【資安日報】2021年11月4日

圖片來源:

思科

今天的頭條新聞，不意外地與勒索軟體攻擊有關仍是最多，像是勒索軟體利用日前揭露約半年的ProxyShell漏洞，鎖定Exchange下手，而英國工黨在上個月底遭到勒索軟體攻擊，最近發出公告，黨員的個資疑似遭竊，要黨員多加留意。而昨天才被揭露使用自製強力竊密工具的BlackMatter，今天卻表示他們要暫停提供勒索軟體工具訂閱的業務（Ransomware-as-a-Service），原因是他們遭到施壓。不過，研究人員認為，這樣的情況，有可能只是使得這些駭客改用其他勒索軟體來發動攻擊。

但在勒索軟體橫行的情況，也有人打著勒索軟體駭客組織的名義，來發布訊息，藉此吸引資安公司與媒體的目光，但也有資安業者認為，不能排除還有另一種可能性：這個組織只是未依照計畫做出攻擊工具，而沒有實際的攻擊行動。

此外，有人在地下論壇販賣存取航運、物流公司的帳密，這樣的現象也值得留意。因為，這很有可能是攻擊者入侵這些公司的管道，而造成這些公司可能會營運中斷，甚至會影響全球貨物的運送。

【攻擊與威脅】

勒索軟體Babuk鎖定Exchange漏洞發動攻擊

思科在10月12日發現勒索軟體Babuk的攻擊行動，Tortilla駭客透過存在ProxyShell漏洞的Exchange伺服器入侵受害組織，進而在其網路環境散布勒索軟體。攻擊者採用相當不尋常的感染鏈手法，從文字共享服務pastebin.pl取得解密工具，且於記憶體內執行解密工作，讓惡意程式的酬載執行。思科指出，受害組織多數位於美國，但在英國、德國、烏克蘭、芬蘭、巴西、洪都拉斯、泰國也有少量受害者。

疑受到政府機關施壓，勒索軟體組織BlackMatter宣布停止提供攻擊工具

勒索軟體駭客組織BlackMatter於11月3日宣布，基於來自執法機關的施壓，他們將終止提供作案工具的服務（Ransomware-as-a-Service）。但揭露此事的威脅情報業者Group-IB指出，這項措施並不代表原本使用BlackMatter的駭客會就此金盆洗手，而是很有可能改用其他的勒索軟體繼續從事攻擊行動。此外，Group-IB認為，應該很快會有新的勒索軟體接替BlackMatter。

英國工黨驚傳資料外洩，起因是合作廠商遭到勒索軟體攻擊

英國工黨發出公告，他們在10月29日接獲通報，經手工黨資料的外部廠商遭到網路攻擊，該廠商因此無法存取所保管的工黨資料。工黨獲報後，隨即邀集外部專家進行調查，並通報主管機關，包含英國國家犯罪局（NCA）、英國國家網路安全中心（NCSC），以及資訊專員辦公室（ICO）。知情人士向新聞網站Sky News透露，這個握有工黨資料的受害廠商，遭到了勒索軟體攻擊。

有人謊稱是勒索軟體駭客組織發布消息，目的竟是為操弄資安業者與媒體

在今年9月，名為Groove的新興勒索軟體駭客組織引起不少資安專家注意，原因是該組織呼籲勒索軟體駭客應互相合作，聯合攻擊美國政府。但實際上，這個組織其實是個騙局，背後的駭客疑似想要愚弄資安公司與記者。一名自稱是Boriselcin的人士近期在俄羅斯駭客論壇XSS表明，勒索軟體組織Groove實際上是他成立的虛假組織，他打算透過勒索軟體駭客的部落格內容，吸引資安公司與新聞媒體的關切。

駭客佯裝菲律賓政府進行網路釣魚攻擊

資安業者Proofpoint揭露TA2722（又名Balikbayan Foxes）駭客組織的攻擊行動，他們假冒多個菲律賓的政府組織、當地的DHL、駐沙烏地阿拉伯的馬尼拉大使館的名義，發送含有惡意連結的釣魚郵件，藉此散布Remcos與NanoCore等RAT木馬程式。該組織攻擊目標橫跨北美、歐洲，以及東南亞，且針對製造業、物流業、法務機關、藥廠、企業服務、能源產業，以及金融業下手。

駭客兜售國際航運與貨運公司的網路存取權限，恐干擾物流運作

威脅情資業者Intel 471提出警告，他們自7月開始，陸續看到有人銷售國際航運與物流公司的內部網路存取帳密，這些賣家提供買家存取受害公司的方式，包含了遠端桌面連線（RDP）、VPN，以及Citrix和SonicWall的網路設備等。

賣家很可能是透過上述網路設備的漏洞，來獲得帳密，Intel 471看到這些賣家，將上述的存取資訊賣給Conti、FiveHands等勒索軟體駭客組織。

因資料庫不設防，上萬名美國醫學生個資外洩

專門提供VPN服務分析的網站vpnMentor於11月3日指出，他們的研究團隊於9月初發現，提供抽血訓練的Phlebotomy Training Specialists，將全美國1萬名學生的完整記錄，儲存於配置不當的AWS S3帳號。這些資料從2020年9月開始儲存，總共有199,612個檔案，大小為157 GB，粗估可能涉及共27,000名至50,000名人士的個資。vpnMentor通報Phlebotomy Training Specialists、Amazon，以及US-CERT，該S3帳號於10月上旬得到保護。

傳出第二起AI語音模仿公司老闆聲音要求轉帳的身分冒用攻擊，有銀行經理接到公司董事來電，並收到相關法律電子郵件，對方騙稱收購案須轉出巨額資金

有位香港的銀行經理於2020年初，接到對方自稱是公司董事的來電，並收到相關法律電子郵件，佯稱因併購案須轉出巨額資金3,500萬美元，由於對方的聲音聽起來是這名經理曾經交談過的董事，該經理不疑有他將資金轉出。但實際上，這是全球第2起使用AI語音仿造公司老闆聲音的詐騙案。

最近一份美國法院文件透露，阿拉伯聯合大公國正尋求美國協助，追回上述詐騙案其中的40萬美元。該文件亦指出，這起事件至少有17人涉案。

【漏洞與修補】

蘋果macOS驚傳核心層級漏洞Shrootless，能讓攻擊者繞過系統安全防護機制

微軟的研究人員發現macOS漏洞Shrootless（CVE-2021-30892），一旦攻擊者利用這項漏洞，就能繞過該作業系統內建的系統完整性保護機制（System Integrity Protection，SIP），進而在受害電腦上執行任意操作。蘋果獲報後於10月26日修補這項漏洞。

電信交換機軟體FreeSwitch出現多個漏洞，恐讓歹徒挾持通話

德國電信資安顧問公司Enable Security指出，開源的軟體定義電信堆疊軟體FreeSwitch存在5個漏洞，一旦遭到利用，將會導致執行FreeSwitch的系統面臨阻斷服務、身分驗證異常，以及資料外洩等情況。這些漏洞已於10月25日發布的1.10.7版FreeSwitch完成修補。

美國要求聯邦機構限期修補近300個已被用於攻擊行動的漏洞

美國網路安全暨基礎架構管理署（CISA）於11月3日，發布今年第1次約束性作業指引（Binding Operational Directive，BOD），要求聯邦政府各部會應在一定期間內，修補去年及今年內遭到利用的軟、硬體漏洞，新漏洞得在2周內修補完成。

再者，CISA也成立已知漏洞資料庫，彙整美國政府所使用的產品中，被發現用於攻擊行動的數百個漏洞：從2017年至2020年約有200個，2021年則有90個。CISA要求，2021年的漏洞，各機關必須在11月17日修補完成，2020年以前的漏洞，則要在2022年5月3日以前修補。

【資安防禦措施】

美國公布首批網路惡意活動的實體名單，包含NSO Group等4家公司

美國商務部工業安全局（BIS）於11月3日，將4家網路攻擊公司或是資安業者，列入實體名單，禁止美國企業與公民與這些公司交易。這份名單包含了以色列網路攻擊公司NSO Group及Candiru，以及俄羅斯威脅情報業者Positive Technologies、新加坡資安顧問業者Computer Security Initiative Consultancy。至於這些公司被列入實體名單的原因為何？BIS指控，2家以色列網路攻擊公司供應間諜軟體給他國政府，讓買家能夠跨國進行鎮壓；另外2家公司則是銷售能非法存取資訊系統的網路工具，威脅全球組織的安全。