IBM X-Force指出駭客集團融合了Nymaim與Gozi特色打造了新的木馬程式GozNym，它擁有Nymaim的隱形與持久優點，同時利用Gozi ISFB竊取金融資訊的能力，鎖定22家美國銀行、信用合作社與電子商務平台，以及2家加拿大金融機構，透過操縱網頁程序進行網路銀行詐騙攻擊。

IBM X-Force研究團隊上周揭露了一隻結合Nymaim及Gozi ISFB的木馬程式GozNym，該木馬程式已攻擊24家位於美國及加拿大的銀行，只花了短短的幾天便盜走數百萬美元。

Nymaim與Gozi ISFB皆為木馬程式，其中，Nymaim最主要的功能為勒索，同時也是一隻下載木馬，可下載諸如Ursnif金融木馬等其他惡意程式；Gozi ISFB則是一隻金融木馬程式，當被注入瀏覽器時，駭客即可監控使用者的瀏覽行為。

X-Force表示，經營Nymaim的集團融合了Nymaim與Gozi ISFB的程式碼，建立了新的GozNym木馬程式，它擷取Nymaim的隱形與持久優點，同時利用Gozi ISFB竊取金融資訊的能力，成就了一款強大的木馬程式，並針對北美的銀行展開攻擊。

調查顯示，GozNym鎖定22家的美國銀行、信用合作社與電子商務平台，以及2家的加拿大金融機構，它能夠操縱網頁程序，進行網路銀行詐騙攻擊。

根據富比士（Forbes）的報導，操縱GozNym的駭客集團來自東歐，今年4月初在短短的3天內便盜走了400萬美元。

資料來源：http://www.ithome.com.tw/

美國國土安全部網路安全小組表示，為了避免遭到駭客入侵，建議民眾移除Windows電腦中的多媒體軟體QuickTime。

繼趨勢科技（Trend Micro）公布蘋果將不再對QuickTime進行安全更新，且發現QuickTime有兩個可能受駭客侵入的安全漏洞後，美國電腦安全應變小組（CERT）今天也發出警告。

法新社報導，CERT指出，利用Windows裡的QuickTime漏洞，可遠端進行攻擊並控制，影響整個系統。

「現在唯一可以緩解的辦法，就是移除Windows中的QuickTime。」（譯者：中央社許湘欣）

資料來源：http://udn.com/news/story/5/1633461-%E9%81%BF%E5%85%8DWindows%E9%9B%BB%E8%85%A6%E9%81%87%E9%A7%AD-%E7%BE%8E%E5%BB%BA%E8%AD%B0%E7%A7%BB%E9%99%A4QuickTime

資安業者FireEye發現，iOS系統出現app的檢驗漏洞，駭客可藉以誘騙使用者下載假冒的app並偷偷取代從蘋果官方 App Store安裝的合法應用程式，讓使用者的app變成駭客的惡意程式，並可能藉以盜取手機內的敏感資訊。

FireEye將此類攻擊手法命名為「假面攻擊」（Masque Attack），其機制主要是利用iOS未針對bundle identifier相同的兩款應用執行憑證比對的系統漏洞，駭客可以透過無線網路或USB進行攻擊。目前安全研究人員在 iOS 7.1.1、7.1.2、8.0、8.1及8.1.1 beta中都發現這個漏洞，不論裝置是否有越獄（jailbreak）都可能受到攻擊。FireEye指出，已有證據顯示問題開始蔓延，而為了防患未然，決定有必要公佈這個漏洞。

FireEye研究人員是在今年7月26日研究新惡意程式WireLurker時發現它開始透過USB進行Masque Attack攻擊。該公司並表示，這個漏洞的安全威脅比WireLurker惡意程式還高，因為它讓駭客能夠藉以用惡意程式模仿正牌應用，像是網路銀行或email等應用的UI，並使駭客透過網路傳播山寨應用程式，進而取代正牌應用，而且，種入的惡意程式雖然取代正牌應用，但不會移除其本機資料，像是儲存的郵件、登入密碼等等。這表示駭客可以因此取得用戶的機密資訊，像是網銀帳號及密碼。

這個漏洞主要存在於企業/ad-hoc供應機制（enterprise/ad-hoc provisioning），因而讓下載的冒牌iOS應用得以取代由App Store下載的合法應用，只要兩款應用都使用相同的bundle identifier，即iOS用以識別每一個開發者的軟體識別碼。冒牌應用可能使用任何名稱（如新版Flappy Bird）誘使用戶下載，安裝後並可能取代任何從App Store下載的合法應用，例如Gmail，只有預載的iOS 應用如Mobile Safari能夠免疫。

由於透過企業供應機制（enterprise provisioning）的應用（該公司稱為EnPublic apps）不受蘋果審查，因此攻擊者可能使用iOS私有API進行背景掃瞄或模仿iCloud UI來竊取Apple ID及密碼。駭客也能使用Masque Attack繞過正常應用的沙箱，而取得根目錄權限以攻擊已知iOS漏洞。此外，行動裝置管理（MDM）介面無法辨別真、假應用，因為它們使用了相同的bundle identifier，目前也沒有MDM API可取得各應用的憑證資訊，因此MDM很難偵測到這類攻擊。

根據FireEye的展示，駭客經由文字簡訊傳送連結，誘使使用者升級New Flappy Bird ，用戶按下安裝鍵後即下載具有com.google.Gmail的新程式，結果導致真的Gmail應用遭冒假的Gmail應用取代。

iOS 7用戶可以到設定（Settings）–>一般 （General） –> 資料匣（Profiles）檢查「供應描述檔」（PROVISIONING PROFILES）確認是否遭遇假面攻擊。FireEye也呼籲使用者，不要從App Store官網以及公司內部之外的地方安裝程式，不要點選任何第三方網站所跳出的程式安裝訊息。看到iOS跳出「不受信任的應用開發者」（Untrusted App Developer）警告時要立即按下「不信任」（Don’t Trust）並移除該程式。（編譯/林妍溱）

資料來源：http://www.ithome.com.tw/news/92214

CryptoWall 4.0加密的不只是使用者檔案中的資料，甚至還加密了檔案名稱。此舉可讓受害者因不確定哪些檔案遭到加密而更加緊張，可望增加支付贖金的受害者比例。

資安業者Heimdal Security警告，市面上最強大的勒索軟體CryptoWall已出現第四代的版本，除了更難以偵測，而且加密的不只是受害者的資料，連檔案名稱都加密了。

CryptoWall被Dell旗下的安全研究機構CTU視為是網路上最強大也是最具破壞性的勒索軟體，CryptoWall的作者亦不斷更新該軟體，從去年6月問世迄今，不到一年半的時間就推出4個版本。美國FBI也坦承CryptoWall是對美國造成最大威脅的勒索軟體，而網路威脅聯盟（Cyber Threat Alliance，CTA）的調查則顯示，今年1月出爐的CryptoWall 3已造成3.25億美元的損失。

Heimdal Security安全專家Andra Zaharia表示，CryptoWall 4.0大幅改善它的通訊能力，包括可變更協定以躲避偵測，甚至能越過第二代的企業防火牆解決方案，而且只有非常少數的防毒軟體能夠辨識它，使得它被偵測到的機率更低於CryptoWall 3.0。

此外，CryptoWall 4.0加密的不只是使用者檔案中的資料，甚至還加密了檔案名稱。此舉可讓受害者因不確定哪些檔案遭到加密而更加緊張，可望增加支付贖金的受害者比例。

沒變的是CryptoWall 4.0依舊使用TOR匿名網路，而且持續利用受到危害的各網頁來散布，主要感染途徑亦與舊版一致，皆為垃圾郵件與偷渡式下載。

一旦遭到CryptoWall 4.0感染，受害者只有兩個選擇，一是重新格式化系統並從最近的備份回復資料，二是支付贖金但無從保證能夠拿到解密金鑰。

Zaharia強調，他們並不建議受害者支付贖金，最好的作法是經常更新系統及資安軟體，經常備份，不要在電腦上存放重要資訊，以及不要開啟來路不明的郵件或檔案。（編譯/陳曉莉）

資料來源：http://www.ithome.com.tw/news/99868

Doctor Web根據其加密的目錄判斷，駭客主要目標是網站管理員。Linux.Encoder.1入侵電子商務網站常用的Magento CMS漏洞進入主機系統後，就會加密受害電腦中與網站管理有關的主目錄，然後從其加密的目錄開始重覆搜尋整個檔案系統，下一次則從根目錄開始搜尋。

安全廠商Doctor Web發現一隻名為Linux.Encoder.1的新種特洛依木馬專門瞄準Linux作業系統而來，企圖藉由加密檔案向被害者勒索。

Doctor Web根據其加密的目錄判斷，駭客主要目標是網站管理員。Linux.Encoder.1入侵電子商務網站常用的Magento CMS漏洞進入主機系統後，就會加密受害電腦中與網站管理有關的主目錄，然後從其加密的目錄開始重覆搜尋整個檔案系統，下一次則從根目錄開始搜尋。

Linux.Encoder.1在加密檔案後會加入.encrypted的副檔名，目錄名稱也會加上駭客指定的字串。每個目錄內除了包含被加密的檔案外，還包含駭客勒贖要求的文字檔README_FOR_DECRYPT.txt，以及連向公用RSA金鑰的路徑檔案。Linux.Encoder.1利用這把RSA金鑰儲存加密的AES金鑰後，便會刪除原始檔案。

根據研究人員蒐集到的檔案訊息，駭客要求受害者要支付1個比特幣（大約400美金上下）才能解除檔案的加密。Doctor Web並建議，受害者最好能將樣本及詳細情況提供給專業人員，擅自修改或刪除檔案，可能導致永遠救不回被加密的資料。

Doctor Web估計目前受害電腦並不多，只有數十台。但安全部落格Krebsonsecurity指出，雖然Checkpoint今年4月已經發現Magento的漏洞，Magento也已在10月底釋出修補程式，不過仍有許多小型商務網站未能及時更新。

勒贖軟體已成資安界最大挑戰。CryptoWall自2013年9月出現以來已被FBI列為對美國造成最大威脅的勒索軟體。眾家資安業者組成的網路威脅聯盟（Cyber Threat Alliance，CTA）也估計最新版的CryptoWall 3迄今已造成3.25億美元的損失。（編譯/林妍溱）

資料來源：http://www.ithome.com.tw/news/99865

Adult Player會偵測手機是否有相機可用，在用戶使用App時拍攝相片，並將受害者手機及作業系統資訊傳送到遠端伺服器，利用偷拍的相片客製化勒索頁。

惡劣色情App

安全公司Zscaler發現一款名為Adult Player的Android App偽冒成播放色情影片的App，騙取使用者下載開啟後，會偷拍使用者相片並鎖機，然後向用戶勒索高達500美元的贖金。

Zscaler解釋，Adult Player在使用者下載開啟後，會要求管理員權限。使用者按啟動後出現假的更新網頁，實則透過名為「反射攻擊」下載另一個名為test.apk的惡意程式。

Adult Player會偵測手機是否有相機可用，如果有，便會在用戶使用App時拍攝相片，並將受害者手機及作業系統資訊傳送到遠端伺服器，然後以偷拍的相片客製化勒索頁。它會在展示勒索頁的同時鎖住手機，頁面包含假冒來自FBI的文字訊息，指稱使用者因觀看、儲存，及散佈違禁的兒童色情內容，基於安全理由手機遭到鎖定，資訊也被加密。並要求以PayPal支付500美元，即可在24小時內解除手機鎖定及內容加密。

Zscaler指出，這款惡意程式十分頑強，難以移除，即使用戶重新開機還是沒用，因為它會在手機重開機後立即啟動，不讓使用者有時間進入手機「設定」區移除該程式。

資安公司建議，可以安全模式重新開機，在此模式下裝置會在不執行第三方App情況下開機。然後到「設定→安全→裝置管理員」，移除其管理員權限，再到「設定→應用程式」將該程式移除。並建議使用者最好只從信賴的軟體商店如Google Play下載App，可在裝置上的「安全」設定下，取消勾選「未知的來源」以防不慎安裝來源不明的程式。（編譯/林妍溱）

資料來源：惡劣色情App：偷拍照片再鎖機，然後勒索500美金！

Google旗下的抓蟲小組Project Zero在官網上公布了一份Eset漏洞分析報告，並展示如何利用此漏洞來入侵安裝了Eset旗下防毒軟體如NOD32的電腦，取得電腦的控制權，任意刪除任何檔案。此漏洞將影響Eset旗下所有防毒軟體，包括企業版NOD32。Eset也於6月22日釋出更新程式。Google警告，防毒軟體也有漏洞，這不只是理論上的風險，已可從媒體報導看出，厲害的駭客開始對防毒軟體有興趣。

Google表示，所有連上網路且安裝Eset產品的電腦都會受到此漏洞的影響。駭客入侵電腦後可以讀取、修改及刪除受害者的任何檔案，甚至使用攝影鏡頭或麥克風等外接裝置，也能監控使用者的鍵盤紀錄或網路流量等。抓蟲小組還以一臺安裝Eset NOD32預設商業版的電腦來示範攻擊行動，只要使用者點選了惡意連結，駭客就可以取得root權限來執行任意命令。Google表示，除了透過惡意連結發動攻擊外，此漏洞還有上百種的攻擊方式。

此漏洞存在於Eset軟體的病毒碼中，因為Eset各平臺軟體都是在執行階段載入病毒碼資料和功能模組，因此，Eset旗下各平臺的防毒產品都會受到漏洞的影響。Googel揭露了目前已知受到影響的產品版本，包括Eset Smart Security Windows版、Eset NOD32 （Windows、OS X及Linux版）、 Eset端點防毒（Windows及OS X版）及Eset NOD32企業版本。

Project Zero用一臺安裝Eset NOD32預設商業版的電腦做為示範，當用戶點了惡意連結，攻擊者便可以用root權限執行任意命令。

圖片來源：Project Zero

資料來源：http://www.ithome.com.tw/news/96983

Imperva展示可怕雲端中間人攻擊手法：你的雲端硬碟其實是駭客的！

駭客不用破解密碼、不用攻擊程式，也不用撰寫伺服器端的程式碼，即可任意存取用戶Google Drive、微軟OneDrive或Dropbox，除了可任意竊取資料，還可拿使用者的儲存空間做C&C平台等惡意活動。

資安公司Imperva在黑帽駭客大會上展示雲端中間人攻擊手法，讓駭客不用破解密碼、不用攻擊程式，也不用撰寫伺服器端的程式碼，即可存取用戶Google Drive、Box、微軟及Dropbox上的檔案，達成竊取資料或進行其他攻擊的目的。

Imperva在其報告中詳細解釋，「雲端中間人」（man-in-the-cloud, MIIC）攻擊是利用雲端儲存服務的檔案同步化機制。檔案同步化的原理是利用同步化軟體與儲存在裝置上的同步化權杖（synchronization token）完成使用者身份驗證，使本機同步資料匣（sync folder）中的檔案變更或新增可同步到同一使用者的雲端服務上，反之亦然。

在實驗中，研究人員設計了名為「切換器」（Switcher）的工具，只要透過網釣或掛馬攻擊植入使用者電腦，取得裝置上的同步權杖，就可以冒充是雲端服務帳號持有人。然後，經由用步化機制，即可將用戶電腦的檔案傳到攻擊者設立的雲端服務帳號，如此一來，不必破解密碼，也能取得用戶雲端檔案。

攻擊者也可在雲端資料匣中植入木馬或勒贖軟體，將雲端平台當作C&C平台進行其他攻擊。攻擊者甚至能在檔案中嵌入惡意程式碼，等完成任務後，再把原本乾淨的檔案回復到用戶電腦，不留痕跡。更糟的是，由於權杖和裝置（而非使用者帳密）綁在一起的，因此，受害者即使修改帳號密碼也防堵不了攻擊者。

Imperva設計的工具只修改了用戶電腦的特定檔案或登錄機碼（registry key），因此很難被偵測到。而且事後駭客也可以將Switcher從使用者終端移除，神不知鬼不覺。

研究人員指出，企業與個人利用Google Drive、Dropbox等雲端服務進行檔案同步愈來愈普及，但同步服務設計反而使其變成駭客理想的攻擊平台，只要開個帳號，連C&C伺服器都不必架。在企業和個人使用雲端服務成為常態的今天，有必要更注意雲端的安全。

雲端服務成為駭客攻擊管道顯然不再只是理論而已。七月底FireEye發現一隻名為Hammertoss的後門程式，可利用Twitter和GitHub等合法網站作為掩護，以躲避偵測，暗中竊取用戶資料。五月時中國駭客組織也被發現利用微軟TechNet網站隱藏遠端控制受害電腦的C&C通訊，以竊取資料或修改、刪除檔案。（編譯/林妍溱）

資料來源：http://www.ithome.com.tw/news/97958

國際中心／綜合報導

網路安全機構 Zimperium近日發現Android的設備有個嚴重的安全漏洞，駭客能藉由此漏洞，在使用者全然不知的情況下遠程訪問Android的裝置，Android2.2至5.1的所有版本均存在此漏洞，預計會有95%的Android設備受到影響。

該漏洞存在於Stagefright的媒體庫上，只要駭客知道用戶的電話號碼，就可以透過MMS發送出一個媒體文件，獲得訪問用戶設備的入口。

Zimperium公司的首席技術官查克（Zuk Avraham）表示，「這項漏洞極其危險」，因為該漏洞不同於其他病毒，是要打開攻擊者發送的文件或鏈接才會遭感染，而是只要在用戶睡覺時發送木馬文件，就可以入侵手機，還可以再之後將文件刪除，就能神不知鬼不覺地讓用戶全然不知自己的手機已經遭人入侵過了。而且之後駭客還可以遠端操控用戶的手機，竊取文件、偷看密碼和電子郵件等隱私。

Zimperium公司發現漏洞後，開發了必要的補丁程序，並在今年4、5月初提供給了Google，Google也已將補丁程序提供給部分合作廠商。

今年年底，Android設備的佔有率預計將達到79.4％，遠超蘋果的16.5％佔有率。因此，根據安全機構F-Secure的數據指出，Android 也成為了移動惡意軟體的首要攻擊目標，99％的惡意軟體都將Android作為攻擊對象。

Zimperium公司計畫在8月份舉辦的 2015黑帽大會（Blackhat）及DefCon黑客大會上公布更多詳細的資訊。

資料來源：Android有嚴重安全漏洞 95%設備受影響

雖然APT攻擊是目前政府和許多大型企業最在意的資安威脅，目前最主要的APT威脅仍以網路犯罪類型為主，針對國家型的APT攻擊仍占少數，受駭者大多仍是企業。趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例，來剖析常見APT攻擊的6大步驟。他建議，掌握攻擊步驟，企業更能提高事先預防的效果。

常見APT攻擊的6步驟

張裕敏表示，APT攻擊最常見的攻擊方式就是社交工程和電子郵件，許多人的資料都可以在網路上找到，有心的犯罪者很容易利用電子郵件甚至是電話鎖定特定目標，來進行社交工程攻擊。舉例而言，目前發現的案例中，除了利用電子郵件的主旨誘使與主旨相關的當事人點擊並閱讀電子郵件外，「以電話為主的社交工程成功率，更是百分之百。」他說，因此，常見APT攻擊的第一步就是：先蒐集足夠的資料，第二步才是發動攻擊。

再者，除了社交工程電子郵件或網頁的資料蒐集外，取得企業組織內部資訊的方式不見得要透過網路。常見的手法還包括，廣布惡意程式，利用散布免費的USB隨身碟植入惡意程式，或者是利用已經有藍光光碟的韌體，可以被植入惡意程式等。

發動APT攻擊時，不會全部都是自動化攻擊，張裕敏表示，這過程中一定需要人為介入，所以駭客一定會設計第三步「打造控制及命令伺服器」，以便直接掌握入侵組織的攻擊狀況。

駭客攻擊手法的第四步驟則是盡可能地暗中蒐集資料，甚至在APT攻擊程式進入內網後，會模擬高階使用者的行為，來提高怪異蒐集資料行為的合理性，讓攻擊行動更不容易被察覺。因為目前所有APT攻擊最主要的目的是偷資料，所以第五步驟則是等候時機傳資料。當駭客已經取得所需要的資料時，不會馬上打包資料、更不會馬上外傳資料，會伺機而動，等到最合適的時機點。張裕敏以美國第二大零售業者Target外洩的資料為例，前後超過700GB，如果一口氣把資料外傳很容易被發現，而且，打包的資料如何儲存不會塞爆硬碟而被發現也是駭客會避免的問題。最後一步則是，當資料打包並外傳後，駭客必須隱匿蹤跡，就會暗中少量多次地慢慢刪除相關資料才，避免被企業IT人員發現異常。

了解APT常見攻擊步驟後，張裕敏認為，企業想要有效防禦APT，首先，要將駭客阻擋在組織外面，最好的方式是，盡可能地減少駭客能在外部取得的資料。再者，APT不是只有單純的人為，也有自動化的手法，因此在規畫防禦策略時，最好要做到電腦和人聯手的區域聯防，效果才會更顯著。第三，若是軍事等級的單位，一定要搭配實體隔離才行。

美國Target零售業資料外洩事件大剖析

張裕敏表示，如美國Target和南韓核電廠都是駭客從外面切入攻擊的案例，從這樣的攻擊案例中，也可以學習到正確的預防之道。

在2013年12月發生美國Target個資外洩事件，最後總計外洩1.1億筆個資，外洩包括姓名、地址、電話、電子郵件以及信用卡卡號資料，因為信用卡資料外洩導致盜刷事件，更引發140多起訴訟案件。

分析Target入侵手法，張裕敏表示，駭客往往會利用Google以及各種的媒體報導，找到鎖定單位的內部系統、網路架構圖，甚至連POS如何部署，有多少臺POS機、系統版本等資訊都一清二楚。

不過，駭客原先曾多次利用社交工程以及植入後門方式，試圖攻擊Target公司的系統，而沒有攻擊成功，所以駭客改利用供應商的管道入侵，取得往來的空調業者與電冰箱業者資訊後改先對這批供應商下手下手。

攻擊駭客發現，冷凍空調業者網站的防禦機制很弱，所以，駭客先發送社交工程郵件成功後，再植入木馬程式竊取銀行帳號密碼，等到供應商帳密全部到手後，再利用這批帳號密碼資料，登入Target供應商平臺網站，找出Target系統上的多重漏洞，利用上傳功能植入木馬程式後，來竊取Target系統的最高權限。

取得Target最高管理權限後，木馬程式先從內部網路擴散，首先是入侵AD（目錄服務），例如透過一些不需要AD密碼就可以登入的功能來竊取加密過的資料，接著就可以進一步入侵其他伺服器了。張裕敏表示：「IT人員務必時刻關注AD伺服器的動態。」                                                                                                                                              駭客成功入侵後，開始蒐集與打包資料，從POS系統的記憶體中找到Target客戶資料和信用卡資料，為了避免竊取的資料被發現，駭客先將這些資料打包成.dll檔案，並且透過網路芳鄰將資料除存在Target內部的一臺網路分享電腦中。

除入侵AD伺服器外，駭客也入侵微軟SCCM伺服器，並利用SCCM派送鎖定POS機的惡意程式BlackPOS到所有的POS系統，並先占領其中一臺伺服器當做內部攻擊的中繼站。張裕敏說，因為Target內部暗藏了中繼站電腦，所以即便POS機電腦硬碟都格式化來刪除資料也完全沒用，惡意程式仍可以在內部擴散蔓延。

目前已經確認，駭客透過一套BMC軟體來存取偷取Target的資料。因為該套軟體會透過FTP外傳資料，駭客就用同樣手法外傳資料。這些駭客竊取的資料已經可以在俄羅斯的黑市發現，有一批外洩的信用卡資料到期日到2025年，已經將這批資訊送交VISA調查；而卡片背面後3碼資訊更被賣到越南黑市製作偽卡。Target個資外洩事件發生9個月後，所有高階主管都換過一輪，連執行長也因此下臺。張裕敏表示，這類網路犯罪型的APT攻擊，會攻擊整個供應鏈最脆弱的環節，只有公司組織安全還不夠，必須連其他合作的供應商都安全，才是真的安全。

南韓核電廠資料外洩關鍵是文書軟體漏洞

另外一個因為APT攻擊導致資料外洩，就是才剛發生在今年3月12日的南韓核電廠外洩事件。張裕敏表示，這是一場持續性的資安事件。為什麼會持續發生的關鍵點在於，廠內所有電腦硬碟進行格式化作業不夠徹底。張裕敏認為，除非所有機器同時一起執行格式化且重灌系統，否則，只要採取分區或分部門來進行電腦重灌，就容易讓駭客有可趁之機。像這起南韓核電廠事件中，出現了一個看得到但找不到電腦的IP，實體電腦有8臺，但從網管軟體上看到的卻是9臺，「消失的幽靈機器可能是駭客掌控的機器」；另外，有些虛擬機器若沒有良好的控管，也可能出現幽靈虛擬機器而成為新的管理風險。

若追查南韓核電廠資料外洩事件，可從2014年11月28日發現的南韓常用HWP格式的惡意文件開始，到後來該惡意文件變成5,980封惡意郵件寄給3,571人，直到去年12月10日，惡意程式被觸發執行後，核電廠內部網路偵測到大量惡意程式的連線。張裕敏表示，HWP是韓國常用文書處理系統，和微軟相容但漏洞很多，甚至沒有CVE漏洞編號，這表示大多數HWP文書處理應用程式都不知道應該要修補漏洞，這也證明，要透過HWP應用程式的弱點攻擊韓國，其實很容易。

這起南韓核電廠資料外洩事件，駭客原本的目的是要錢，先透過部落格公布內部員工資料，像是一些員工身心調查資料都遭外洩來勒索金錢，宣稱發動攻擊的駭客集團為「Who Am I」，甚至還開設臉書帳號發訊息，最後則是利用推特（Twitter）公布南韓核電廠資料的下載連結，而引發各界重視。

韓國政府介入調查後發現，攻擊來源是從三個VPN端點入侵，也要求中國協助調查。南韓核電廠外洩資料總共發現，有12種類型、共計117件資料外洩。目前所知，南韓外洩的資料不只是水冷式裝置地圖被公布，連核能鈾棒也被駭客控制，只要駭客下命令，隨時可以讓核能鈾棒超標數倍。

買遍APT產品，不如自己打造一個IR團隊

張裕敏表示，每一個APT產品都有自己的特色及專長，不是宣稱可以預防APT攻擊，就是適合每一個組織單位。關鍵點在於，所有的組織單位都必須清楚掌握內部系統哪個環節最重要，不過，駭客也很容易得知每個系統的重要性資訊。因此，他建議：「現在的資安防禦策略是，企業要預設已經被入侵，而不是防範被入侵。」因為防禦的視角不一樣，有能力做現場資安事件處理（IR）團隊，會比買遍各家APT產品更有用。

資料出處：http://www.ithome.com.tw/news/95149