【資安日報】2022年4月11日，駭客利用Conti程式碼對俄羅斯發動勒索軟體攻擊、SpringShell漏洞被用於散布Mirai殭屍網路病毒

在烏克蘭戰爭中表態支持俄羅斯的勒索軟體駭客組織Conti，其軟體程式碼於3月初遭到烏克蘭人士洩露，如今有駭客組織用來製作新的勒索軟體攻擊俄羅斯企業，來表達對於俄羅斯軍事行動的不滿。

而自3月底被公布的Java框架Spring的漏洞「SpringShell」，上週有資安業者表示在4天內就有六分之一的企業遭到嘗試攻擊。但在上述大規模的漏洞探測之外，在一天之內已有實際攻擊行動出現，近期有業者指出，有人約在4月1日開始，利用這項漏洞散布惡名昭彰的殭屍網路病毒Mirai。

針對手機而來的攻擊行動也相當值得留意，研究人員發現新的木馬程式Octo，除具備木馬程式竊取帳密、側錄輸入的內容，更藉由關閉系統通知訊息，並將螢幕亮度調至最暗的方式，暗中對受害手機遠端執行操作。

【攻擊與威脅】

駭客組織利用外洩的Conti原始碼打造勒索軟體，攻擊俄羅斯企業

3月下旬出現多起勒索軟體Conti攻擊的事故，外界認為有部分可能是其他人藉由外洩的原始碼犯案，不完全是此駭客組織所為，而如今有駭客組織表明他們使用這些原始碼來打造勒索軟體。根據資安新聞網站Bleeping Computer的報導，駭客組織NB65聲稱自3月底開始，利用外洩的Conti原始碼製作勒索軟體，來攻擊俄羅斯的企業，並表明和俄羅斯出兵有關。

該新聞網站指出，根據駭客上傳至惡意軟體分析網站VirusTotal的檔案，大多數偵測出含有攻擊行為的防毒引擎，都將其識別為勒索軟體Conti。此新聞網站的研究人員也將檔案上傳至資安業者Intezer的線上分析分臺Intezer Analyze，結果顯示，該勒索軟體有66%的程式碼與勒索軟體Conti相同。NB65成員向Bleeping Computer透露，他們的勒索軟體是基於第1個被外洩的Conti原始碼製作，但針對每個攻擊目標調整，而使得現有的Conti解密工具都無法解開被加密的檔案。

殭屍網路病毒Mirai藉由SpringShell漏洞散布

在3月底引起許多資安人員關注的SpringShell漏洞CVE-2022-22965，駭客很快就積極嘗試將其用於攻擊行動，現在傳出在Spring發布修補程式（3月31日）不到一天的時間，該漏洞就被用於散布殭屍網路病毒。中國資安業者奇虎360的網路安全研究實驗室（Netlab）於4月1日，看到殭屍網路Mirai利用SpringShell漏洞來感染物聯網（IoT）裝置，而後來趨勢科技也表明觀察到相同的現象，並說明攻擊者利用這項漏洞的方法。

趨勢科技指出，駭客先是利用SpringShell入侵受害裝置，並將Mirai檔案下載到tmp資料夾，然後使用chmod指令提升權限後予以執行，根據他們找到的惡意軟體檔案伺服器，駭客打算藉機向不同處理器架構的連網裝置散布Mirai。

安卓木馬Octo能讓攻擊者遠端操弄裝置，並將螢幕變黑讓使用者難以察覺其行徑

駭客讓手機螢幕變黑，在受害者以為仍在待機或是關機的狀態下控制手機，過往有針對iOS的NoReboot攻擊手法，如今類似的手法也出現在安卓木馬程式裡。資安業者ThreatFabric揭露約自去年11月出現的木馬程式Octo，此安卓木馬是從名為ExobotCompact的惡意程式發展而來，並內建了各式竊密的功能，主要是針對歐洲而來。比較特別的是，研究人員根據駭客能夠下達的指令，發現該木馬程式能將螢幕變黑，或是將亮度設置為零，並停用所有的通知訊息。

駭客如此做的目的為何？研究人員沒有進一步說明，但可想而知的是，攻擊者很可能藉此會執行需要在前臺進行操作的任務，來避免引起受害者的注意。如果使用者突然發現手機的螢幕亮度被調到非常暗，或是不會出現系統的相關通知訊息，手機很有可能是遭到這種木馬程式的攻擊。

根據研究人員的調查，駭客在Google Play市集上架此惡意軟體的下載器，或是透過釣魚網頁來散布Octo，並打算藉由感染Octo的手機組成殭屍網路，至少有5組駭客在使用這個木馬程式發動攻擊。研究人員警告，這個木馬程式植入受害手機前會關閉Google Protect，且具備規避防毒軟體檢測的能力，而讓使用者難以察覺異狀。

竊密軟體MetaStealer意圖竊取瀏覽器與加密貨幣錢包的帳密

駭客使用竊密軟體對於受害電腦發動攻擊的情況，最近又有新的惡意軟體出現。資安研究員Brad Duncan約於3月30日開始，發現駭客透過惡意郵件，挾帶含有巨集的Excel檔案，以資金移轉成功的通知信為幌子，引誘收信人開啟附件，一旦對方執行此Excel檔案並依照指示啟用巨集，攻擊者將從GitHub與程式碼共用服務Transfer.sh下載作案工具，然後在受害電腦植入竊密軟體MetaStealer。

在下載作案工具的過程中，駭客也運用Base64演算法混淆HTTP流量，或是經由此演算法組裝DLL程式庫，而使得相關資安防護系統可能難以察覺，此外，MetaStealer也使用PowerShell指令，將可執行檔檔案加入Microsoft Defender防毒軟體的白名單，而能夠逃過防毒軟體掃描。

駭客利用惡意程式載入器SocGholish、Blister，投放勒索軟體LockBit

不少惡意軟體下載器（Dropper）難以被防毒軟體發現，而不時有駭客用於投放惡意軟體，但最近出現攻擊者同時運用兩種下載器的情況。趨勢科技發現近期散布勒索軟體LockBit的攻擊行動，駭客疑似先透過遭駭的合法網站，以偷渡式下載（Drive-by Download）的方式，將惡意軟體下載器SocGholish植入受害電腦，再假借Chrome瀏覽器更新的名義，要求使用者依照指示操作，進而在受害電腦植入Cobalt Strike的Beacon，讓攻擊者遠端進行控制，並進一步部署第2個下載器Blister，最終在受害電腦發動LockBit勒索軟體攻擊。

研究人員指出，駭客使用上述兩款惡意程式下載器的過程裡，不只將竄改的DLL程式庫偽裝成合法軟體，並將Shell程式碼採取先暫時休眠的做法，而能躲過許多資安防護系統的檢測。

駭客組織FIN7參與多個勒索軟體的攻擊行動

自美國政府於1月發出警告，駭客組織FIN7（亦稱Carbanak）打著感謝與防疫指引的名義，發動BadUSB隨身碟攻擊行動，最近有資安業者公布新的發現。資安業者Mandiant指出，FIN7最近2年涉及多種勒索軟體Revil、DarkSide、BlackMatter、Black Cat（Alphv）的攻擊行動，該組織先透過網路釣魚、軟體供應鏈攻擊、利用遭竊的帳號密碼等方式入侵受害組織，然後透過以PowerShell打造的後門程式Powerplant站穩腳跟，以便後續偵察和部署作案工具，並為勒索軟體攻擊行動做準備。雖然研究人員難以判斷FIN7涉入勒索軟體攻擊的程度，但該組織很可能提供了相關工具給勒索軟體駭客，或是參與了前期攻擊行動的過程。

駭客鎖定組態配置不當或缺乏防護的雲端服務帳號下手，發動挖礦軟體攻擊

駭客近期鎖定雲端服務用戶，利用相關服務的組態配置不當來進行挖礦攻擊攻擊，且已有數組駭客從事相關攻擊，甚至出現搶奪地盤的現象。趨勢科技最近公布他們對於挖礦攻擊的調查報告，指出駭客組織Outlaw、TeamTNT、Kinsing、8220、Kek Security利用雲端服務中，用戶使用弱密碼或是組態不當的情況，來濫用雲端服務挖礦，其中，Kinsing和8220行徑最為猖狂，不只是會彼此競爭，還會把另一組駭客趕出受害者的雲端帳號。

研究人員指出，駭客發動挖礦攻擊後，不只受害組織要支付的費用會增加數倍，還會導致相關服務效能下降，進而影響客戶滿意度與營收。以他們針對門羅幣挖礦程式的實驗為例，將會讓雲端CPU的負載從13%飆升至100%，每個月的電費從20美元變成130美元，增加快6倍。

【漏洞與修補】

三星手機存在漏洞，能讓被攻擊者以系統使用者權限存取應用程式

自2月底，研究人員揭露可能影響1億支三星手機的重大漏洞，該品牌手機又出現影響相當廣泛的弱點。資安業者Kryptowire指出，他們於2021年11月發現三星手機存在CVE-2022-22292漏洞，這項漏洞與「電話」App有關，影響大多數執行Android 9至12版作業系統的三星手機，攻擊者一旦利用這項漏洞，將能使用系統使用者的權限，撥打任意電話號碼，或是隨意植入、刪除應用程式及憑證。三星獲報後於今年2月修補相關漏洞，研究人員呼籲用戶應儘速安裝新版韌體修補上述漏洞。