【資安日報】2022年3月18日，近20款華碩家用路由器產品遭到Cyclops Blink殭屍網路鎖定、駭客組織UNC2891鎖定ATM系統下手

美國和英國在2月下旬針對殭屍網路Cyclops Blink提出警告，當時發現駭客鎖定資安業者WatchGuard的防火牆而來，但最近有研究人員發現，這些駭客也開始對華碩部分家用路由器產品下手。

過往有數起攻擊ATM設備的事故，是針對使用Windows作業系統的銀行而來，但最近有資安業者發現，有駭客組織專門對於Oracle Solaris作業系統的ATM下手，並植入後門程式和蠕蟲程式，來操弄這類系統，而能在未經授權的情況下領錢。

Linux網路流量管理元件Netfilter存在漏洞而值得留意，一旦攻擊者利用這項漏洞，就有可能在本機環境提升權限（LPE），進而執行任意程式碼。

【攻擊與威脅】

繼WatchGuard防火牆遭到鎖定，殭屍網路Cyclops Blink將攻擊範圍擴及數款華碩家用路由器產品

殭屍網路Cyclops Blink日前針對WatchGuard的防火牆而來，而使得美國和英國提出警告，但現在傳出這個殭屍網路病毒擴大攻擊範圍，開始攻擊特定廠牌的路由器。趨勢科技近期發現，Cyclops Blink也開始鎖定近20款華碩路由器設備下手，受害的華碩與WatchGuard裝置至少有200臺，且遍布全球，包含美國、印度、俄羅斯等都有裝置遭到感染。

Cyclops Blink疑似由俄羅斯國家級駭客所為，但遭到感染的裝置並非對於經濟、政治、軍事情報具有顯著的價值，研究人員認為，駭客現在很可能是為了建立日後攻擊的基礎設施，再進一步攻擊高價值的目標。

駭客組織UNC2891鎖定ATM系統下手，並疑似從多家銀行盜領現金

有駭客組織專門鎖定執行Unix作業系統的ATM發動攻擊，且可能已經行動數年直到最近才被發現。資安業者Mandiant揭露名為UNC2891的駭客組織，該組織熟悉Unix與Linux環境，主要鎖定執行Oracle Solaris作業系統的設備，植入Tinyshell與Slapstick後門程式，並利用名為Caketap的蠕蟲程式，埋伏在受害組織的網路環境，然後操縱ATM交換網路的訊息，進而利用偽造的提款卡在數家銀行盜領現金。

研究人員指出，UNC2891採取高水準的Opsec，並利用多種技術來規避偵測，且針對Unix與Linux環境常見的弱點下手，而難以察覺其攻擊跡象，呼籲組織要重視相關的資安防護措施。

美國警告衛星通訊網路成駭客發動網路攻擊的目標

衛星在戰爭中提供更為精準的定位，而成為軍隊重要的工具，但同時駭客也盯上這類設施發動網路攻擊，美國疑似因相關業者遇害，而特別提出警告。美國聯邦調查局（FBI）與網路安全暨基礎設施安全局（CISA）聯手，針對衛星通訊（Satcom）網路供應商與用戶提出警告，必須強化資訊安全來防範駭客的攻擊行動，CISA也提供了相關的防護指南。

但為何FBI與CISA在此時特別提出警告？資安新聞網站Bleeping Computer認為，很可能與該國的衛星通訊供應商Viasat所提供的KA-SAT衛星網際網路遭到駭客攻擊有關，由於烏克蘭軍方是該公司的客戶，加上此網際網路攻擊事件發生的時間點，約是俄羅斯正式向烏克蘭宣戰的時候（2月24日），美國研判，攻擊者是由俄羅斯支持的駭客組織。

Deepfake影片被用於實際軍事行動的心戰文宣！俄國駭客散布烏克蘭總統宣布投降的Deepfake影片

自烏克蘭戰爭爆發後，俄國駭客不斷藉由假的資訊，意圖誤導烏克蘭民眾該國已經宣布投降的消息，但現在駭客變本加厲，使用Deepfake影片想要讓烏克蘭人信以為真。根據Sky News、Daily Dot等新聞網站的報導，烏克蘭新聞網站TV24、當地俄文新聞網站Segodnya疑似遭到網路攻擊後，被放上烏克蘭總統澤倫斯基談話的影片，內容是要求士兵放下武器，並宣布戰敗，決定將頓巴斯歸還俄羅斯。

然而，在這段影片中，澤倫斯基臉部與身體的比例相當怪異，且聲音與該人公開談話內容也相當不同，而被拆穿可能是透過Deepfake產生的假影片。對此，澤倫斯基錄製影片來澄清自己沒有宣布戰敗，Meta也宣布將自家社群網站上相關影片移除。

入侵管道掮客Exotic Lily假冒受害公司的員工，竊取存取內部網路環境的方法

駭客在攻擊行動中已有所分工，其中有些組織專門收集入侵受害企業的VPN、遠端桌面連線（RDP）等帳密資料，讓打算發動攻擊的駭客組織，能夠直接存取這些企業的內部網路環境，但這些組織究竟如何取得這類資料？Google揭露名為Exotic Lily的入侵管道掮客（IAB），他們運用社交工程與微軟MSHTML重大漏洞CVE-2021-40444，冒用目標組織員工的名義，來寄送釣魚郵件，一旦收信人開啟駭客提供的文件，電腦就會被植入BumbleBee惡意程式，進而收集能存取公司內部的帳密資料並回傳，而這些駭客取得的資料，主要是提供俄羅斯駭客組織Wizard Spider（亦稱FIN12）。

研究人員指出，這些駭客為了取信收信人，不只會使用網域極為相似的電子郵件信箱，還會在社群網站建置寄件人的帳號，而很容易讓人信以為真。

【漏洞與修補】

Linux網路流量過濾元件Netfilter存在權限提升漏洞，攻擊者恐用來對系統為所欲為

Linux核心處理網路流量的元件存在漏洞，有可能成為駭客提升權限的管道。Sophos威脅研究員Nick Gregory揭露Linux核心元件漏洞CVE-2022-25636，這項漏洞存在於網路流量過濾元件Netfilter，影響Linux核心5.4至5.6.10版。一旦攻擊者利用這項漏洞，可能得以藉此在本地環境中提升權限（LPE），而能夠以Linux核心的層級執行任意程式碼，CVSS風險層級為7.8分。紅帽、Debian、Oracle Linux、SUSE、Ubuntu也對此發布相關資安通報。

【資安產業動態】

以可能協助俄羅斯發動網路攻擊為由，德國呼籲民眾停止使用卡巴斯基防毒

烏克蘭戰爭爆發，讓全球許多國家和組織紛紛抵制俄羅斯，或是斷絕與該國企業的往來。其中，曾在5年前因美俄關係緊張，而陸續遭到美國、英國禁用旗下防毒產品的卡巴斯基，最近又被盯上。德國聯邦資訊安全辦公室（BSI）於3月15日發布資安通報，指出在烏俄軍事衝突中，俄羅斯軍事力量已對歐盟、北約國家造成威脅，該國IT廠商很有可能必須對於他國系統發動攻擊，尤其是防毒軟體影響的範圍相當廣泛，對此，BSI呼籲，無論是企業還是家庭使用者，都應該儘速移除卡巴斯基的防毒軟體，以防範可能被監控的情況。

對此，卡巴斯基強調，他們與俄羅斯或其他政府沒有關係，BSI的警告是基於政治考量，該公司承諾將持續向合作夥伴與客戶，保證他們產品的品質與完整性，亦打算與BSI澄清相關疑慮。

【資安防禦措施】

烏克蘭電信業者通力合作，協助政府攔截非法通訊的駭客

電信通訊在現今資訊發達的時代，扮演重要的角色，在烏克蘭戰爭中，該國的電信業者Kyivstar、Vodafone Ukraine、Lifecell不只線路與資料中心遭到破壞，同時還接連遭到網路攻擊。但新聞網站富比士指出，這些電信業者的技術人員冒著生命危險搶修線路，電信業者也採取彼此合作的策略，不只對於民眾提供全國漫遊服務，來儘可能維持手機通訊的可用性，他們甚至幫助政府逮到協助俄羅斯軍隊與莫斯科通話的駭客，來防堵敵營在該國境內的非法通訊管道。