【資安日報】2022年4月18日，攻擊者藉由OAuth憑證入侵受害組織GitHub、木馬程式RemcosRAT鎖定非洲銀行下手

在上週末到今日發生的資安新聞裡，駭客利用遭竊的OAuth憑證入侵NPM等數十個組織的GitHub，而此處濫用的OAuth憑證，疑似來自雲端應用程式服務Heroku，以及程式碼持續整合服務Travis-CI。但攻擊者究竟如何從這兩家公司偷得相關憑證？有待後續進一步的調查。

在去年透過ISO映像檔散布木馬程式的HTML挾帶（HTML Smuggling）手法，最近又出現了！有研究人員發現，駭客最近攻擊非洲的銀行時，曾利用這樣的方式來散布木馬程式RemcosRAT。

惡名昭彰的勒索軟體Conti，不斷有攻擊事件傳出，而最近有新的研究發現背後的組織分工情況，將部分工作交與其他駭客組織執行。在去年9月被揭露的駭客組織Karakurt，當時只知道該組織專門竊取組織的內部機密資料，但現在有資安業者發現，他們很可能是在協助Conti後續向受害組織索討贖金。

【攻擊與威脅】

攻擊者利用遭竊的OAuth憑證入侵NPM等數十個組織的GitHub

駭客利用OAuth憑證發動攻擊的情況，今年1月底有針對高階主管的攻擊行動，如今駭客也鎖定組織的程式碼代管服務下手。GitHub於4月15日發出警告指出，他們於4月12日發現，駭客利用該公司授予雲端應用程式服務Heroku、程式碼持續整合服務Travis-CI的部分OAuth憑證，導致NPM等數十個組織的GitHub儲存庫可能會遭到異常存取。GitHub也向Heroku及Travis-CI進行通報，並停用受影響用戶的OAuth憑證。Heroku母公司Salesforce指出，攻擊者疑似於4月9日，存取Heroku的GitHub儲存庫並下載程式原始碼，然後發動上述攻擊，但該公司沒有透露相關憑證外洩的外洩原因。

木馬程式RemcosRAT鎖定非洲銀行下手

第三世界國家近年來逐步走向數位化，但網路攻擊事件也伴隨而來。IT業者HP的威脅研究團隊指出，他們發現一起針對非洲銀行而來的攻擊行動，駭客先是冒充競爭對手，向收信人提供高薪的工作職缺，並以網頁連結提供詳細資訊，一旦對方照做點選連結，電腦就有可能遭到HTML挾帶（HTML Smuggling）攻擊，透過HTML檔案執行後產生ISO映像檔，該映像檔內容包含了Visual Basic程式碼。

收信人一旦點選執行上述的程式碼檔案後，就會呼叫電腦多個Windows系統的API，進而透過惡意程式下載器GuLoader在受害電腦組裝、植入木馬程式RemcosRAT。研究人員指出，駭客下載GuLoader的來源是檔案共享服務OneDrive、Dropbox，再加上此下載器是經由PowerShell挾帶執行，並在記憶體內運作，而難以被防毒軟體發現。

駭客組織Karakurt與勒索軟體Conti狼狽為奸，協助該組織後續索討贖金

自2021年6月出現的駭客組織Karakurt，宣稱在同年9月至11月間竊得40個組織的資料，如今有新的調查結果顯示該組織與勒索軟體Conti之間的關連。資安業者Infinitum IT在勒索軟體駭客組織Conti內部資料外洩後，進行後續追蹤發現，駭客組織KaraKurt在Conti得手受害組織內部資料後，取得部分竊得的資料進行分類及公布，疑似是Conti索討贖金不成而委由KaraKurt後續處理。

另一家資安業者Arctic Wolf的調查結果，也能印證這樣的論點──他們在曾經遭到Conti攻擊的受害組織中，發現後來Karakurt利用Conti留下的Cobalt Strike後門入侵。

風力渦輪發電機業者Nordex遭到勒索軟體Conti攻擊

繼去年11月風力渦輪發電機業者Vestas遭到勒索軟體攻擊，近期有其他業者受害。資安新聞網站Bleeping Computer取得消息人士的說法，得知風力渦輪發電機業者Nordex疑似遭到勒索軟體Conti攻擊，到了4月2日，Nordex首度發出公告表示他們遭到網路攻擊，已經關閉部分IT系統防止災情蔓延。而到了12日，該公司再度公告這起事故的處理進度，表明他們切斷自己IT系統與客戶渦輪發電機之間的遠端連線，來防範事態擴大，但根據他們的初步調查結果，此起攻擊事故只影響Nordex內部的IT基礎設施。

勒索軟體組織Conti於14日聲稱此起攻擊事件是他們所為，但疑似是因為雙方正在談判贖金的交付的事宜，這些駭客沒有外洩該公司的資料。

美國警告鎖定T-Mobile用戶來的簡訊網釣攻擊

攻擊者鎖定特定電信業者的手機用戶，發送網釣簡訊攻擊（Smishing）的現象，引起主管機關提出警告。美國新紐澤西州網路安全暨通訊整合小組（NJCCIC）於4月15日提出警告，他們接獲許多T-Mobile用戶通報，攻擊者以用戶完成T-Mobile費用付款，要提供贈品的名義，來發送網釣簡訊，一旦收信人依照指示點選簡訊中的連結，就有可能導致個人敏感資料遭竊，或是手機被植入惡意軟體。他們呼籲用戶，切勿點選簡訊裡來路不明的連結。

Mac電腦的App Store市集出現騙錢軟體，不訂閱就無法關閉應用程式

蘋果對於應用程式市集App Store的管控，可說是相當嚴謹，但如今傳出有人能通過相關審核程序上架App，並脅迫Mac電腦用戶付錢的現象。資安研究員Kosta Eleftheriou、Edoardo Vacchi不約而同指出，他們發現蘋果App Store市集上出現名為My Metronome的騙錢軟體（Fleeceware），一旦Mac電腦的用戶不慎安裝後，這個應用程式就會強迫用戶同意每個月以9.99美元訂閱，否則程式本身將無法透過關閉按鈕或是鍵盤快速鍵關閉（但研究人員發現能強制關閉），不久後這款應用程式遭到蘋果下架。

無獨有偶，另一名研究人員Jeff Johnson發現，Music Paradise與Groove Vibes兩家公司上架的App也有類似情況，報導此事的新聞網站The Verge也著手進行測試，發現其中一款應用程式Music Paradise Player確實有這樣的問題。

【漏洞與修補】

思科無線網路控制軟體存在漏洞，恐讓攻擊者繞過身分驗證取得管理者權限

無線網路控制器軟體存在的重大漏洞，有可能讓攻擊者得以掌控網路設備。思科最近針對旗下的Wireless LAN Controller（WLC）軟體，修補管理介面的身分驗證繞過漏洞CVE-2022-20695，此漏洞與密碼驗證演算法的實作不當有關，導致攻擊者一旦加以利用，就有機會以管理者的權限掌控控制器，CVSS風險層級達到10分。思科旗下的3504、5520、8540無線控制器，以及Mobility Express、Virtual Wireless Controller等軟硬體控制器都可能受到影響，該公司亦提供新版WLC軟體，但強調若是採用預設配置的無線控制器，不會受到上述漏洞波及。