【資安日報】2022年1月12日，微軟發布1月例行修補，修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

到了1月的第2週，微軟一如預期於昨天（1月11日）發布例行修補（Patch Tuesday），修補近百個漏洞。值得留意的是，這次修補漏洞的數量，不只比上個月多出快一半，也比過往一月份的平均多出一倍。這樣的情況，也使得漏洞懸賞專案Zero Day Initiative（ZDI）認為，今年的其他月份，也有可能會出現較過往更多漏洞。

除了IT廠商發布的漏洞例行修補，Log4Shell漏洞的後續效應仍然相當嚴重，尤其是陸續有數個駭客組織用來攻擊採用VMware遠端工作平臺的組織，但也有APT駭客運用這項漏洞，在受害組織植入後門程式，來進行第2階段的攻擊行動。再者，也有化妝品業者因Log4Shell遭到入侵，而向執法單位通報。

在漏洞相關資訊與事故之餘，最近一款名為SysJoker的後門程式，同時鎖定使用Windows、macOS、Linux的使用者而來，且各版本的功能幾乎一致，僅Windows版多了刪除登錄碼與惡意程式本身的功能。這種跨平臺的惡意軟體，也使得使用macOS、Linux等作業系統的用戶同樣受到波及。

【攻擊與威脅】

勒索軟體Night Sky透過Log4Shell漏洞，鎖定VMware遠端工作平臺發動攻擊

又是利用Log4Shell漏洞、針對遠端工作平臺VMware Horizon下手的攻擊事故。微軟於1月10日發布警告，中國駭客組織DEV-0401在1月4日發動相關攻擊，進而在受害組織部署勒索軟體Night Sky。這個勒索軟體最早約於2021年12月出現，根據捷克研究人員Jiří Vinopal比對，Night Sky為勒索軟體Rook改造而成。值得留意的是，DEV-0401在發動攻擊的過程裡，所連線的C2中繼站，架設於看似趨勢科技、Sophos、Nvidia等IT業者所屬的冒牌網域，而可能騙過不少網路防護系統。

化妝品業者克蘭詩遭到Log4Shell漏洞攻擊，客戶資料恐外洩

根據新加坡媒體CNA的報導，法國知名化妝品品牌克蘭詩（Clarins）在網站上發布公告，表示該公司出現資料外洩事件，且可能涉及新加坡客戶的個資，包含姓名、地址、電子郵件，以及客戶忠誠度資料等，但不包含密碼、信用卡資料。該公司指出，這次事件疑似與他們在系統中廣泛使用的Log4j有關，儘管在Log4Shell修補程式推出後的數個小時就予以修補，但他們還是在漏洞細節公布後遭到攻擊。

伊朗駭客組織利用Log4Shell漏洞，在受害組織植入PowerShell攻擊工具，以進行後續攻擊行動

廣泛存在於眾多系統的Log4Shell漏洞，已成為許多攻擊者入侵受害組織的管道。在Log4Shell漏洞細節公開數日後，資安業者Check Point發現，伊朗駭客組織APT35（亦稱Charming Kitten、Phosphorus）掃描存在相關漏洞的應用系統並入侵，然後從AWS S3儲存桶裡，下載名為CharmPower的PowerShell後門程式。該後門程式可用來檢查網際網路連線狀態、枚舉受害電腦的組態，然後從C2中繼站下載其他功能模組，以執行後續攻擊行動。研究人員認為，CharmPower讓這些駭客能快速結合手上現有的軟體，在得知Log4Shell這種重大漏洞後，用來打造能突破重重資安防護的攻擊工具。

一口氣鎖定Windows、macOS、Linux電腦的後門程式，攻擊者多次更換C2中繼站網址來藏匿行蹤

一般而言，許多惡意軟體的發展過程，往往是從鎖定特定的平臺，後來才延伸開發針對其他作業系統的版本。但資安業者Intezer揭露的後門軟體SysJoker，同時針對Windows、macOS、Linux等多個作業系統，藉由系統更新的名義來散布。攻擊者自2021年12月使用這個後門程式，他們也與伊朗駭客APT35一樣，濫用雲端服務來藏匿行蹤──研究人員看到該後門程式透過在Google Drive上的文件字串，來產生C2中繼站的網址，在調查的過程裡，C2網址更動了3次。而對於攻擊的來源，研究人員認為，有可能是經由受感染的NPM（Node Package Manager）套件而來。

竊密軟體RedLine假借Omicron病毒的名義進行散布

資安業者Fortinet發現，攻擊者散布竊密軟體RedLine又有新的手法，最近利用武漢肺炎變種病毒Omicron的疫情，以提供這種變種病毒感染數據（Omicron Stats.exe）的軟體，透過釣魚郵件挾帶，然後引誘受害者執行。研究人員提到，這個新的RedLine也能為攻擊者收集更多電腦資訊，如顯示卡的名稱、BIOS資訊、硬碟型號等，且能鎖定Opera GX瀏覽器，以及OpenVPN、ProtonVPN等VPN連線軟體。

虛擬實境內容平臺愛實境遭DDoS攻擊，竟是離職員工所為

企業遭到網路攻擊，我們很可能會認為是被外部的駭客盯上，但熟悉內部網路環境、甚至握有相關權限的員工或前員工，也可能對公司造成危害。內政部警政署刑事警察局在1月11日宣布，去年10月底接獲虛擬實境內容平臺業者愛實境（iStaging）報案，該公司遭不明人士試圖攻擊伺服器，客戶反應虛擬展間服務出現異常，造成營運成本損失約400至500萬元，該案已破獲。

根據中央社報導，警方在破案記者會上說明，經調閱該公司後臺事件記錄檔（Log）分析，攻擊者於2021年10月25日多次變造身分，發動DDoS攻擊讓該公司系統無法正常運作，且透過VPN隱藏原始來源IP位址。另根據TVBS等多家電視臺報導，經追查原始來源IP位址後，發現愛實境前員工54歲彭男涉有重嫌，該嫌到案後供稱是要展現自己的駭客技術，全案移送臺北地檢署偵辦。

【漏洞與修補】

微軟2022年首個Patch Tuesday修補近百個安全漏洞，當中有6個為零時差漏洞

微軟於1月11日發布2022年第一次每月例行修補（Patch Tuesday），總共修補了96個漏洞，其中有9個為重大漏洞、6個為零時差漏洞，但所幸皆未遭到駭客利用。針對本月微軟修補的情況，趨勢科技旗下漏洞懸賞專案Zero Day Initiative（ZDI）表示，今年修補漏洞的數量，為過往一月份的2倍，亦較2021年12月（67個）多出快一半，2022年其他月份是否也會持續這樣的漏洞數量成長，值得觀察。

盈碼科技NetUSB驚傳RCE漏洞，恐波及數百萬路由器

資安業者SentinelOne於1月11日，揭露由臺灣USB共享解決方案業者盈碼科技（KCodes）所推出的NetUSB軟體，存在CVE-2021-45388漏洞，一旦攻擊者利用這項漏洞，能在作業系統核心層級執行程式碼。由於NetUSB廣泛運用於Netgear、TP-Link、D-Link等廠牌的路由器，恐有數百萬臺設備存在相關漏洞。研究人員向盈碼通報後，該公司於11月下旬表明在12月20日前發布修補程式。此外，Netgear也於12月20日，公告有3款產品D7800、R6400v2、R6700v3受此漏洞影響，並提供修補韌體。

macOS驚傳能讓攻擊者繞過防護機制的漏洞，伸手用戶資料

微軟發現macOS一項漏洞Powerdir（CVE-2021-30970），攻擊者一旦利用這項漏洞，可繞過該作業系統的Transparency Consent and Control（TCC）防護機制，在未經使用者授權的情況下存取電腦的檔案，蘋果獲報後已於12月13日發布macOS Monterey 12.1及macOS Big Sur 11.6.2，修補相關漏洞。

【近期資安日報】

2022年1月11日，網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷，原因是NPM套件作者自毀程式碼

2022年1月10日，Log4Shell再被用於攻擊VMware遠端工作平臺，小心透過Google語音電話挾持帳號的詐騙

2022年1月7日，NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字，Java的RMI協定可被用於SSRF攻擊

2022年1月6日，駭客針對17家公司進行撞庫攻擊，惡意軟體ZLoader透過網管軟體投放

2022年1月5日，研究人員發現70個網站快取中毒漏洞，摩根史坦利支付6千萬美元和解資料外洩訴訟

2022年1月4日，從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

2022年1月3日，Log4Shell漏洞被用於攻擊學術機構，網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

2021年12月30日，加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

2021年12月29日，密碼管理系統LastPass驚傳遭到帳號填充攻擊，音訊設備大廠、美國物流業者雲端配置不當

2021年12月28日，資安成國際半導體展要角，勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

2021年12月27日，IT業者公布Log4Shell漏洞影響情形，疑似由Babuk修改而成的勒索軟體Rook已有受害者