資安一周[0729-0804]：勒索軟體利用外洩受害者個資威脅來支付贖金

重點新聞（07月29日-08月04日）

臺灣HITCON CTF戰隊創紀錄，再度奪得世界駭客大賽DEFCON CTF第二名

第25屆世界駭客大賽DEF CON CTF於7月30日公布最終比賽結果，臺灣團隊HITCON CTF獲得第二名好成績，僅次美國冠軍隊伍PPP，打敗中國、韓國、以色列等國家。這是繼2014年之後，HITCON CTF再度取得全球第二名的紀錄。

這次大會除了發布新的CPU架構和指令集cLEMENCy外，還在比賽前一天告知比賽團隊，這次比賽更改了系統設計，將現實世界認定的8個位元組成1個位元組（8 Bits=1 Byte）的規則，改為9個位元組成1個位元組，造成HITCON CTF團隊在正式開賽前一天趕緊重新改寫現有的工具來適用新架構。不僅挑戰比賽者的開發能力，還挑戰比賽者對CPU運作與OS層級核心知識的深度。

除了遙控採礦，SambaCry漏洞攻擊者開發新木馬，專攻Windows裝置開後門

卡巴斯基實驗室研究人員6月才揭露，駭客利用SambaCry漏洞開採虛擬貨幣Monero。研究人員又在7月25日發現，同個駭客這次不攻擊Linux OS的裝置，反而轉攻Windows OS裝置來開發新的惡意程式CowerSnail，在受感染電腦上建立後門程式，竊取裝置資料，包括OS類型、OS名稱、裝置名稱、網路介面（network interfaces）資訊、應用二進位介面（application binary interface，ABI）資訊、記憶體和處理器資訊。

駭客躲避垃圾郵件過濾，直接在釣魚郵件嵌入偽造郵件服務網頁

近來垃圾郵件過濾機制的管控越來越嚴密，大部分含可疑附件的電子郵件很容易被擋住。但趨勢科技27日揭露新的釣魚手法，駭客為了躲避垃圾郵件過濾機制，已經不在電子郵件內夾帶惡意程式的檔案，而是改為直接內嵌多家郵件服務的HTML網頁，直接要求使用者在網頁輸入帳密來騙取個資，攻擊方式不限OS平臺或瀏覽器來發動，容易引起更多人上鉤，從2016年7月到2017年6月，研究人員已經發現了14,867筆遭攻擊紀錄。

Google發現間諜軟體偽裝20款App，掃描目標裝置漏洞來竊取內部資料

多數使用者會下載具有清理功能的App，來清掃行動裝置內部的垃圾檔案，以恢復運作速度和降低溫度，但Google資安研究人員於7月26日揭露，他們發現間諜軟體Lipizzan偽裝Google Play中20款App，包括具備份、清掃功能的App，暗中蒐集目標裝置內部資料。研究人員解釋，使用者安裝Lipizzan偽造的App後，App首先要求使用者需要授權驗證才能使用，同時掃描目標裝置的系統漏洞，以及中止特定的驗證機制。再者，Lipizzan利用漏洞將目標裝置內部資料傳輸到C&C伺服器，竊取資料包括通話紀錄、GPS位置、螢幕畫面、相片、裝置資訊，甚至還蒐集特定App資料，例如Gmail、FB Messenger、Skype、Whatsapp和Telegram等12種App。

OCR軟體的Chrome外掛遭駭客竄改成廣告派送程式，近4萬名用戶受影響

有時使用者需要複製圖片或影片的文字，選擇安裝光學辨識技術（OCR）開發的文字辨識軟體，截取圖片中的文字來複製。一款文字辨識軟體Copyfish於7月28日遭駭客修改其Google Chrome擴充程式，轉變成推送廣告與垃圾郵件的廣告程式，超過37,500名用戶受到影響。由於Copyfish開發團隊a9t9成員收到冒充Chrome網路商店開發人員的釣魚信件，要求點擊信中偽造Google開發人員網頁的連結，來更新Copyfish的Chrome擴充程式，該成員在該網站輸入Chrome開發人員帳密後，隨即遭駭客竊取Chrome擴充程式開發人員的權限，並為Copyfish增加推送廣告與垃圾郵件功能。a9t9警告用戶，目前Copyfish的Chrome擴充程式仍遭駭客挾持，建議用戶停止使用。

HBO遭駭！權力遊戲最新尚未上架影片傳遭駭客外洩

根據《Entertainment Weekly》於7月31日報導，知名電視頻道HBO公司近日內部系統遭駭客入侵，竊取了約1.5TB的資料，除了公司內部資料外，還有尚未上架的影集影片，如權力遊戲（Game of Thrones）第七季、好球天團（Ballers）和Room 104等，而且駭客宣稱這些影集內容已經外洩在網路上，目前HBO邀請執法機構與資安公司共同合作調查此事情。

勒索軟體不加密裝置內部檔案，但外洩個資威脅受害者支付贖金

一般勒索軟體利用加密受害者裝置內部的檔案，或是鎖住裝置螢幕，來威脅受害者支付贖金才願意解密，但趨勢科技研究人員於31日揭露，他們發現了一款行動裝置勒索軟體LeakerLocker，植入在Google Play上架的App，分別是「Wallpapers Blur HD」、「Booster & Cleaner Pro」和「Calls Recorder」，LeakerLocker不會加密受害裝置檔案，但會竊取內部資料，並威脅受害者若不支付贖金就外洩資料給所有聯絡人。

研究人員鎖定Container開發人員為攻擊目標，展示Host Rebinding攻擊手法

提供容器安全服務廠商Aqua Security近日在駭客大會Black Hat展示攻擊Docker開發人員的手法，首先將Docker開發人員誘導至駭客所控管的網頁，利用Docker API執行非特權的程式，接著展開主機重新綁定（Host Rebinding）攻擊，來取得受害者機器上的Docker守護進程控制權，這時駭客已可呼叫任何Docker API，最後再於Docker中植入影子容器，以長駐於Hypervisor中。

中國蘋果App Store全面下架VPN程式，駭客更易發動中間人攻擊

VPN廠商ExpressVpn於7月29日在官網聲明表示，蘋果為了配合中國法律的規定，寄信通知提供VPN功能的廠商，全部下架VPN App，但是其他地區App Store不受影響。

蘋果7月中才剛配合中國《網路安全法》規定，在貴州成立資料中心，當時外界認為這是加強網路控管的手段之一，此次，蘋果又全面下架VPN，資安公司ESET表示，這現象凸顯蘋果屈服於中國威權之下，但這是中國政府的問題，並不是蘋果的問題，ESET同時也強調，中國移除所有VPN後，駭客可能利用不安全Wi-Fi基地臺發起中間人攻擊，以及政府也會更容易監控與審查中國人民使用網路的情況。整理⊙黃泓瑜