全部文章分享

      本文擷取自資安人

台灣是全球科技的重鎮，同時身處特殊的地緣政治，面臨日益升高的網路攻擊威脅，資訊安全已經不只是技術層面的挑戰，更是台灣穩健發展的關鍵。去年，Google 旗下的慈善機構 Google.org 捐助 1 百萬美金，支持資安院「NICS 台灣資安計畫」，就是希望培育資安講師、訓練更多台灣的資安人才，提升台灣的數位韌性；為了更進一步幫助台灣增加資安即戰力，我們決定今天加碼啟動「Google 台灣資安人才培育計畫」，透過和與數位發展部、資訊工業策進會（後簡稱資策會）和國立臺北科技大（後簡稱北科大）的合作，免費提供「Google 資安專業證書」（Google Cybersecurity Certificates，後簡稱 GCC）的課程給他們的目標學員，讓台灣加速培育出更多資安專家。
 
GCC 是由 Google 資訊安全專家設計、授課，內容涵蓋風險識別、網路與設備保護、資安事件應對、資安分析師必備的 Linux、SQL、Python 工具操作，以及職場溝通技巧等八大主題，總計 181 小時，包含影片、閱讀、小考及實務演練。課程的進度可彈性安排，在職學員大約需花 4 至 6 個月完成。課程還另外提供了職涯準備、職場溝通的訓練，讓參加的學員除了課堂知識外，也能取得實務操作經驗。「Google 台灣資安人才培育計畫」提供資策會（報名網頁）和北科大（報名表單）各 500 個免費帳號，招募學員參加 GCC 課程，目標是在明年底前培育出 2,000 名資安人才，其中資策會預計在今年底前培育 500 名、北科大預計在明年底前培育 1,500 名。目前在美國已經有超過 15 萬個人結業取得 GCC，而在美國市場，有超過 150 個各產業的企業，有意願聘用具有 GCC 資格的求職者。在亞太區則有超過 12 萬 5 千人結業結業取得證照，其中八成以上在職涯獲得了正面發展，例如：取得新工作機會、升職、或加薪。有了先前其他地區的成功案例，我們相信透過這次的 「Google 資安人才培育計畫」，台灣也能透過 GCC 的推廣，讓更多人才投入重要的資安工作。

在合作推動此次計劃的過程中，數位發展部產業署呂正華署長也跟我們分享他的想法：「Google 多年來在台灣推動事實查核和資訊安全的工作，都與數位發展部的目標一致；我們很高興數位發展部、資策會、國立臺北科技大學能與再次深化與 Google 的合作，結合政府、產業與學術的力量，共同支持台灣資安人才的培育。我們期望透過 『Google 資安人才培育計畫』，為台灣培育具備即戰力的資安人才，為台灣打造更安全的數位未來，讓台灣能更穩健地邁向亞洲矽谷的願景。」

Check Point  2023 年發表的《威脅情資與研究》指出，全球網路攻擊在 2022 年增加了 38%；而根據 Statista 2024 年的《全球網路犯罪的預估成本》，預計到 2028 年，網路犯罪在全球造成的損失將達到 13.82 兆美元。而根據  ISC2 2023 年的《資訊安全人力研究》統計，2023 年亞太地區有超過 10 萬人投入資安的工作，但仍缺少 267 萬人，凸顯網路安全專業人員的需求迫切。我們希望「 Google 資安人才培育計畫」，不但能為個人帶來職涯發展的契機，也會幫助台灣整提升資安防護、提高數位韌性，和台灣一起把握科技帶來的機會。

         本文擷取自資安人

Sophos 於6月6日發布了《紅宮行動：威脅捕獵揭露鎖定東南亞的多個中國國家支持的活動集團》報告，詳細介紹了一場針對高階政府目標且持續近兩年的高度複雜間諜活動。在 Sophos X-Ops 於 2023 年開始的調查中，旗下託管式偵測和回應 (MDR) 團隊發現了針對同一組織的三個不同活動集團，其中兩個集團使用的策略、技術和程序 (TTP) 與知名中國國家支持的組織 (BackdoorDiplomacy、APT15 和 APT41 子集團 Earth Longzhi) 重疊。

攻擊者在這個行動中使用了多種惡意軟體和工具，以收集特定使用者的情報以及敏感的政治、經濟和軍事資訊，Sophos 將其命名為「紅宮行動」(Crimson Palace)。其中包括一種前所未見的惡意軟體，Sophos 將其稱為PocoProxy，是一種持續滲透工具。

Sophos 威脅捕獵和威脅情報主管 Paul Jaramillo 表示：「這些不同的集團似乎在為中國國家的利益服務，專門收集中國在南中國海戰略的軍事和經濟情報。在這次特定的行動中，我們相信這三個集團代表了不同的攻擊組織，它們在中央國家機器的指導下平行運作。在我們識別的三個集團之一——Alpha 集團中，看到惡意軟體和 TTP 與其他四個被舉發的中國威脅組織重疊。眾所周知，中國攻擊者會共用基礎架構和工具，這次最新的行動再次提醒我們這些組織是如何廣泛地共享彼此的工具和技術。

「隨著西方政府提高了對來自中國的網路威脅的警覺性，Sophos 揭露的重疊現象是一個重要的提醒。過度關注任何單一歸咎於中國駭客的行為，可能會使企業忽略這些組織如何協調運作的趨勢。透過掌握更大、更廣泛的全貌，企業可以更聰明地進行防禦。」

Sophos X-Ops 在 2022 年 12 月首次發現鎖定企業網路的惡意活動，當時揭露了一個來自中國威脅組織 Mustang Panda 的資料外洩工具。此後，MDR 團隊開始進行更廣泛的惡意活動捕獵。在 2023 年 5 月，Sophos X-Ops 威脅捕獵時發現了一個有弱點的 VMWare 可執行檔，經過分析，發現了遭鎖定網路中的三個不同活動集團：Bravo 集團、Charlie 集團和 Alpha 集團。

Alpha 集團活躍於 2023 年 3 月初到至少 2023 年 8 月期間，其部署了多種惡意軟體，專注於停用防毒保護、提升權限和進行偵察。其中包括升級版的 EAGERBEE 惡意軟體，而這與中國威脅組織 REF5961 有關。Alpha 集團還使用了與中國威脅組織 BackdoorDiplomacy、APT15、Worok 和 TA428 重疊的 TTP 和惡意軟體。

Bravo 集團僅在遭鎖定網路中活躍了三週，專注於橫向移動，透過受害者網路來側載名為 CCoreDoor 的後門程式。這個後門程式會建立外部通訊路徑、執行探索操作並外洩憑證。
Charlie 集團則活躍於 2023 年 3 月到至少 2024 年 4 月期間，專注於間諜活動和資料外洩。包括部署 PocoProxy：一個偽裝為 Microsoft 可執行檔的持續滲透工具，並建立與攻擊者的指揮和控制基礎架構的通訊。Charlie 集團著重於外洩大量敏感資料，包括軍事和政治文件，以及進一步存取網路的憑證/權杖。Charlie 集團的 TTP 與中國威脅組織 Earth Longzhi (APT41 的一個子集團) 重疊。與 Alpha 和 Bravo 集團不同的是，Charlie 集團仍在活躍中。

Jaramillo 表示：「我們在這次行動中看到的是在南中國海地區積極發展的網路間諜活動。我們發現了可能擁有無限資源的多個威脅組織，它們會針對同一高階政府組織進行數週或數月的攻擊，並會交互使用先進的自訂惡意軟體與公開可用的工具。它們能夠，並且仍然能夠自由地在一個組織中移動，以及經常更換工具。至少有一個活動集團仍然非常活躍，並試圖進行進一步的監視。

「有鑑於這些中國威脅組織經常重疊並共用工具，我們在這次行動中觀察到的 TTP 和新型惡意軟體有可能在全球其他歸因於中國的行動中再次出現。我們將繼續調查這三個集團，並與情報界分享我們的發現。」

      本文擷取自資安人

Check Point Security Gateway在多個版本中已被發現一個被活躍攻擊的零日漏洞，並已經釋出概念驗證（PoC）代碼。該漏洞於2024年5月27日揭露，追蹤為CVE-2024-24919（CVSS分數為8.6），描述為在啟用了IPSec VPN或Mobile Access組件的安全閘道中存在的任意文件讀取問題。
 
Check Point表示，受影響的產品包括CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways和Quantum Spark設備。該公司在公告中解釋，利用這個漏洞可能會讓攻擊者訪問安全閘道中的敏感資料，在某些情況下甚至能夠取得管理員權限。
 
該漏洞可以在無需特權和不需要使用者互動的情況下被利用。如果在閘道上啟用了VPN組件，成功攻擊不需要任何特殊條件。
 
Check Point已釋出修復程式，建議客戶安裝這些修復程式作為初步緩解措施，並遵循公告中描述的其他保護措施，包括重置Gaia OS所有本機使用者的密碼，並防止僅使用密碼進行身份驗證。
 
截至2024年5月31日，Censys觀察到超過13,800個Check Point Security Gateway可從網際網路訪問，但並非所有這些閘道都一定會受到CVE-2024-24919的影響。針對該漏洞的PoC代碼已於2024年5月30日公開。
 
Censys指出，這個漏洞可能允許未經驗證的遠端攻擊者讀取受影響的安全閘道中的本地文件，包括敏感文件，如密碼數據、SSH密鑰或其他認證資料。

本文轉載自SecurityWeek

      本文擷取自資安人

美國網路安全與基礎設施安全局（CISA）在上週將一個影響Linux Kernel的安全漏洞加入已知被利用漏洞（KEV）目錄，指出已有證據顯示該漏洞正被積極利用。
 
這個漏洞編號為CVE-2024-1086（CVSS評分：7.8），屬於高危漏洞，涉及netfilter組件中的一個使用後釋放（use-after-free）漏洞，允許本地攻擊者從一般用戶提升至root權限，甚至可能執行任意代碼。
 
CISA表示：“Linux Kernel包含一個在netfilter: nf_tables組件中的使用後釋放漏洞，允許攻擊者實現本地權限提升。”
 
Netfilter是由Linux Kernel提供的一個框架，允許實現各種與網路相關的操作，以自訂處理程序的形式促進封包過濾、網路地址轉換和端口轉換等操作。
 
這個漏洞已於2024年1月得到修復。然而，目前尚不清楚利用該漏洞的攻擊具體性質。
 
同時，CISA還將一個新披露的影響Check Point網路閘道安全產品的安全漏洞（CVE-2024-24919，CVSS評分：7.5）加入KEV目錄。該漏洞允許攻擊者在具有遠端存取VPN或行動存取功能的網際網路閘道器上讀取敏感訊息。
 
鑑於CVE-2024-1086和CVE-2024-24919的積極利用，CISA已建議聯邦機構在2024年6月20日之前更新最新修補程式，以保護其網路免受潛在威脅。
 
本文轉載自thehackernew
 

       本文擷取自資安人

Sophos今天發布首份《2024 年託管服務提供商觀點》調查報告。報告發現，託管服務提供商 (MSP) 日常面臨的最大挑戰是跟上最新的網路安全解決方案/技術，39% 的受訪者反映了此一問題。除此之外，MSP 業者表示招募新的資安分析師來因應客戶成長和跟上最新的網路威脅，也是他們的主要挑戰之一。

調查還顯示，MSP 業者認為內部網路安全技能短缺，是對他們自身業務和客戶的最大網路安全風險。此外，他們認為被竊的資料、憑證以及未修補的漏洞，是對客戶造成最大安全風險的幾項因素。《2024 年勒索軟體現況報告》顯示，近三分之一 (29%) 的勒索軟體攻擊起始於遭竊的憑證，表明這是一個非常普遍的入侵途徑。

Sophos MSP 副總裁 Scott Barlow 表示：「網路安全戰場的創新速度不斷加快，意味著 MSP 將比以往更難跟上威脅，以及取得阻止這些威脅的網路防護。再加上全球技能短缺，使得許多 MSP 更難吸引和留住網路安全分析人才，因此他們覺得難以跟上不斷變化的威脅局勢並不令人意外。而且複雜度又因為客戶需要 24x7 全天候的防護而提高了。我們在《2023 年給科技領袖的主動攻擊者報告》中指出，91% 的勒索軟體攻擊是發生在下班時間。」

為了因應這一複雜的威脅局勢，可提供全天候防護的託管式偵測與回應 (MDR) 服務的需求日益增加。目前，已有 81% 的 MSP 業者提供了 MDR 服務，而其他 MSP 業者幾乎全部 (97%) 計劃在未來幾年內將 MDR 加入到產品組合中。

此外 66% 的 MSP 業者使用第三方供應商來提供 MDR 服務，15% 則是透過自己的安全營運中心 (SOC) 和第三方供應商共同提供，反映出內部網路安全技能短缺的情形。在第三方 MDR 供應商的必要能力列表中，首要的是能夠提供 24/7 全天候的事件回應服務。

MSP 也朝向精簡他們的網路安全合作關係，只與少數幾個供應商合作。研究顯示，超過一半 (53%) 的 MSP 業者只與一到兩家網路安全供應商合作，而使用一到五家供應商的比例則高達 83%。MSP 業者估計，如果能從單一平台管理所有網路安全工具，那麼他們可以減少 48% 的日常管理時間，反映出操作多個平台需要耗費的人力和管理成本。
報告中的其他重要發現包括：

99% 的 MSP 業者回報說，和網路保險相關的支援需求有所增加，其中最常見的是客戶希望採用 MDR 服務以提高其可保險性 (47%)，或是希望獲得申請保險的幫助 (45%)。
MSP 業者希望 MDR 供應商能提供彈性，71% 的 MSP 認為供應商能夠使用現有安全工具的遙測數據進行威脅偵測和回應是「必需或非常重要」的。
美國的 MSP 業者在提供 MDR 服務方面保持領先，幾乎所有 MSP 業者 (94%) 都已經提供 MDR，德國為 70%，英國為 62%，澳大利亞為 58%。
 

Barlow 繼續表示：「雖然 MSP 業者在保護客戶免受快速移動的攻擊者方面有很多工作要做，但如果他們能找到合適的安全防護，就有絕佳的機會來發展業務和提升獲利能力。資料顯示，MSP 業者正透過整合他們使用的平台，並與第三方 MDR 供應商合作來強化競爭力並減少開支，以擴增提供的服務項目。在尋求建構未來的安全方案時，他們應該優先考慮那些能夠完整提供業界最佳且完全託管式的安全服務和解決方案的供應商。」

《2024 年託管服務提供商觀點》報告的數據來自對美國 (200)、英國 (50)、德國 (50) 和澳大利亞 (50) 等地共 350 家 MSP 業者進行的一份中立調查。這項調查由 Sophos 委託研究機構 Vanson Bourne 在 2024 年 3 月進行。

     本文擷取自資安人

AI 驅動與雲端交付的網路安全平台領導廠商 Check Point® Software Technologies Ltd.（NASDAQ 股票代碼：CHKP）近期發布《2024 年雲端安全報告》；報告顯示今年的雲端安全事件急劇增加，有 61% 組織遭到影響，與較 2023 年的 24% 相比，有著 154 % 增長，顯示雲端威脅正變得日益複雜和頻繁。
 
Check Point 的最新調查揭露了令人堪憂的趨勢，儘管多數組織持續重視已知漏洞和惡意行為模式的威脅偵測和監控，卻只有 21% 組織重視「預防」。在組織難以跟上技術快速發展步伐（包括 DevOps 發展速度以及新程式碼和應用程式在雲端的部署速度）之情況下，此趨勢格外令人擔憂。
 
該調查凸顯了一個嚴峻的現實，雖然雲端攻擊頻傳，卻只有 4% 的組織表示其能輕鬆、快速地緩解風險，有高達 96% 的受訪者擔心自己無法處理此類風險。此外，91% 受訪者對於激增且日趨複雜的網路威脅感到憂慮，包括未知風險和零時差攻擊等傳統安全工具無法偵測到的威脅。
 
Check Point 首席策略長 Itai Greenberg 表示：「這些調查結果顯示，組織亟需將焦點轉向實施 AI 驅動的威脅防禦措施，透過採用整合的安全架構並增強協作式安全維運，便可針對新興威脅預先準備，確保更安全且韌性的雲端環境。」
 
《2024 年雲端安全報告》的要點包括：
 

雲端事件頻傳：今年雲端安全事件的數量較去年遽增 154%，有 61% 的組織通報重大攻擊事件。
對風險管理深感擔憂：高達 96% 的受訪者擔心無法有效管理雲端風險，與前幾年相比，該比例呈現明顯增長。
AI 技術的快速普及：有 91% 的組織正優先以 AI 增強安全態勢，並已將焦點轉向藉由 AI 進行主動威脅防禦。
以雲端原生應用程式保護平台（CNAPP）增強防禦：雖然威脅態勢日益嚴峻，卻僅有 25% 組織全面部署 CNAPP，凸顯了採用全面解決方案的急迫需求，而非單純仰賴傳統工具。



雲端安全整合的複雜性：儘管解決方案可望日益簡化，但 54% 受訪者仍在跨多雲環境中保持一致監管標準方面面臨挑戰。此外，有 49% 受訪者表示很難將雲端服務整合到傳統系統裡，且有限的 IT 資源往往讓問題更加複雜。

 
該報告建議組織採用更全面的協作式 AI 驅動之網路安全框架。Check Point CloudGuard 提供了實際可行的安全防護和更智慧的防禦，有效增強整體安全態勢。CloudGuard 為 Check Point Infinity 平台的一部分，組織得以集中並自動實施安全流程、確保合規性和執行規則集，從而強化雲端環境的可視性和控制。如欲查看報告全文並全面了解雲端安全趨勢，請造訪：https://engage.checkpoint.com/2024-cloud-security-report。

關於本調查：
《2024 年雲端安全報告》由 Cybersecurity Insiders 於 2024 年4 月進行，對北美、歐洲、亞太等地區的 813 名網路安全專家進行了調查，其中包括來自各行各業、不同規模企業的高階主管、IT 安全專業人員及員工。該研究深入分析使用雲端服務的組織如何應對安全挑戰，以及如何在此關鍵領域有效利用 AI 等先進技術。

        本文擷取自資安人

Sophos 《2024 年勒索軟體現況》報告顯示，過去一年受到勒索軟體攻擊的受害者中有 97% 曾與執法單位和/或政府機構合作，尋求被攻擊的協助。超過一半 (59%) 與執法單位合作的企業表示這個過程容易或相對容易，只有 10% 的受訪者表示這個過程非常困難。

根據調查，受影響企業會與執法單位和/或政府機構合作，尋求各種對抗勒索軟體攻擊的協助。61% 的受訪者表示他們獲得了如何應對勒索軟體的建議，而 60% 獲得了調查攻擊的幫助。58% 的資料被加密的受訪者獲得了執法單位的幫助，以從勒索軟體攻擊中復原他們的資料。

Sophos表示，傳統上，公司總是會避免與執法單位合作，因為他們擔心自己受到攻擊的事情會公諸於世。一旦被知道他們曾經成為受害者，可能會影響業務聲譽，使情況變得更糟。長期以來，受害者受到責難一直是攻擊的後果之一，但在這方面我們有了進步，無論是在安全社群還是在政府層面。例如，回報網路安全事件的新法規似乎已經使受害者與執法單位合作成為一種常態。調查數據顯示企業正朝正確的方向邁出步伐。如果公部門和私部門能夠繼續團結一致，成為一個協力團體來幫助企業，我們就能夠繼續改善我們快速復原和收集情報的能力以保護他人，甚至還能追究攻擊者的責任。

Sophos X-Ops 最新的現場調查主動攻擊者報告發現指出勒索軟體對中小型企業持續造成威脅。根據 2023 年超過 150 個事件回應案例的數據，勒索軟體連續第四年成為最常見的攻擊類型，在 Sophos X-Ops 調查的事件回應案例中有 70% 是此類攻擊。

Sophos最近的主動攻擊者報告顯示，許多企業仍未實作可以顯著降低整體風險的關鍵安全措施，包括即時修補裝置和啟用多因素驗證。從執法單位的角度來看，儘管他們最近成功地關閉了 LockBit 到 Qakbot，但事實證明這些成功只是暫時性的干擾，而不是長期或永久性的勝利。

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

            本文擷取去資安人

Sophos發布年度《2024 年勒索軟體現況》調查報告，發現過去一年平均支付的贖金暴增了五倍。報告發現支付贖金的企業平均支付高達 200 萬美元，較 2023 年的 40 萬美元大幅增加。但贖金僅是一部分成本。除了贖金外，復原成本的平均值達到 273 萬美元，比 Sophos 的2023 年報告中的 182 萬美元增加了近百萬美元。

儘管贖金不斷攀升，今年的調查顯示勒索軟體攻擊率略為下降，約 59% 的企業受到攻擊，而 2023 年時則為 66%。雖然營收較高的企業受到勒索軟體攻擊的可能性較高，但即使是營收不到 1,000 萬美元的最小型企業也經常成為目標，過去一年中有將近一半 (47%) 遭受勒索軟體攻擊。

2024 年的報告還發現，63% 的案件索求贖金為 100 萬美元或更高，其中 30% 超過500 萬美元，這表明勒索軟體營運者想要牟取暴利。不幸的是，不只營收額最高的企業被索取的贖金增加，將近一半 (46%) 營收不到 5,000 萬美元的企業，在過去一年被索取的贖金高達七位數。

Sophos表示，不應該讓攻擊率稍微下降就產生自滿。勒索軟體攻擊仍然是當今最主要的威脅，並是網路犯罪經濟的推手。如果沒有勒索軟體，就不會有這麼多支持勒索軟體的多樣化和層出不窮的前導威脅和服務。成本飆升掩蓋了勒索軟體攻擊是一種無差別犯罪的事實。當今勒索軟體的整體環境使得每一個網路犯罪分子都有機可乘，無論是否擁有技能。雖然部分集團專攻數百萬美元的贖金，但也有些人只收取低額贖金，採取積沙成塔的策略。
攻擊的起始點
連續二年來，被利用的漏洞是攻擊最常見的根本原因，影響了 32% 的企業。其次是遭竊憑證 (29%) 和惡意電子郵件 (23%)。這與 Sophos 最近《主動攻擊者報告》中在事件回應現場所發現的事實一致。

受害者回報指出，攻擊始於漏洞利用的攻擊對企業造成的影響最為嚴重，因其備份被破壞 (75%)、資料被加密 (67%) 和支付贖金 (71%) 的比例都高於攻擊始於遭竊憑證的情況。受調查的企業在財務和營運方面遭受的影響也更大，平均復原成本高達 358 萬美元，而攻擊始於遭竊憑證時為 258 萬美元。受害企業需要超過一個月才能復原的比例也更高。

報告中其他值得注意的發現包括：


在支付贖款的企業中，不到四分之一 (24%) 支付了對方原本要求的金額，其他 44% 回報支付的贖金低於對方要求
平均支付金額為最初贖金要求的 94%
在超過五分之四 (82%) 的案例中，贖金來自多個來源整體而言，總贖金中的 40% 來自企業自身，23% 來自保險業者
過去一年受到勒索軟體攻擊的企業中，有 94% 表示網路犯罪分子試圖破壞他們的備份，而在州立和地方政府中則高達 99%在 57% 的案例中，備份已被破壞
在 32% 的資料遭加密事件中，也發生資料被竊取的情形，相較去年的 30% 稍有增加。這將增加攻擊者向受害者進行勒索的能力

Sophos表示，風險管理是我們作為防禦者的重中之重。勒索軟體攻擊最常見的兩個根本原因是被利用的漏洞和遭竊的憑證，雖然可以預防，但太多企業仍然深受其擾。

企業需要全面評估他們環境中這些根本原因的暴露程度，並立即解決這些問題。即使環境中的防禦資源不足，企業仍需要盡可能讓攻擊者無法得手。只有提高攻擊者入侵網路所需的門檻，企業才能有效地利用其防禦的預算。

Sophos 建議採取以下最佳作法來幫助企業防禦勒索軟體和其他網路攻擊：


了解風險概況，使用 Sophos Managed Risk 等工具來評估企業的外部受攻擊面，優先處理最危險的曝險，並提供量身訂製的修補指引
使用如 Sophos Intercept X 等端點保護，阻止各種不斷變化的勒索軟體技術
取得內部團隊或經由託管式偵測與回應 (MDR) 供應商的支援，加強防禦並實現全天候的威脅偵測、調查和回應
制定並維持一份事件回應計畫，以及定期備份資料並練習從備份中復原資料

《2024 年勒索軟體現況》報告的數據來自於一項中立的調查，調查對象包括 5,000 名資訊安全/IT 領導者，調查時間為 2024 年 1 月至 2 月。調查對象分布在美洲、歐洲、中東和亞太地區的 14 個國家。受訪組織員工數量在 100 至 5,000 人之間，營收額從不到 1,000 萬美元到超過 50 億美元不等。

     本文擷取自資安人

身份識別與存取管理(IAM)服務提供商Okta發出警示，近期針對線上服務的憑證填充攻擊在「頻率與規模」上出現前所未見的攀升。
 
Okta於預警中表示，這些攻擊是由「廣泛使用的住宅代理服務(residential proxy services)加上先前遭竊的憑證集合清單(combo lists)及腳本工具」實現。
 
這項發現印證了思科(Cisco)近期發布的公告，警告自3月18日以來，針對各種裝置包括虛擬私有網路(VPN)服務、網路應用程式驗證介面和SSH服務的暴力破解攻擊在全球範圍大幅增加。

相關文章：思科示警VPN、SSH服務遭大規模暴力撞庫攻擊
 
當時Talos指出，這些攻擊似乎全都來自TOR出口節點及各種其他匿名隧道和代理程式。攻擊目標包括思科、Check Point、Fortinet、SonicWall的VPN設備，以及Draytek、MikroTik和Ubiquiti等品牌的路由器。
 
Okta的身份威脅研究團隊在4月19日至4月26日期間，偵測到高度可能是來自相同來源的憑證填充活動。
 
憑證填充是一種網路攻擊手法，駭客會拿入侵獲得的憑證，嘗試登入另一個無關聯的服務。憑證也可能是透過釣魚攻擊重新導向受害者至憑證收集頁面，或是利用安裝資訊竊取程式的惡意軟體活動等途徑獲取。
 
Okta表示目前觀察到的所有近期攻擊都有一個共同點，它們都仰賴透過匿名服務(如TOR)路由請求。數以百萬計的請求也是經過各種住宅代理伺服器導引，包括NSOCKS、Luminati和DataImpulse。
 
住宅代理伺服器(RESIP)是指使用者合法裝置的網路。但RESIP常遭到濫用，讓威脅行為者能在不知情或未取得同意下，以各式裝置遮蔽惡意流量的來源。
 
通常是透過在電腦、行動裝置或路由器上安裝代理程式的手法。這些代理程式中藏有殭屍網路病毒，惡意行為者可出租給想要隱匿流量來源的其他惡意駭客。
 
Okta表示，這些大多數憑證填充攻擊的流量似乎都來自一般使用者的行動裝置和瀏覽器，而非VPS供應商的IP空間。
 
為降低帳戶遭入侵的風險，Okta建議企業強制使用者改用強密碼、啟用雙因素驗證(2FA)、封鎖來自無營運據點的請求和不良IP來源、並新增密鑰(passkeys)。

本文轉載自thehackernews。

      本文擷取自資安人

Check Point® Software Technologies Ltd. 宣布推出一系列全新電子郵件安全功能，包括獲得專利的整合隔離、DMARC 監控、歸檔和智慧橫幅（Smart Banners），以增強 Check Point Harmony Email & Collaboration 的產品組合。自 2023 年起，Check Point 已針對 Harmony Email & Collaboration 發布超過 75 項新功能，藉由預防措施進一步加強了協作式電子郵件安全防護，以有效應對日趨嚴峻的網路攻擊威脅。Check Point 透過這些新增的全新功能，在單一介面針對進階威脅提供安全防護。
 
雖然尖端的網路防禦技術不斷興起，但電子郵件仍然是網路攻擊的主要管道，包括網路釣魚攻擊、惡意軟體和商業電子郵件詐騙（BEC）。根據 美國CISA 的評估，在收到惡意電子郵件後的 10 分鐘內，有 84% 員工會因回覆敏感資訊，或與欺騙性的連結或附件互動，而上當受騙。隨著人工智慧進一步增強網路釣魚攻擊，使其信件更具有說服力，企業必須更優先重視電子郵件安全。
 
Check Point 表示，透過歸檔和 DMARC 功能，持續提供全面的安全防護，並運用最近獲得美國專利的整合隔離功能驅動創新。面對攻擊者不斷以嶄新手法將電子郵件武器化的狀況，Check Point將繼續開發全面性的 360 度安全解決方案，主動因應隨處可能出現的複雜網路釣魚戰術。
 
作為Check Point Infinity 平台的一環，Harmony Email & Collaboration 具備以下功能：

整合隔離：此專利功能簡化了電子郵件管理，管理員和終端使用者得以透過單一整合式的 Check Point 介面查看和恢復所有被 Microsoft 和 Harmony E-mail 隔離的電子郵件，從而簡化流程，並減少管理工作與終端使用者之間的不必要摩擦。
 
DMARC 監控：允許組織在不影響業務營運的情況下，以嚴格的 DMARC 策略保護品牌信譽，並防止針對其客戶和合作夥伴的偽冒攻擊。
 
歸檔：可保存所有內外部收發的電子郵件多年，亦能把其他廠商之電子郵件內容匯入歸檔儲存，並進一步支援災難復原和法務用途。
 
智慧橫幅（Smart Banners）：直接在電子郵件中，對使用者進行網路安全教育，促進合規性，並準確通報不易察覺的可疑惡意電子郵件。

       本文擷取自資安人

外媒報導，思科示警全球 Cisco、CheckPoint、Fortinet、SonicWall 和 Ubiquiti 等設備的 VPN 和 SSH 服務遭受大規模的暴力撞庫攻擊。
 
暴力撞庫攻擊是嘗試使用大量的用戶名和密碼來登入帳戶或設備，直到找到正確的組合。一旦獲得正確的憑證，威脅行為者就可以利用它們劫持設備或訪問內部網路。
 
根據思科 Talos 的資訊，這次攻擊使用了一些有效的和通用的員工用戶ID，這些ID與特定的組織相關。
 
研究人員表示，這些攻擊開始於 2024 年 3 月 18 日，所有攻擊都源自 TOR 出口節點，攻擊主使者使用各種匿名工具和代理程式躲避封鎖。
 
思科 Talos 警告，依據目標環境的不同，攻擊成功可能會導致未經授權的網路訪問、帳戶鎖定或拒絕服務等後果。目前觀察到與攻擊相關的流量正隨著時間增加中。
 
用於進行攻擊的服務包括 TOR、VPN Gate、IPIDEA Proxy、BigMama Proxy、Space Proxies、Nexus Proxy 和 Proxy Rack。
 
思科的研究人員表示，以下服務正遭受積極攻擊:

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti 

這此惡意活動沒有特定目標，表示背後的主使者，採取了隨機的攻擊策略。Talos 團隊已在 GitHub 上分享了這一活動的一系列完整的入侵指標(IoC)，包括攻擊者的 IP 地址以供列入黑名單，以及用於暴力攻擊的用戶名和密碼列表。
 
2024 年 3 月下旬，思科曾警告遭受一波 Cisco Secure Firewall 設備上的遠端 VPN (RAVPN) 服務的密碼噴灑攻擊。密碼噴灑攻擊對弱密碼政策更有效，密碼噴灑瞄準許多用戶名使用一小組常用密碼。
 
基於觀察到的攻擊模式和攻擊範圍，研究人員將這些攻擊歸因於一個名為「Brutus」的惡意軟體僵屍網路。但到目前為止尚未確認是否兩起攻擊事件是否有關聯。
 

       本文擷取自資安人

資安專家近期針對 Microsoft Message Queuing (MSMQ) 中介軟體服務中的一個嚴重資安漏洞提出警告，指出 Windows 系統管理者應立即套用修補軟體，修復此漏洞。目前有數十萬台 Windows 系統曝露於該資安風險之下。

MSMQ 於所有 Windows 各版本中均有提供，是一個可讓 App 具備網路通訊能力的選用組件，可以透過 PowerShell 或控制台（Control Panel）來啟用。

資安廠商 Fortinet 和 CheckPoint 旗下的資安專家指出，在 MSMQ 中存在的嚴重漏洞 CVE-2023-21554 可讓駭侵者以特製的 MSMQ 惡意封包，在不需要使用者互動的情形下，輕易進行攻擊，並且遠端執行任意程式碼。

受該漏洞影響的 Windows 版本，為目前市面上全系列的所有版本，包括最新版本的 Windows 11 22H2 與 Windows Server 2022。Microsoft 本身已在日前釋出的 2023 年 4 月分 Patch Tuesday 例行性資安修補包中修復此一漏洞，但根據 Check Point 的估計，目前仍有約 36 萬台 Windows MSMQ 伺服器尚未完成該漏洞的修補作業，因此仍曝露在駭侵攻擊的風險之下。

Microsoft 指出，目前已接獲有駭侵者利用此漏洞發動攻擊的情報，所有 Windows 系統管理者，應正視這個漏洞可能帶來的威脅，且應立即進行修補。

CVE 編號：CVE-2023-21554
影響產品：Windows 各版本作業系統，包括 Windows 11 2022H2 與 Windows Server 2022。
解決方案：建議立即套用 Microsoft 日前釋出的 Patch Tuesday 資安修補包。