網絡安全公司Sophos發現，勒索軟件集團 BlackByte 採用了名為自帶內建驅動程式 ( Bring Your Own Driver ) 的新入侵手段，可無效化主流網絡安全工具所使用的過千驅動程式，而入侵的缺口，竟是 2019 年被發現的 MSI Afterburner 繪圖晶片驅動程式漏洞。 近來使用類似方法入侵的黑客集團有上升趨勢，當中包括 Lazarus 濫用 Dell 驅動程式及未知黑客濫用電腦遊戲《原神》反作弊驅動程式的安全漏洞。專家解釋，上述兩個個案的驅動程式因允許非管理員帳戶存取作業系統核心記憶體數據，因而可讓黑客覆寫程式碼或遙距執行指令，提升帳戶權限，繼而無效化電腦內網絡安全工具的偵測，令黑客可潛伏電腦內盜取數據，又或進一步引入其他惡意軟件。由於開發這些驅動程式的供應商有合法的驗證書，因此雖然違反了…

勒索軟件盛行，成為世界各地機構面臨的最大網絡威脅之一，除了會令數據洩露、盜取外，甚至導致服務中斷。香港生產力促進局引述數據顯示，去年全球勒索軟件攻擊數量按年急升 1.05 倍至 6.2 億次。而根據香港警方數據，今年上半年接獲逾萬宗網絡罪案，較去年升四成，損失金額涉及逾 15 億港元。 而 Microsoft 香港將於其年度「網絡安全研討會」分享網絡安全的趨勢及企業需知的解決方案。 然而，Microsoft 近日公佈第二期網絡威脅季度報告 Cyber Signals，揭示一項新趨勢 — 勒索軟件即服務（ransomware-as-a-service，RaaS），並成一種佔主導地位的攻擊模式。而 RaaS 更令勒索「產業化」，產生多個「專業」角色，如專責販賣網絡流量經紀；即使罪犯並不擁有任何數碼技術專長，均可部署勒索軟件。受到釣魚電子郵件攻擊後，約一小時就能讀取受害者個人資料。 RaaS 產生多個專業角色…

ACW 於上周五聯同 Veritas 及 ExaGrid 合辦網上研討會，介紹 Veritas 最新版本的 Backup Exec 如何聯同 ExaGrid 的安全架構及 Time-Lock 功能，去幫企業管理信息風險並增加面對勒索軟件時的彈性，同時確保數據完整性。 登記重溫是次網絡研討會：https://bit.ly/3xTBck6 （資料及圖片來自 ACW）

多重因素驗證 (MFA) 原本是用來加強登入帳戶的安全性，減少因帳戶名稱及密碼外洩，導致黑客可以直接登入帳戶的風險。不過，網絡安全公司 Mandiant 最近一份調查報告便發現，俄羅斯國家級黑客集團 Cozy Bear (又稱為 APT29) 就利用了 Microsoft 帳戶容許用家自行登記 MFA 驗證裝置的漏洞，暗中將「休眠」帳戶據為己用，然後進入企業的內部網絡刺探機密。 專家解釋，企業 IT 管理員會因為各種原因，預先開設一些帳戶供日後使用。不過，Cozy Bear不知道由什麼渠道得知這些休眠帳戶，或可能從地下討論區買到休眠帳戶，而且又以預設密碼或暴力破解密碼方式，順利登入帳戶，讓他們可以進行下一步的惡意活動。專家說黑客首先為帳戶申請 Microsoft Azure…

元宇宙虛擬現實的世代即將降臨，疫情催化下，各行企業必須採用新興科技，驅動數碼轉型及雲端部署，確保業務可持續性。加上混合辦公模式盛行，員工使用自己的裝置（BYOD）工作極爲普遍，令攻擊面大幅增加。企業必須提升整體應變能力，以應付多方面的網絡安全挑戰。香港電訊（HKT）擁有環球合作夥伴及本地專才，結合旗下的新世代網絡安全監控中心（Next-Generation Security Operations Center, NG SOC），提供全方位網絡安全服務方案及託管服務，協助企業在安全的網絡環境下迎接數碼轉型帶來的優勢，在瞬息萬變的營商環境下依然迎難而上，保持競爭力。 嶄新託管服務 網絡防禦至全面 當數碼轉型成爲企業的首要任務時，其衍生的網絡威脅如釣魚電郵、勒索軟件、端點攻擊等亦成為企業的最大挑戰。香港電訊商業客戶業務方案及市務主管吳家隆（Steve Ng）表示，「網絡安全環境日益嚴峻，企業亦面對網絡安全專才嚴重不足的局面。HKT 早已作出策略性部署，領先同儕成立 NG SOC，除了是本地領先的ICT數碼方案供應商，同時已發展為全方位網絡安全託管服務供應商（Managed Security Services Provider, MSSP），一直緊貼市場推出多元網絡安全方案，致力協助企業成功實現數碼轉型。」 HKT 的新世代網絡安全監控中心（NG SOC）擁有…

隨著疫情的變化，不少國家逐漸放寬入境措施。黑客又蠢蠢欲動，趁酒店業及旅遊業復甦之際發動釣魚活動。一名被追蹤並命名為 TA558 的黑客，今年更見活躍，專門針對酒店和旅遊業界相關的公司發動網絡釣魚活動。TA558 利用一組 15 個不同的惡意軟件系列作攻擊，通常是遠程訪問木馬 (remote access trojans, RAT)，來取得目標系統的存取權限、執行監視、竊取關鍵數據，並最終從客戶竊取資金。 TA558 至少從 2018 年開始就一直活躍，但 Proofpoint 發現，TA558 最近變得更活躍，並與這兩年多因 COVID-19 疫情，而遭限制、最近又開始反彈的旅遊業有關。2022 年，TA558…

數據洩露經常發生，幾乎每天都聽到相關事故。無論是甚麼行業、部門、地方，受害組織的規模從小型企業，至國際大企業都不能倖免。IBM 估計，2021 年美國公司的數據洩露平均成本為 424 萬美元，當涉及遙距工作，損失平均更增加了 107 萬美元。這篇文章將講解如何檢查自己的資料有否遭外洩及數據外洩的風險等問題。 企業遭遇數據外洩事故，其成本可包括以數百萬美元修復受損系統、執行網絡取證、改善防禦和支付法律費用，還涉及受數據洩露影響的個人客戶流失所致的損失。對於個人而言，損失可能就會變得個人化，損失或可能是工資、儲蓄和投資資金。 數據洩露是如何發生的？ 根據 IBM，網絡攻擊者闖入公司網絡的最常見的初始攻擊手段，多數是利用外洩的憑證，這種方法佔了 20%。這些憑據可能包括線上洩露的帳戶用戶名和密碼，可能在單獨的事故中被盜；或是從暴力攻擊獲得，例如以自動劇本嘗試不同的組合，來破解易於猜測的密碼。 其他潛在的攻擊方法包括： Magecart 攻擊：British Airways 和 Ticketmaster 等公司都曾遇過這些攻擊，即惡意代碼被悄悄加入電子支付頁面，以偷取信用卡資料。 在網站…

DDoS 是繼勒索軟件後另一令企業頭痛的網絡攻擊，而在上星期內容傳遞網絡服務供應商 Cloudflare 便發表報告，指在剛過去的六月，一款新的 DDoS 惡意軟件 Mantis 共向其一千過客戶發動攻擊，每秒鐘 HTTP 訪問請求的峰值更高達 2600 萬次，刷新相關 DDoS 攻擊的新紀錄！ 分散式阻斷服務 (DDoS, Distributed Denial of Service)…

釣魚電郵的詐騙手段經常轉變，大多數網絡釣魚活動，黑客都在電郵中加入了指向虛假登入頁面的連結，藉以竊取登入憑證，或在電郵中包含惡意附件，欺騙受害人安裝惡意軟件。但最近有黑客冒充知名網絡安全公司 CrowdStrike，發送網絡釣魚電子郵件，要求收件人回撥指定電話，並從中獲得對其公司網絡的存取權限。 BleepingComputer 的報道指，在過去一年威脅參與者愈來愈多地採用要求回撥的網絡釣魚活動，透過冒充知名公司，要求收件人撥打電話解決問題、取消續訂或討論其他問題。當目標撥打電話號碼時，威脅參與者透過社交工程方法，說服用戶在他們的設備上安裝遙距訪問軟件，從而提供對公司網絡的初始存取權限，再破壞整個 Windows Domain。 一個最新的回撥網絡釣魚活動中，黑客冒充 CrowdStrike 並警告收件人，惡意網絡入侵者已經破壞了他們的工作站，並需作深入的安全調查。這些回撥網絡釣魚活動專注於社交工程，詳盡解釋為什麼收件人需授權他們存取其設備。其電郵提到：「在日常網絡檢查中，我們發現了與你的工作站所屬的網絡有異常活動。我們已確定管理網絡的特定網域管理員，並懷疑可能會影響該網絡中的所有工作站的潛在危害。我們已與您的資訊安全部門聯繫，但為了解決工作站的潛在危害，他們將我們轉介給這些工作站的個別操作員。」 在電郵的尾聲會要求收件人致電隨附的電話號碼，以安排對其工作站的安全審查。如果收件人真的回撥電話，黑客將指導他們安裝遙距管理工具 (RAT)，藉以完全控制其工作站，使他們能夠通過網絡橫向傳播、竊取公司數據，並可能部署勒索軟件以加密設備。 在 CrowdStrike 的一份報告中，該公司認為這些釣魚活動最終會導致勒索軟件攻擊，並警告指，這是第一個識別出的冒充網絡安全實體的回撥活動，鑑於網絡入侵常出現及具危機，致使該活動具有更高的潛在成功率。CrowdStrike 又指出，在 2022 年 3 月，其分析師發現了一次類似的活動，其中威脅參與者使用 AteraRMM…

黑客為求避過網絡安全工具的偵測，近年喜歡使用滲透測試工具如 Cobalt Strike 等，安裝於目標企業的內部網絡，令各種惡意網絡活動如竊取機密資料、安裝勒索軟件等變得「合法」。Palo Alto Unit 42 安全專家近來便捕捉到有黑客轉用新工具 Brute Ratel，成功避過五十多種安全工具的攔截，企業的 IT 管理員不可不防。 早在去年中，網絡安全業界已發現愈來愈多黑客集團利用 Cobalt Strike 等合法工具執行惡意活動，他們首先會誘使目標企業的員工打開惡意檔案，或直接在黑市購買企業的外洩員工帳戶，然後在內部網絡偷偷安裝 Cobalt Strike 用於連結受感染電腦與 C&C…