2021/06/21

主旨:

留意實聯制QR Code詐騙，發送簡訊前須確認正確的傳送對象

說明:

因疫情升溫，指揮中心宣布疫情警戒至第三級，民眾外出到公共場所需進行實聯制登記。因此行政院也推出簡訊實聯制，民眾免填個資，只需掃描QR Code並傳送簡訊至1922，即可記錄足跡。

店家張貼於店外的簡訊實聯制QR Code，有遭有心人士隨意更換成惡意連結的風險，使民眾連結至釣魚網頁或傳送簡訊到高額付費號碼，以騙取個資或錢財。

警政署也於165全民防騙粉絲專業提醒以下注意事項：

為防止張貼於店外的QR Code遭有心人士更換，建議店家務必要不定期進行檢查，以確認連結的正確性。
建議店家於非營業時間，將QR Code實聯制公告收入店內保管。
民眾在傳送簡訊時也需注意，傳訊的對象應確認為「1922」再傳送。

資料來源：https://www.twcert.org.tw/tw/cp-15-4785-ed0e8-1.html

2021/06/21

主旨:

近來發生最新的加密貨幣詐騙手法，駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者，藉以竊取加密貨幣。

說明:

近來發生最新的加密貨幣詐騙手法，駭侵者寄送假冒的硬體加密貨幣錢包替換品給受害者，藉以竊取加密貨幣。

遭到駭侵者假冒的硬體加密貨幣錢包，是由 Ledger 公司推出的「Ledger Nano X」；駭侵者透過包裹寄送假冒的 Ledger 硬體錢包給受害者，在内附上文筆拙劣的通知信，假稱「由於資安理由，特別寄送全新加密貨幣錢包硬體」，要求用戶透過說明書的指示來轉移存在原硬體錢包中的加密貨幣到「新錢包」中。

駭侵者取得的受害者名單，是先前遭不明駭侵者自 Ledger 公司取得的，並在 2020 年 12 月遭人張貼於某駭侵相關論壇；名單中一共有 272,853 名 Ledger 硬體錢包的用戶資料。

在 Reddit 論壇上，有收到假冒 Ledger 硬體錢包的用戶，將其收到的假冒硬體錢包拆開，並與真正的 Ledger 錢包硬體電路相互比對，可以發現電路布局與使用的元件略有不同；資安專家分析該照片後指出，該假冒硬體錢包，就電路來看，似乎有一個架構在 Ledger 上的 USB 隨身碟，可能用以在用戶電腦上植入惡意程式碼。

在用戶收到的「轉移指南」中，要求用戶輸入當初設定的復原短詞；一旦用戶照實輸入，這些復原短詞立即會被傳送給駭侵者，即可用以竊取用戶存入的所有加密貨幣。

Ledger 公司表示，已經掌握此類駭侵攻擊的情報；該公司呼籲用戶提高警覺，在任何情況下都不應分享復原短詞給任何人，或是在不明的軟體中輸入這些復原短詞。

資料來源：https://www.twcert.org.tw/tw/cp-104-4807-75a74-1.html

2021/06/17

主旨:

卡巴斯基推測PuzzleMaker組織利用Google與微軟進行漏洞修補的空窗期，搶先一步掌握漏洞資訊鎖定多家企業發動攻擊

說明:

資安業者卡巴斯基（Kaspersky）周二（6/8）揭露了PuzzleMaker駭客集團在今年4月15日及16日所進行的攻擊行動，指出PuzzleMaker串連了微軟與Google Chrome的3個零時差漏洞，針對多家企業展開目標式攻擊。而Google已於4月修補了相關漏洞，微軟也已在本周二修補遭到PuzzleMaker開採的兩個漏洞。

根據卡巴斯基的調查，PuzzleMaker的所有攻擊都是藉由Chrome瀏覽器執行的，不過該團隊未能取得完整的攻擊程式，因此只能根據功能及時間來猜測PuzzleMaker所利用的Chrome零時差漏洞，是Google在今年4月20日藉由Chrome 90.0.4430.72所修補的CVE-2021-21224漏洞。

而PuzzleMaker所開採的其它兩個漏洞，則是微軟的CVE-2021-31955與CVE-2021-31956。這兩個漏洞是微軟在本周修補的5個已被開採漏洞的其中兩個，CVE-2021-31955為Windows核心的資訊揭露漏洞，可外洩Windows核心記憶體中的內容，CVE-2021-31956則是存在於NTFS的權限擴張漏洞，成功的開採將允許駭客掌控系統。

參考資料：

微軟Patch Tuesday修補資訊（2021-06-09公告）：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

Google修補Chrome的CVE-2021-21224漏洞（2021-04-20公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

Google修補Chrome的CVE-2021-21220漏洞（2021-04-13公告）：https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop.html

資料來源：https://www.ithome.com.tw/news/144920

2021/06/18

主旨:

我國能源領域關鍵基礎設施資安事件防護資訊，請各會員參考並加強防範！

說明:

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202106-0176

近期於國內能源領域關鍵基礎設施發現惡意程式「SALTYGHOST」，為Gh0st RAT木馬程式之變種，針對此事件相關惡意程式分析報告與受駭偵測指標(Indicator of Compromise, IoC)資訊提供如附件，建議各會員應提高警覺，落實加強監控防護與異常連線阻擋，若於監控日誌發現相關異常連線或警示，應深入釐清事件原因與影響範圍，避免錯失調查時機。

附件「我國能源領域關鍵基礎設施之惡意程式分析」已上傳至教育機構資安通報平台，所有單位人員登入後，於「情資資料下載」可下載此份檔案，提供各單位參考。

解決方法：

1.部署黑名單於防護設備進行偵測，監控是否有資訊設備已遭入侵，網路位址與網域名稱黑名單如附件。

2.依「我國能源領域關鍵基礎設施之惡意程式分析」檔案中之惡意程式名稱與雜湊值，偵測系統是否存在相關惡意程式，若確認資訊設備已遭入侵，建議立即進行必要處理措施：
(1)針對受駭電腦進行資安事件應變處理。
(2)重新安裝作業系統，並更新作業系統及相關應用軟體。
(3)更換系統使用者密碼。

資料來源：https://cert.tanet.edu.tw/prog/showrpt.php?id=3628

2021/06/15

主旨:

VMware 5月底修補的軟體重大漏洞疑似發生開採行為

說明:

美國資訊安全暨基礎架構安全管理署（CISA）呼籲VMware vCenter Server以及VMware Cloud Foundation用戶儘速升級到最新版本軟體

安全廠商Bad Packet近日發現該公司搭載VMware伺服器管理軟體vCenter誘捕系統偵測到CVE-2021-21985的開採活動。活動來源是分別代管於香港、中國、新加坡及德國IP多台伺服器上的概念驗證程式。

遭到開採的CVE-2021-21985是VMware上個月底（5/25）才發出安全公告及修補程式漏洞之一（另一為CVE-2021-21986）。前者是一個遠端程式碼執行漏洞，出在預設開啟的vSphere用戶端軟體（Virtual SAN Check外掛程式）對輸入連線的驗證不足，讓可連上port 443的攻擊者在代管vCenter Server的主機OS上，以最高權限執行指令。

根據CVSS 3.1風險層級表，這項漏洞高達9.8，屬於重大風險。受影響的產品包括vCenter Server（6.5、6.7、7.0）及VMware Cloud Foundation（3.x、4.x）。

美國資訊安全暨基礎架構安全管理署（CISA）本周也發出公告，警告未修補的產品可能曝險，而讓攻擊者取得控制權，呼籲用戶儘速升級到最新版本軟體。

參考資料（如需詳細資訊請洽廠商）

影響VMware vCenter Server (vCenter Server)、VMware Cloud Foundation (Cloud Foundation)的CVE-2021-21985, CVE-2021-21986官方修補資訊（2021-05-25公告）：https://www.vmware.com/security/advisories/VMSA-2021-0010.html、https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

資料來源https://www.ithome.com.tw/news/144895