【資安日報】2022年1月28日，台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

近期電源供應設備大廠台達電遭到網路攻擊的事故，外界傳聞就是遭到勒索軟體攻擊，而昨天有不具名的資安業者向國內媒體透露，攻擊者就是Conti，且提及受害規模、勒索軟體病毒檔雜湊值等細節。雖然台達電發出聲明嚴正駁斥，但外界找到疑似駭客留下的勒索訊息，甚至有人宣稱取得攻擊該公司的勒索軟體病毒，並上傳至VirusTotal，事故的真相顯然有待進一步分析。

而在疫情蔓延使得許多人再度遠距辦公之際，相關應用系統的漏洞也被駭客盯上。其中，又以VMware Horizon遠端工作系統，因存在Log4Shell漏洞，已有數起攻擊事故出現。其中最近一起攻擊行動，則是專門提供駭客初步入侵管道的掮客集團（Initial Access Broker，IAB），開始對於上述遠端工作系統出手，顯示這類存在相關漏洞的系統是許多駭客偏好的攻擊目標。

在今日資安新聞中，有近半數（3起）是APT駭客組織發動的攻擊行動，值得留意的是，駭客採用了過往較少見的手法，來隱藏攻擊意圖。

【攻擊與威脅】

台達電駁斥大量電腦與伺服器被Conti勒索加密的傳聞，但網站迄今仍無法運作

國內電源供應設備大廠台達電在21日，於股市公開觀測站證實遭駭，當時各界懷疑是遭勒索軟體攻擊，此事於1月27日傳出新的消息──根據國內媒體周刊王（CTWANT）報導，有國外資安公司的分析報告透露，對台達電下手的是勒索軟體Conti，其內部網路的6萬5千臺電腦中，有1千5百臺伺服器與1萬2千臺電腦被加密。

該報導中也提及，台達電委託趨勢科技與微軟資安團隊協助事件的調查。

針對上述的報導內容，台達電在28日再度於證交所發布發布重大訊息駁斥，指出該報導並非實情，並強調該公司營運相關系統皆已恢復正常。但截至1月28日下午5時，該公司網站仍無法運作，顯示網站系統維護中的訊息。

駭客大肆收集存在Log4Shell漏洞的VMware遠端工作平臺名單，用戶應加速修補的腳步

攻擊者鎖定遠端工作平臺VMware Horizon，並找尋存在Log4Shell漏洞的系統下手的情況，已有數起事故，如今有人疑似專門收集此種型態的攻擊目標名單，再轉售給其他駭客牟利。IT業者BlackBerry的威脅情報團隊指出，以提供攻擊者入侵受害組織管道的掮客（Initial Access Broker，IAB）組織Prophet Spider，近期針對存在上述弱點的VMware Horizon發動攻擊，鎖定其中存在漏洞的Tomcat元件下手，再藉由PowerShell或命令提示字元，植入挖礦軟體，或是植入Cobalt Strike的Beacon進行控制。研究人員認為，當IAB盯上存在某項漏洞的特定系統，代表有許多駭客組織也偏好朝向這類目標下手。

北韓駭客Lazarus以航太職缺發動網釣攻擊，並濫用Windows Update元件進駐受害電腦

為了藏匿行蹤，駭客將惡意軟體的處理程序，植入合法的元件裡運作，而且常常是選擇作業系統內建的軟體，進行寄生攻擊（LoL）。例如，資安業者Malwarebytes最近揭露一起疑似由北韓駭客組織Lazarus發動的攻擊行動，駭客自2021年12月下旬，以美國航太業者Lockheed Martin的名義，發出徵才的網釣郵件，一旦收信人點選附件的說明文件，就會觸發惡意巨集，然後將攻擊者的程式碼先後注入檔案總管，以及Windows Update元件（wuauclt.exe），以便持續在受害電腦上運作。與過往不同的是，有別於許多駭客藉由檔案共享服務來架設C2中繼站，本次Lazarus濫用的對象是程式碼代管平臺GitHub。

俄國駭客APT29藉由竊取瀏覽器Cookie，繞過雙因素驗證接管Office 365帳號

駭客破解雙因素驗證（2FA）有新招，而且埋藏了2年才被發現。資安業者揭露俄羅斯駭客組織APT29（亦稱CozyBear、The Dukes）自2019年中旬發起的StellarParticle攻擊行動，駭客藉由憑證跳躍（Credential Hopping）的手法，挾持受害者的Office 365帳號，而這些受害組織的共通點為皆啟用了雙因素驗證機制。

究竟這些駭客如何突破相關身分驗證機制？研究人員指出是竊取使用者瀏覽器的Cookie，藉由重放攻擊，來繞過雙因素驗證的流程。此外，APT29也在這起攻擊行動裡運用名為TrailBlazer的惡意軟體，同時針對Windows和Linux電腦下手，目的疑似是為了長期在受害電腦埋伏。

惡意軟體利用MSHTML漏洞，攻擊西亞政府高官與國防產業人士

在2021年9月被揭露的MSHTML重大漏洞，近期再被用於針對性的攻擊行動。甫由McAfee Enterprise和FireEye合併成立的資安業者Trellix，於1月25日公布疑似由俄國APT28（亦稱Fancy Bear、Strontium）發起的網路間諜攻擊行動，駭客於2021年10月至11月，透過釣魚郵件，向監督國家安全政策的西亞政府高層，以及國防產業人士下手。該組織利用MSHTML重大漏洞CVE-2021-40444，在受害電腦的記憶體內執行惡意程式。

研究人員強調，為了埋藏攻擊意圖，駭客將攻擊行動細分成6個階段進行，並使用名為Graphite的惡意軟體，且於OneDrive架設C2中繼站，並藉由Graph API通訊，使得攻擊流量難以識別。

安卓騙錢App上億用戶受害，損失數億美元

騙錢軟體看似無害，而能上架應用程式市集難被察覺異狀。資安業者Zimperium揭露自2020年3月出現的攻擊行動Dark Herring，駭客鎖定超過70個國家的安卓用戶而來，並在Google Play市集陸續上架近470個應用程式，這些App直接透過電信業者向受害者收費（Direct Carrier Billing，DCB），平均每月為15美元，而使得用戶難以察覺有異，迄今已有1.05億臺設備遇害，研究人員推測，駭客至少騙得數億美元。

Azure用戶遭到大規模DDoS攻擊，3.47 Tbps流量再創新高

大規模分散式阻斷服務（DDoS）攻擊的流量，再度創下新紀錄。微軟對於Azure用戶的DDoS防護情況，近日公布他們在2021年第3、第4季觀察到的態勢，當中提及他們於2021年11月，緩解了流量高達3.47 Tbps的攻擊事故，其封包傳送的速率為每秒3.4億個，這些流量從1萬個來源發出，分布於臺灣、美國、中國等10個國家。