPress 是應用程式漏洞攻擊中的熱門目標。一般情況下， SQL 資料隱碼攻擊是最常見的，其次是命令注入攻擊，然後是其他類型的攻擊。 然而，今次研究發現命令注入攻擊最多，Barracuda 發現大量針對 Windows 的命令注入攻擊嘗試。 這些攻擊在 6 月的兩週內達到頂峰，然後又回落到正常的流量水平。 未修補軟件漏洞成目標 籲用 WAF-as-a-Service 或 WAAP 方案…