【資安日報】2022年2月9日，RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

老把戲再度被駭客拿來利用！被用於標記文字由右向左排列（RLO）的Unicode特殊字元，最近被用於網路釣魚攻擊，讓收信人誤以為附件的內容是語音留言訊息，但實際上卻是騙取微軟帳號的HTML檔案。

手機人人都有，網釣簡訊（Smishing）的攻擊手法，最近半年不斷出現相關的事故，且似乎有越來越嚴重的趨勢。在今天的資安新聞裡，有一則是駭客之間互相仿效，加入以這種簡訊來散播手機木馬程式的行列；另有一則是原先以亞洲國家為目標的駭客，自去年起將其攻擊範圍擴大至法國、德國等歐洲國家。

【攻擊與威脅】

駭客透過Unicode特殊字元誤導附件內容，對Microsoft 365用戶進行網釣攻擊

標記由文字右至左排列（Right-to-Left Override，RLO）的Unicode特殊字元，被駭客用於攻擊行動已超過20年，但利用這種字元的手法，最近再度出現。

資安業者Vade揭露騙取Microsoft 365用戶帳密的網釣攻擊，駭客以語音訊息的名義寄送釣魚郵件，一旦收信人開啟附件，就會出現偽造的Microsoft 365登錄網頁，若是輸入帳密就有可能被側錄。

從副檔名的部分來看，這種郵件挾帶的附件為MP3、WAV等聲音檔案，但實際上卻是檔名經過特殊處理的HTML檔案。例如，原本的附件檔案名稱為mp3.htm，在攻擊者加上前述的特殊Unicode字元後，收信人會看到mth.mp3。

研究人員提醒，用戶若是收到聲音檔案的附件，開啟後卻是出現網頁，很有可能是此種類型的釣魚郵件攻擊。

網釣簡訊攻擊Roaming Mantis同時鎖定iPhone和Android用戶，範圍從亞洲擴及歐洲國家

最近2年網釣簡訊攻擊（Smishing）相當氾濫，攻擊者不只藉此對Android手機植入木馬程式，也會將iPhone用戶引導到釣魚網站發動攻擊。卡巴斯基最近揭露Roaming Mantis網釣簡訊攻擊的擴散情形，這起事故自2018年出現，駭客主要針對日本、臺灣、韓國等亞洲國家下手，但自2021年開始，這些攻擊者也大肆攻擊法國、德國等國家的手機用戶。一旦用戶點選網釣簡訊的連結，Android用戶會被引導下載XLoader木馬程式（亦稱Wroba.g、Moqhao），而iPhone用戶則會連線假冒蘋果網站的釣魚網站。

安卓木馬Flubot、Medusa大肆透過網釣簡訊，攻擊銀行用戶

駭客以網釣簡訊（Smishing）攻擊散布安卓木馬Flubot的情況，已有數起事故，也引起其他攻擊者效仿。資安業者ThreatFabric指出，他們發現散布木馬程式Medusa的駭客，也使用網釣簡訊的方式發動攻擊，而且，這些人偽裝木馬程式的手法，幾乎與Flubot雷同。研究人員指出，Medusa具備側錄用戶輸入的內容、事件記錄的存取能力，但值得留意的是，該木馬程式還擁有半自動傳輸系統（Semi-ATS）的功能，可讓攻擊者替代受害者執行各式操作，例如，竄改受害者想要轉帳的銀行帳號，而把對方的戶頭洗劫一空。

惡意軟體Qbot在入侵後的30分鐘內，即竊取受害電腦的敏感資訊

駭客竊取受害電腦的機密資料，並於作案完成後清理現場，需要多久時間？很有可能不到半個小時。根據資安研究團隊DFIR Report對於近期的惡意軟體Qbot（又名 QakBot、Quakbot）攻擊行動進行解析後發現，該惡意軟體一旦感染受害電腦，隨即就自我提升權限，並在10分鐘內進行偵察，30分鐘內就竊取受害者的電子郵件和瀏覽器帳密，然後，在感染後50分鐘左右，進行橫向擴散，感染鄰近的電腦，並在竊密完成的受害電腦上，將作案工具清除，而使得受害電腦看起來沒有遭到入侵的跡象。

由於駭客散布Qbot的管道，是透過釣魚郵件挾帶含有惡意巨集的Excel檔案進行，研究人員呼籲要加強郵件安全的管理。

【漏洞與修補】

微軟2月Patch Tuesday修補51個漏洞

微軟於2月8日發布例行修補（Patch Tuesday），本次共修補51個漏洞，其中包含1個零時差漏洞，但有別於前面幾個月的情況，本月的這些漏洞尚未傳出遭到利用的情形，且沒有重大風險層級的漏洞。針對上述情況，趨勢科技漏洞懸賞組織Zero Day Initiative（ZDI）認為，部分漏洞還是相當值得留意，例如，DNS伺服器漏洞CVE-2022-21984，雖然要用戶啟用了動態更新機制後才會曝露於相關風險，但這種配置相當常見，ZDI認為應視為重大漏洞。

思科修補中小企業路由器產品的多項重大漏洞

思科於2月2日，針對旗下中小企業路由器產品RV系列，發布更新程式，當中修補15個漏洞，這些弱點可被攻擊者用來執行任意程式碼或命令、提升權限、繞過身分驗證程序等。其中，CVE-2022-20699、CVE-2022-20700、CVE-2022-20708等漏洞的CVSS風險層級皆達到了滿分10分。該公司強調沒有其他的緩解措施，呼籲用戶要儘速安裝修補軟體。

郵件伺服器Zimbra驚傳零時差XSS漏洞，且已出現攻擊行動

開源郵件伺服器軟體Zimbra也疑似成為中國駭客下手的目標。資安業者Volexity於2月3日，揭露一起於2021年12月出現的攻擊行動Operation EmailThief，駭客鎖定Zimbra的跨網站程式碼（XSS）零時差漏洞，對歐洲政府和媒體下手，攻擊者疑似是新的中國駭客組織TEMP_Heretic。駭客企圖藉由上述的XSS漏洞，在Zimbra連線過程執行JavaScript程式碼，來竊取受害者的郵件資料。這項漏洞影響8.8.15 P30版Zimbra，9.0.0版不受影響。在研究人員公布細節後，Zimbra計畫於2月5日提供修補程式。