【資安日報】2022年2月25日，SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

在今天的資安新聞中，駭客鎖定關鍵基礎設施（CI）發動攻擊事故，在9則新聞裡就有4則。這些事故包含了針對美國國防業者的後門程式SockDetour攻擊，以及伊朗駭客MuddyWater針對全球電信、國防、能源產業出手的情況。

在這兩天受到全球矚目，俄羅斯出兵烏克蘭的軍事行動，也傳出美國打算攻擊俄羅斯的關鍵基礎設施，希望以切斷軍隊後援的方式來阻止武裝衝突而引起外界關注。此項傳聞遭到白宮否認，但後續發展值得觀察。

而鎖定Exchange Server的攻擊行動中，有資安業者甫於前天揭露駭客使用滲透測試工具Cobalt Strike的事故，今天則有研究人員揭露勒索軟體Cuba，也透過這樣的管道入侵受害組織，發動勒索軟體攻擊。若是組織還沒有修補ProxyLogon、ProxyShell等重大漏洞，很有可能就會成為這些駭客的攻擊目標。

【攻擊與威脅】

SockDetour後門程式攻擊美國國防業者

美國國防產業遭駭客鎖定的情況，最近有研究人員發現埋藏超過2年的攻擊行動。資安業者Palo Alto Networks揭露在名為TiltedTemple的攻擊行動裡，駭客所運用的後門程式SockDetour，鎖定4家以上的美國國防業者下手，且至少有其中一家受害。駭客疑似從2019年7月開始利用此款後門程式，並藉由挾持網路連線的方式，在受感染的Windows伺服器上，以無檔案（Fileless）與無網路介面（Socketless）的方式靜悄稍地運作，而使得資安防護系統難以察覺異狀。

值得留意的是，駭客傳送這個後門程式的媒介，疑似是透過威聯通NAS設備，且很可能利用CVE-2021-28799等多個漏洞來入侵這些設備而得逞。對此，研究人員呼籲NAS用戶，要儘速安裝廠商提供的更新軟體，以免自己的NAS設備成為駭客作案工具。

伊朗駭客MuddyWatter鎖定全球關鍵基礎設施下手，美國、英國公布駭客使用的惡意程式

繼美國日前警告俄羅斯駭客針對關鍵基礎設施（CI）的攻擊行動後，伊朗撐腰的駭客組織也對這類設施出手。美國聯邦調查局（FBI）、網路安全暨基礎設施安全局（CISA）、美國網路司令部國家派遣部隊（CNMF）、英國國家網路安全中心（NCSC）聯合發出公告，表示他們觀察到伊朗駭客組織MuddyWater（亦稱Static Kitten、TEMP.Zagros），近期針對亞洲、非洲、歐洲、北美的政府與企業進行網路間諜行動，這些遭到鎖定的組織類型，涵蓋了電信、國防、能源產業，以及地方政府。

美國和英國指出，駭客運用多種惡意軟體發動攻擊，包含了PowGoop、Small Sieve、Canopy、Mori、Powerstats等，這些單位也公布上述惡意軟體的特徵，供相關組織防範。

美國傳出考慮對俄羅斯關鍵基礎設施進行網路攻擊，遭白宮否認

俄羅斯於2月24日對烏克蘭宣戰並發動攻擊，美國與歐盟多國嚴厲譴責，但傳出美國可能會透過網路攻擊來重創俄羅斯的國力，讓俄羅斯及早撤軍。NBC News取得4名知情人士（包含2名美國情報員、1名西方情報員，以及另一名未透露身分的人士）的說法指出，美國正在打算俄羅斯發動大規模的網路攻擊，美國總統拜登正在與相關人士討論如何出手，知情人士透露，這些攻擊目標包含了中斷俄羅斯的網路、停止電力供應，或是操控鐵路等策略，來阻絕俄羅斯對於軍隊的後勤補給能力。

消息人士指出，美國政府很可能會暗中發動攻擊，而不會承認他們正在籌畫此事。針對上述報導，美國國家安全會議發言人Emily Horne予以否認，認為報導內容偏離事實，未反映任何白宮所討論的事項。

俄羅斯駭客APT29鎖定土耳其大使館相關人員，發動釣魚郵件攻擊

國家級駭客組織近期動作頻頻，最近也意圖對於外交單位下手，意圖發動HTML挾帶攻擊（HTML Smuggling）。資安業者Fortinet發現，俄羅斯駭客組織APT29（亦稱Cozy Bear、Nobelium），近期假冒與土耳其大使館有關人士，以武漢肺炎的名義發送釣魚郵件，郵件內含HTML檔案的附件，一旦收信人開啟附件檔案，此HTML檔案就會透過惡意程式投放器EnvyScout，產生名為Covid.iso的ISO映像檔，收信人若是開啟ISO映像檔，就有可能讓電腦被植入滲透測試軟體Cobalt Strike，而讓駭客能進行監控。

勒索軟體Cuba鎖定Exchange Server而來

又是Exchange Server遭到鎖定的攻擊行動！資安業者Mandiant揭露駭客組織UNC2596的攻擊行動，這些駭客鎖定尚未修補重大漏洞的Exchange Server，如ProxyLogon、ProxyShell，入侵受害組織散播勒索軟體Cuba（亦稱Colddraw），主要是針對政府組織與公營事業單位而來，約有8成的受害者位於北美。

研究人員指出，UNC2596入侵受害組織的方式，從過往的垃圾郵件、惡意程式，如今偏好藉由應用系統的漏洞下手。因為，相較於透過釣魚郵件，利用應用程式的漏洞入侵受害組織較為容易成功，加上近年來被公布的漏洞數量大幅增加，使得許多駭客組織也傾向針對這些漏洞出手──特別是已經公布、但企業尚未修補的漏洞。研究人員認為，駭客透過這些已知漏洞的入侵受害組織的手法，未來將會更為頻繁。

惡意軟體Electron Bot偽裝成遊戲程式發布到微軟市集，意圖以被感染的電腦點擊特定網站，操弄社群網站的流量

駭客濫用應用程式市集來散布惡意軟體的情況，過往多半針對Google Play和蘋果App Store，但近期也有鎖定微軟市集而來的攻擊行動。資安業者Check Point揭露名為Electron Bot的惡意軟體，駭客將其偽裝成地鐵跑酷（Subway Surfer）、神廟逃亡（Temple Run）等遊戲，上架到微軟市集吸引Windows用戶下載安裝，一旦安裝這些遊戲，受害者的電腦就會被Electron Bot控制。研究人員至少發現超過5千臺電腦遭到感染，多數受害電腦位於瑞典、保加利亞、俄羅斯、百慕達、西班牙。

駭客的目標是用來操弄Facebook、Google、YouTube、Sound Cloud等社群網路平臺的流量，以這些電腦發動網站最佳化排名（SEO）中毒攻擊、廣告點擊，或是將網路流量導向特定網頁等。研究人員警告，攻擊者很有可能日後也會透過Electron Bot來投放其他惡意軟體。

【漏洞與修補】

三星手機存在加密缺陷，1億手機恐曝險

手機製造商所導入的加密機制存在設計瑕疵，很可能影響甚廣。以色列臺拉維夫大學（Tel Aviv University）的研究人員揭露，三星在安卓手機的TrustZone金鑰管理規畫上存在漏洞CVE-2021-25444、CVE-2021-25490，駭客可用於截取由硬體保護的金鑰機密資料。

這些漏洞影響三星自2017年至2021年推出的旗艦手機，包含S8、S9、S10、S20、S21系列機種，粗估有1億支手機受到波及。三星在去年獲報後已修補相關漏洞。

開源網頁郵件管理系統Horde存在XSS漏洞，恐導致用戶帳號遭挾持

網頁郵件管理系統存在的漏洞，很有可能導致用戶的電子郵件帳號受到波及。資安業者SonarSource指出，他們在開源的網頁郵件管理系統Horde Webmail上，發現存在長達9年的XSS漏洞，攻擊者一旦利用這項漏洞，就能藉由特製的OpenOffice文件，在收件人透過預覽模式檢視時，執行惡意JavaScript程式碼，進而存取使用者電子郵件信箱裡的所有敏感資料，而有可能找到存取受害組織內部應用系統的管道。

上述漏洞通報後已得到開發者的確認，但尚未有修補程式，研究人員呼籲管理者應停用OpenOffice文件的預覽功能。

【資安產業動態】

Cloudflare以1.62億美元買下雲端郵件安全業者Area 1 Security

雲端服務業者Cloudflare於2月23日宣布，將以1.62億美元的價格，買下雲端郵件安全服務業者Area 1 Security，並預告會將其郵件安全技術與Cloudflare的零信任安全平臺整合。而這是Cloudflare自2021年首度推出郵件安全解決方案之後，強化該領域產品線的併購案，期望能強化有關釣魚郵件的防護能力。