【資安日報】2022年3月10日，俄羅斯同樣成為網站竄改與資料破壞攻擊的受害者、研究人員揭露新型態CPU推測執行漏洞

從今年初烏克蘭與俄羅斯關係急速惡化，到烏克蘭戰爭開打，這段期間傳出許多針對烏克蘭的網路攻擊，其中，有多次是針對該國政府機關的網站發動攻擊，並竄改內容，且對於電腦裡的資料進行破壞。先前各界聚焦在烏克蘭遭到攻擊的情況，但發動戰爭的俄羅斯，近期也傳出遭到網路攻擊的事故。

今天有兩家資安業者揭露新的推測執行（Speculative Execution）漏洞，可繞過時下軟硬體的相關防護措施，這些漏洞分別影響Intel、Arm、AMD等廠牌的部分型號處理器。

駭客藉由網路設備漏洞來放大攻擊流量，並用於發動分散式阻斷攻擊（DDoS）已是常態，但近期有一起利用網路電話（VoIP）漏洞的攻擊行動引起研究人員注意，因為，此漏洞可讓駭客只要使用1個封包就能發動攻擊，而讓網路服務供應商（ISP）難以發現源頭。

【攻擊與威脅】

資料破壞軟體RURansom鎖定俄羅斯實體下手

在烏克蘭戰爭中，駭客透過資料破壞軟體（Wiper）鎖定政府機關下手的情況，先前多發生在烏克蘭，但近期也有針對俄羅斯的攻擊行動。趨勢科技在2月26日至3月2日，觀察到名為RURansom的資料破壞軟體，鎖定俄羅斯的實體下手。從程式碼的註解中，開發者表明是針對俄羅斯發動烏克蘭戰爭而來，並宣稱這段文字是透過Google翻譯，從孟加拉語轉換成俄文。再者，研究人員發現，部分版本會檢查受害電腦的IP位址是否位於俄羅斯，如果在俄羅斯以外的地方，該惡意軟體將會停止運作。但究竟有多少俄羅斯實體受害？研究人員沒有進一步說明。

俄羅斯政府網站遭駭，疑似遭供應鏈攻擊

烏克蘭戰爭期間，雙方的網路攻擊不時傳出，俄羅斯也證實政府機關網站遭駭的情況。根據資安新聞網站Bleeping Computer的報導，在一場供應鏈攻擊中，俄羅斯多個聯邦機構網站於3月8日遭到入侵，駭客疑似透過追蹤瀏覽網站使用者人數的元件下手，並竄改網站上的內容，表達對於俄羅斯發動烏克蘭戰爭的不滿，受害單位包含了俄羅斯能源局、聯邦國家統計局、文化局等。俄羅斯經濟發展局向當地媒體Interfax證實確有此事。

中國駭客APT41利用網頁應用系統的零時差漏洞，攻擊美國州政府

網頁應用程式的漏洞，很可能是駭客用來入侵受害組織的管道。例如，資安業者Mandiant發現，中國駭客組織APT41（亦稱Winnti、Wicked Spider）從2021年5月開始，鎖定美國各州政府發動攻擊，到今年2月成功入侵至少6個州政府網路。而駭客入侵的方法，主要是透過網頁應用系統的零時差漏洞，這些漏洞包含了Log4Shell、美國動物健康緊急通報暨診斷系統（USAHerds）的CVE-2021-44207（CVSS風險層級8.1分）。

再者，駭客也偏好對ASP.NET開發的應用系統下手，發動.NET反序列化攻擊，有時候也會利用SQL注入與目錄穿越漏洞。但駭客發動攻擊的目的，研究人員表示仍不明朗。

勒索軟體Ragnar Locker鎖定52個美國關鍵基礎設施實體下手

美國政府近期不斷對於關鍵基礎設施（CI）的攻擊行動提出警告，當中有數次是針對勒索軟體而來。例如，美國聯邦調查局（FBI）於3月7日發布公告，指出他們在2022年1月，確認至少10個關鍵基礎設施組織、52個實體遭到勒索軟體Ragnar Locker襲擊，受害組織遍及製造、能源、金融服務、政府機關，以及資訊科技產業。FBI彙整入侵指標（IoC）等技術細節，以及相關防禦措施，供相關組織因應此勒索軟體的攻擊行動。

中國駭客APT31針對美國政府相關的Gmail帳號發動網釣攻擊

中國駭客組織鎖定美國政府發動釣魚郵件攻擊，而且是針對採用特定服務的用戶而來。Google威脅分析小組（TAG）研究人員Shane Huntley指出，他們在2月時發現鎖定美國政府重要Gmail帳號的網路釣魚攻擊，攻擊者為中國駭客組織APT31，該小組已通知相關人士此事。但這起攻擊行動的時機相當敏感，是否與烏克蘭戰爭有關？研究人員表示，目前尚未出現證據指出有所關連。

【漏洞與修補】

三大廠牌處理器出現新的推測執行漏洞

在2018年引起全球關注的CPU推測執行（Speculative Execution）漏洞，使得IT業者透過軟、硬體予以修補，但最近又有資安人員發現可以繞過相關修補的2種型態漏洞，而影響Intel、Arm、AMD的處理器，但所幸所有受影響的處理器，僅曝露於其中一種漏洞的風險。

資安業者VUSec指出，他們找到名為Branch History Injection（BHI，亦稱Spectre-BHB）的攻擊手法，可針對原本受到Spectre第2版漏洞影響的Intel與Arm處理器下手。Intel、Arm獲報後都發布資安通告，並提出緩解措施。

雖然AMD處理器不受上述BHI漏洞波及，但還是無法倖免於難。資安業者Grsecurity揭露AMD處理器漏洞CVE-2021-26341，影響該廠牌第1代與第2代Zen微架構的處理器產品，攻擊者一旦利用這項漏洞，可透過直線推測（Straight-line-speculation，SLS）的方式發動攻擊，洩露受害電腦的機密資料。AMD表示，他們尚未發現此漏洞被用於攻擊行動的跡象。

駭客透過VoIP系統漏洞放大流量發動DDoS攻擊，新手法可將流量放大近43億倍

繼日前駭客利用防火牆、網頁內容過濾系統等資安設備放大流量，發動分散式阻斷服務（DDoS），如今攻擊手法再度翻新，從原本可放大約70倍，一舉突破至數十億倍。Akamai、Cloudflare、Lumen等多家雲端服務及資安業者聯手，在今年1月7日至2月8日，發現針對網路服務供應商（ISP）、金融機構、物流公司等組織的DDoS攻擊，攻擊流量透過UDP通訊協定10074埠傳送，經調查後得知流量來自加拿大電信業者Mitel開發的VoIP系統，駭客利用近2,600個曝露於網際網路的MiCollab電話交換機（PBX）與MiVoice Business Express協作系統，藉由TP-240驅動程式漏洞CVE-2022-26143來放大流量。

研究人員對此漏洞進行實驗，發現透過上述VoIP系統的漏洞，可將流量放大到近43億（4,294,967,296）倍。研究人員指出，這樣的手法駭客很可能只需要使用1個封包的流量，就能發動攻擊，而使得攻擊來源難以追查。Mitel獲報後已修補上述漏洞。

近3成WordPress外掛程式存在重大漏洞，卻沒有相關修補程式可用

受到許多網站採用的內容管理系統WordPress，外掛程式存在漏洞的情況不時傳出，但這樣的情況有多嚴重？根據資安業者Patchstack的調查，大部分WordPress網站的漏洞與外掛程式有關，僅有0.58%出現於WordPress主程式。在2021年，約有42%的WordPress網站存在容易受到攻擊的外掛程式，這些網站平均有18個這種元件，其中有6個是沒有安裝相關更新的外掛程式而曝險。