跳到主要內容

【資安日報】2023年1月6日,Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦



協作平臺Slack昨日(1月5日)證實,上週遭到入侵而導致部分原始碼外洩,所幸使用者資料沒有受到波及。但值得留意的是,該公司是獲報GitHub帳號出現異常活動,著手調查才驚覺遭駭。這些原始碼遭竊後續造成的影響仍有待觀察。


有駭客濫用雲端持續整合及持續交付(CI/CD)服務提供的免費、試用資源來進行挖礦!研究人員指出,駭客短時間之內註冊了13萬個GitHub、Heroku、Togglebox帳號,並建立容器來挖掘加密貨幣,而這些行為幾乎都是自動化進行。


駭客利用手機金融木馬盜取銀行存款的手法再度翻新!有研究人員發現駭客公開安卓木馬程式SpyNote的原始碼後,其他駭客相繼用於製作攻擊程式,研究人員取得惡意程式樣本分析後發現,此木馬程式具備從Google Authenticator取得驗證碼的能力。


【攻擊與威脅】



協作平臺Slack於1月5日公告遭遇資安事故,存放於公司內、外環境的部分程式碼遭竊,但強調使用者資料未受到影響。該公司於去年12月29日獲報GitHub帳號有可疑活動,初步調查顯示,部分員工的Token遭竊,導致駭客能夠存取該公司的GitHub儲存庫,他們也發現駭客在12月27日下載了數個該公司自有的程式碼儲存庫。


 該公司表示,駭客並未存取Slack營運環境,也強調被下載的儲存庫不包含用戶資料、客戶資料庫的帳密,或是Slack的程式碼基礎(codebase)。為防萬一,他們輪換了相關金鑰以策安全。



資安業者Palo Alto Networks揭露南非駭客組織Automated Libra的攻擊行動PurpleUrchin,這些駭客專門從事免費、試用的雲端資源挾持攻擊(Freejacking),利用持續整合及持續交付(CI/CD)服務提供的資源,註冊大量帳號並設置容器用來挖掘加密貨幣,他們大量利用DevOps的自動化技術來濫用取得的資源。


研究人員收集這起攻擊行動所使用的浪250 GB容器資料進行分析,發現該攻擊行動於2022年11月達到高峰,當時駭客每分鐘就建立3到5個GitHub帳號,研究人員總共看到13萬個GitHub、Heroku、Togglebox帳號,註冊帳號的過程中駭客也利用圖像分析技術繞過圖靈驗證機制CAPTCHA。


但除了濫用免費與試用的資源,駭客也使用遭竊或偽造的信用卡資料來租用付費服務,當然,他們不會支付相關費用。研究人員稱這種手法為Play and Run。



資安業者ThreatFabric針對安卓金融木馬SpyNote(亦稱SpyMax)的攻擊態勢提出警告,他們發現該木馬程式於2022年第4季的攻擊行動大幅增加,原因是名為CypherRat的SpyNote變種,開發者於10月於GitHub公開原始碼,導致此木馬程式數量急速增加,假冒匯豐、德國銀行等知名銀行App的惡意程式接連出現,3個月研究人員共發現逾1,100個CypherRat樣本。


研究人員指出,此SpyNote變種不只能透過相機API錄製影片傳送到C2伺服器、使用GPS進行跟蹤,還能竊取臉書與Google帳密,並濫用輔助功能A11y,從Google Authenticator解出驗證碼,同時也具備側錄使用者輸入內容的能力,目的是竊取銀行帳戶資料。



資安業者AhnLab去年底揭露竊密軟體Vidar新的攻擊行動,他們看到駭客廣泛濫用社群網站Mastodon、抖音,以及加密即時通訊軟體Telegram、電玩平臺Steam來提供C2中繼站的連線資料,從而隱匿其攻擊來源。


研究人員指出,駭客鎖定上述服務的原因,就是建立新帳號容易,而使得帳號就算遭到通報被刪除,駭客還是可以再建立新帳號來提供Vidar有關C2的資料,且他們看到駭客的帳號成立超過半年,且不斷在更新,突顯這樣的手法相當不易被察覺。



防毒業者K7 Computing揭露惡意軟體Pupy RAT的攻擊行動,駭客透過帶有ISO光碟映像檔附件的釣魚信發動攻擊,此ISO檔案內有DLL程式庫、Excel試算表檔案、捷徑檔案(LNK),以及Windows錯誤報告工具WerFault.exe。


一旦受害者開啟了上述的LNK檔案,就會利用Windows作業系統裡的ScriptRunner.exe來側載WerFault.exe,此執行檔運作時便會載入ISO檔裡的惡意DLL程式庫,進而於受害電腦的記憶體內植入Pupy RAT。在此同時,為了降低受害者戒心,還會一併開啟前述的Excel檔案。研究人員無法確認駭客的身分,但認為應來自中國。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸,為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店:臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊,同時聘請資深iphone手機維修專家,現場說明手機問題,快速修理,沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業,自成立迄今,即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪?台中大展搬家線上試算搬家費用,從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗,提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪,彈性的出遊方案,行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上,台北網頁設計公司幫您達到更多曝光效益




根據資安新聞網站Bleeping Computer的報導,自2020年募資成功的掌上型資安滲透測試工具設備Flipper Zero,因為生產問題導致缺貨,而成為駭客用來發動釣魚攻擊的幌子。資安研究人員Dominic Alvieri發現3個冒牌的推特帳號,以及2個假的Flipper Zero電商網站。這些電商網站仿造正牌的網站價格,銷售Flipper Zero及其各式模組與配件,並要求使用加密貨幣付款,企圖洗劫買家的加密貨幣錢包。



去年8月密碼管理解決方案業者LastPass資料外洩,駭客透過第三方雲端儲存服務與另一家科技業者GoTo Technologies來存取該公司內部環境,從而複製檔案備份,當中含有LastPass的客戶資料,該公司用戶於今年1月3日向美國麻洲法院控告LastPass資料保護不力,導致用戶敏感資料遭未經授權人士存取,且經過數個月才通知用戶,突顯LastPass反應相當消極,甚至出現該公司企圖將責任推給用戶的情況。


雖然這起訴訟能否成案仍不得而知,但資安專家指出該起資安事故恐讓駭客建立詳細的密碼資料庫,也有資安專家指出LastPass誇大其密碼儲存庫(Vault)安全性,實際上只有加密保護部分欄位。


 


【其他資安新聞】






 


 


 


近期資安日報




https://www.ithome.com.tw/news/155044



Orignal From: 【資安日報】2023年1月6日,Slack驚傳部分原始碼遭竊、南非駭客Automated Libra大肆濫用持續整合及持續交付服務挖礦

留言

這個網誌中的熱門文章

有了四步解題法模板,再也不害怕動態規劃!(看不懂算我輸)

導言 動態規劃問題一直是算法面試當中的重點和難點,並且動態規劃這種通過空間換取時間的算法思想在實際的工作中也會被頻繁用到,這篇文章的目的主要是解釋清楚 什麼是動態規劃 ,還有就是面對一道動態規劃問題,一般的 思考步驟 以及其中的注意事項等等,最後通過幾道題目將理論和實踐結合。 什麼是動態規劃 如果你還沒有聽說過動態規劃,或者僅僅只有耳聞,或許你可以看看 Quora 上面的這個 回答 。 How to explain dynamic 用一句話解釋動態規劃就是 " 記住你之前做過的事 ",如果更準確些,其實是 " 記住你之前得到的答案 "。 我舉個大家工作中經常遇到的例子。 在軟件開發中,大家經常會遇到一些系統配置的問題,配置不對,系統就會報錯,這個時候一般都會去 Google 或者是查閱相關的文檔,花了一定的時間將配置修改好。 過了一段時間,去到另一個系統,遇到類似的問題,這個時候已經記不清之前修改過的配置文件長什麼樣,這個時候有兩種方案,一種方案還是去 Google 或者查閱文檔,另一種方案是借鑒之前修改過的配置,第一種做法其實是萬金油,因為你遇到的任何問題其實都可以去 Google,去查閱相關文件找答案,但是這會花費一定的時間,相比之下,第二種方案肯定會更加地節約時間,但是這個方案是有條件的,條件如下: 之前的問題和當前的問題有着關聯性,換句話說,之前問題得到的答案可以幫助解決當前問題 需要記錄之前問題的答案 當然在這個例子中,可以看到的是,上面這兩個條件均滿足,大可去到之前配置過的文件中,將配置拷貝過來,然後做些細微的調整即可解決當前問題,節約了大量的時間。 不知道你是否從這些描述中發現,對於一個動態規劃問題,我們只需要從兩個方面考慮,那就是 找出問題之間的聯繫 ,以及 記錄答案 ,這裏的難點其實是找出問題之間的聯繫,記錄答案只是順帶的事情,利用一些簡單的數據結構就可以做到。 概念 上面的解釋如果大家可以理解的話,接    動態規劃 算法是通過拆分問題,定義問題狀態和狀態之間的關係,使得問題能夠以遞推(或者說分治)的方式去解決。它的幾個重要概念如下所述。    階段: 對於一個完整的問題過程,適當的切分為若干個相互聯繫的子問題,每次在求解一個子問題...

我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

其實判斷軟件硬件問題很簡單,在別的機器或換個系統試試就可以了.有些小的問題不妨先用專門軟件格式化下.還有提醒你WINDOWS下格式化時要選擇FAT,不要選FAT32。 倘若插入後,在右下角彈出電腦正在嘗試連接此USB設備的一些信息,有時會彈出對話框讓用戶選擇,有些用戶還沒看清就點了否,或者因為電腦一些初始的設置問題,禁止了USB的一些功能。解決辦法:右鍵點"我的電腦",選"屬性"--"硬件"--"驅動器簽名",在此選擇"忽略",點"確定"。然後重新插上usb,還是不連的話,再右鍵點"我的電腦"--"屬性"--"硬件"--"設備管理器",從中找到"通用串行總線控制器",右鍵,然後"掃描檢測硬件改動"。如果都不行那就是USB識別程序或U盤的問題從控制面板進入添加或刪除硬件將所有USB設備都刪除,重新安裝需要使用的USB設備驅動程序,重新啟動電腦 USB CONNECTOR   USB CONNECTOR  USB CONNECTOR Orignal From: 我的USB為什麼總是無法識別,到底是為甚麼呢?這真的讓我好困擾

為何 Amazon 併購 Oracle 的可能性很大 ?

  2019 年 9 月份 Trefis 團隊建議《Trefis 建議:谷歌可以斥資 90 億美元收購 Nutanix》,最近又建議亞馬遜收購 Oracle。此文是其和《福布斯》雜誌的 Great Speculations 合作撰寫。   根據 Trefis 分析,亞馬遜併購 Oracle 有望帶來巨大的價值。雖然這個想法聽起來很雄心勃勃,但是為了使自己處於雲技術食物鏈的頂端,Oracle 可能是亞馬遜有史以來最好的收購對象。我們詳細說明為什麼亞馬遜可能會收購 Oracle,還在交互式儀錶板中估計了潛在交易的價值。我們的估計基於 Oracle 的獨立價值以及它作為與亞馬遜合併后的實體中一部分而具有的價值。    為何我們認為亞馬遜會收購 Oracle?      兩家公司的概況: 亞馬遜可能是在 2000 年代中期第一家打造公共雲生態系統的供應商,但 Oracle 從事數據庫業務已有近 40 年的歷史。 AWS 的想法是可以將基礎設施出租給希望存儲和計算資源方面減少費用的客戶。根據 Trefis 的估計,AWS 的企業價值高達 4930 億美元,EV/EBITDA 是 27 倍(2020 年 EBITDA 為 180 億美元)。 Oracle 因第一代雲產品失敗而很晚進入雲市場,該公司隨後在開發方面投入大量資金,旨在向市場推出第二代雲。根據 Trefis 的估計,Oracle 的企業價值應為 2510 億美元,EV/EBITDA 是 12.7 倍(2020 年 EBITDA 為 200 億美元)。 AWS 的方法是創建產品,然後讓用戶採用它。Oracle 已經長期擁有這樣的用戶群,卻無法滿足 AWS 能夠滿足的要求。結果是,儘管 Oracle 運行着全球近 50% 的數據庫,但如今 AWS 在公共雲市場的份額超過 40%,而 Oracle 甚至沒有躋身前五名。   理由1:客戶將獲得第二代架構的安全性和 AWS 的客戶服務,因而導致差異化產品與競爭。 由於市場上面臨微軟 Azure(已成為微軟 B2B 和 B2C 產品的底層結構)、谷歌雲(迎來新的掌門人)和 IBM 雲產品(收購 Red Hat 之後)的競爭,AWS 的先行優勢如今可能在減弱。 對老牌雲領導企業構成不利的另一個因素是,原本可以遷移到...