Browsing: Mandiant

    多重因素驗證 (MFA) 原本是用來加強登入帳戶的安全性,減少因帳戶名稱及密碼外洩,導致黑客可以直接登入帳戶的風險。不過,網絡安全公司 Mandiant 最近一份調查報告便發現,俄羅斯國家級黑客集團 Cozy Bear (又稱為 APT29) 就利用了 Microsoft 帳戶容許用家自行登記 MFA 驗證裝置的漏洞,暗中將「休眠」帳戶據為己用,然後進入企業的內部網絡刺探機密。 專家解釋,企業 IT 管理員會因為各種原因,預先開設一些帳戶供日後使用。不過,Cozy Bear不知道由什麼渠道得知這些休眠帳戶,或可能從地下討論區買到休眠帳戶,而且又以預設密碼或暴力破解密碼方式,順利登入帳戶,讓他們可以進行下一步的惡意活動。專家說黑客首先為帳戶申請 Microsoft Azure…

    黑客集團為求成功攻擊目標會出盡法寶,Group-IB 安全研究員早前便捕捉到中國黑客集團 APT41 (又稱 Winnti),在去年攻擊的 80 間機構中,至少成功入侵 13 間。採用的其中一個迂迴手法是將 Cobalt Strike 斬件為 154 份再加密,然後細水長流式導入目標電腦設備,非常有耐性。 Group-IB 安全研究員長時間追蹤中國國家級黑客集團 APT41 的活動,並指出過去一年是中國黑客異常活躍的一年。研究員說 APT41 主要的攻擊目標包括美國的軟件開發商及醫療機構、印度的航空公司、台灣政府機構、製造業及傳媒等,當中連國內的軟件代理亦不放過。而為了令攻擊可以更順利實行,APT41…

    Mandiant 網絡安全研究員發現一個全新的 APT 黑客組織 UNC3524,根據他們的入侵行為,研究員相信這班黑客組織主要瞄準企業內部負責合併或收購的員工。研究員指出 UNC3524 的入侵技術相當高明,甚至可持續滲透在受害企業內部網絡 18 個月,而未被任何安全工具發現! APT (Advanced Persistent Threat, 先進持續威脅) 不同於其他黑客集團,他們大多受國家資助,因此入侵的目的並非為錢 (雖然間中有 APT 集團會在入侵後順道執行勒索軟件),而是為國家收集機密情報。由於有政治目的,因此他們的入侵手法以隱密性為優先,以減少被網絡安全工具發現。UNC3524 的入侵行為,便正正符合這些特徵,但因為集團所採用的惡意軟件亦屬新發現,因此 Mandiant 研究員暫時仍未能找出他們背後的支持者或與其他…

    企業遭受黑客入侵,為了確保外洩數據繼續被出售,都會採用不同方式解決問題。有外媒從最近美國法庭釋出的文件,推斷去年電訊商 T-Mobile 在發生安全事故後的處理手法,顯示即使受害者僱用專家阻止數據外洩,在付出約 20 萬美元後依然無效,始終在源頭阻截入侵,才是最有效的網絡防禦法。 外國科技網站 Motherboard 早前根據多份解封的法庭文件,重組一宗發生於去年的數據外洩案情。據文件所載,去年八月期間一個專門售賣個人私隱資料的地下網站 RaidForums 用家,在論壇上出售三千多萬筆私隱數據庫,雖然文件未有指名私隱資料來源,但就標註著資料原屬於美國一間主要電訊商。記者翻查資料推斷受害企業應為 T-Mobile,但對方一直未有對查詢作出回應。 法庭文件續透露受害電訊商曾委托第三方購買該資料庫,以免相關資料繼續流傳。受僱方於是假扮為 RaidForums 買家,先以五萬美元向對方購買資料樣本,確認資料屬實,便開價 15 萬美元買斷該資料庫,不過對方在收取合共 20 萬美元後,並未有守諾刪除資料且繼續出售,事件記錄亦到此為止。記者又再翻查資料,從去年 T-Mobile 回應數據外洩事故時的發言,推斷第三方公司應是最近剛被…

    由於遙距工作的需要,VPN 在疫情期間突然成為企業熱搜工具。不過,網絡安全專家指出企業加速引入 VPN,但 IT 員工卻未必熟悉它的運作,導致有漏洞而未能發現。最重要是黑客已看透了這情況,因而爭相利用漏洞入侵。 新冠疫情下不少企業加速數碼轉型步伐,特別是為了讓員工可以在家工作,因此急就章引入各種遙距工作應用服務,以及架設虛擬私人網絡 (VPN),加強遠端網絡連線安全性,一心以為可以減少數據外洩風險。不過,網絡安全公司 Mandiant 的事故回應顧問 Bart Vanautgaerden 在歐洲舉辦的 Black Hat 座談會上,就指出這些公司的 IT 員工雖然熟悉 Windows 系統的防護,但對 VPN…