【資安日報】2022年4月29日，駭客發動大規模的加密流量DDoS攻擊、NPM弱點可讓駭客嫁禍給其他套件開發者

在今天的資安新聞中，有一起駭客發動大規模DDoS攻擊的事故相當值得留意。因為，這起事故駭客特別使用了HTTPS流量出手，而可能讓相關業者可能難以察覺是否挾帶惡意內容。有研究人員懷疑，這起攻擊行動與惡名昭彰的殭屍網路Emotet有關。

日前知名NPM開發者遭到冒用上架惡意套件的事故，已發生數起。這樣的現象很有可能與最近資安業者公布NPM市集的一項弱點有關，因為，這項弱點可讓駭客將惡意套件嫁禍給知名開發者，進而引誘用戶上當。

勒索軟體駭客組織Conti的動態，近期也有研究人員揭露新的發現，Conti很可能重組名為Black Besta的駭客組織，並改用新的惡意軟體Bumblebee來投放勒索軟體。後續該組織的發展將有待觀察。

【攻擊與威脅】

駭客發動大規模的HTTPS加密流量DDoS攻擊

駭客發動分散式阻斷服務（DDoS）攻擊的手法，從原本企圖消耗受害網站的頻寬，現在改以發送大量垃圾請求，進而耗盡伺服器的處理器和記憶體等運算來癱瘓網站的運作。雲端服務業者Cloudflare於4月27日指出，他們在本月初緩解大規模的HTTPS流量攻擊，駭客從全世界112個國家、約6千個殭屍網路機器人（Bot），發動每秒1,530萬次請求（RPS）的DDoS攻擊行動，目標是加密貨幣業者。

值得留意的是，有別於過往駭客普遍使用未加密的HTTP流量，這次駭客以加密的HTTPS流量發動攻擊，所需要資源較未加密流量要來得多，但這麼做的目的為何？Cloudflare沒有進一步說明，而資安業者Recorded Future懷疑，這起DDoS攻擊可能與殭屍網路Emotet有關。

勒索軟體Black Basta很有可能是Conti另起爐灶

名為Black Basta的勒索軟體駭客組織在4月開始發動攻擊，至少已有12個組織遭到入侵，包含德國風力發電維運業者德維特（Deutsche Windtechnik）、美國牙醫協會（ADA）疑似都是受害者，但研究人員發現，Black Basta很有可能就是原本的Conti。

根據資安研究團隊MalwareHunterTeam的調查，他們發現Black Basta、Conti的勒索軟體有所不同，但兩個組織有許多共通之處，例如，洩露受害者資料的網站、付贖金的網站極為相似，以及協助受害者向駭客付款的「客服」說話方式、處理手法也幾乎一樣，因此研究人員推測，Black Basta很有可能就是Conti駭客因日前內部資料外洩後，更換名稱再重新開張，以逃避司法單位的調查。

勒索軟體駭客組織Conti在吸收殭屍網路TrickBot的成員後，持續使用TrickBot開發的惡意軟體載入器BazarLoader，但最近兩個月Conti似乎開始改用新的惡意軟體。資安業者Proofpoint指出，他們在今年3月開始，發現至少有TA578、TA579等3個駭客組織，使用惡意軟體Bumblebee發動攻擊，進而在受害組織投放勒索軟體Conti或Diavol。研究人員提及，這次的攻擊行動特徵，與Google自2021年9月開始調查的駭客組織Exotic Lily，後期的手法雷同，因為，Exotic Lily在今年3月開始也使用了Bumblebee。

研究人員看到駭客利用Bumblebee投放Cobalt Strike、Meterpreter、Sliver等滲透測試工具，以及Shell Code，他們對此惡意軟體進一步分析後發現，雖然Bumblebee處於開發階段，但駭客已經運用了相當複雜的反組譯手法，來避免被研究人員察覺異狀。而從Bumblebee內有部分TrickBot程式碼，並在近期BazarLoader幾乎沒有再被使用的跡象，研究人員推測，很可能就是相關駭客已經幾乎從BazarLoader轉換到了Bumblebee。

從烏克蘭戰爭開戰至今，俄羅斯駭客已攻擊烏克蘭237次

自烏克蘭戰爭開打以來，俄羅斯駭客對於烏克蘭的網路攻擊也從未間斷，但研究人員發現，駭客攻擊不只相當頻繁，還與武裝攻擊行動互相呼應。微軟近日發布對於俄羅斯駭客對烏克蘭發動攻擊的調查結果，指出在俄烏開戰以來，至少有6個俄羅斯駭客集團對烏克蘭出手，已發動逾237次攻擊行動，當中有約40次屬於破壞性攻擊，且多半鎖定烏克蘭政府或是關鍵基礎設施（CI）。

研究人員發現，許多網路攻擊與武裝行動呼應，例如，駭客於3月1日攻擊烏克蘭電視臺，該國軍隊隨後就將飛彈瞄準電視臺；再者，俄羅斯軍隊攻擊馬里烏波爾市（Mariupol）時，駭客也對於當地居民發動釣魚郵件攻擊，散布烏克蘭政府拋棄民眾的消息。

WordPress網站再度成為駭客攻擊烏克蘭的工具，被用於感染用戶電腦發動DDoS攻擊

駭客曾於3月底，在許多WordPress網站植入惡意程式碼，感染用戶的電腦並向烏克蘭發動攻擊，但濫用WordPress網站的類似攻擊行動再度出現。烏克蘭電腦緊急應變小組（CERT-UA）指出，最近有駭客組織UAC-0101鎖定WordPress網站進行破壞，植入名為BrownFlood的惡意JavaScript程式碼，使得瀏覽網站的用戶電腦成為駭客的攻擊工具，對烏克蘭發動DDoS攻擊。CERT-UA指出，至少有36個網站被用於攻擊行動，該單位也提供網站檢測工具，讓IT人員能檢查網站是否被植入惡意程式碼。

【漏洞與修補】

NPM弱點可讓駭客為套件任意新增維護者，嫁禍他人

套件管理平臺允許開發者在不經他人的同意下，將別人列為套件的維護者，使得這些人有可能在不知情的情況下，成為惡意專案的「經營者」。資安業者Aqua Security揭露NPM套件市集中，名為Package Planting的弱點，這項漏洞的問題在於，NPM允許原本的套件開發者，擅自增列其他的開發人員為套件的維護者，一旦駭客利用這樣的機制缺陷，就可以先上架惡意NPM套件，然後將知名的套件開發人員並列為維護者，自己再退出。

如此一來，該惡意套件看起來就像是由上述被加入的開發者所推出，但他們毫不知情，而有可能在這樣的情況下，讓用戶認為是由不知情的開發者所為，影響開發社群之間的信賴。NPM獲報後已著手修補上述的平臺缺陷。

惡意軟體檢測平臺VirusTotal出現RCE漏洞

提供檢測惡意軟體的系統一旦出現漏洞，攻擊者很有可能用來操控掃描結果。資安業者Cysource指出，他們於去年發現知名的惡意軟體檢測平臺VirusTotal裡，存在漏洞CVE-2021-22204，起因與該系統採用的ExifTool元件，處理DjVu檔案不當有關，CVSS風險層級為7.8分。一旦駭客利用這項漏洞，就有可能藉此發動RCE攻擊，進而取得該平臺掃描的結果。Google獲報後於今年1月13日予以修補。

仍有大量用戶使用存在Log4Shell漏洞的Log4j

去年12月公布的Java日誌框架Log4j重大漏洞Log4Shell，事隔4個月後是否都已完成修補？有資安業者透露現況。資安業者Rezilion近日提出警告，根據多家資安業者的統計資料，仍有不少環境使用存在上述漏洞的Log4j。研究人員指出，根據Sonatype的統計，截至4月底仍有近4成使用者下載存在相關漏洞的Log4j；對於實際利用Log4j的應用系統面臨漏洞風險的情況，研究人員利用物聯網搜尋引擎Shodan，找到超過9萬個疑似存在相關漏洞的應用系統，以及6.8萬臺Minecraft伺服器。

而相依Log4j的開源軟體尚未修補的情況似乎更為嚴重，根據Google的Open Source Insights服務，依賴該軟體的17,840個開源專案，只有7,140個採用已修補漏洞的Log4j，換言之，仍有6成專案曝露於Log4Shell的危險之中。研究人員表示，光是Apache基金會旗下的軟體專案，就出現修補該漏洞相當緩慢的現象，例如，Storm、SkyWalking OAP都是在今年4月才完成修補，而Solr、Ozone目前仍使用存在漏洞的Log4j 2.16版。研究人員認為，前述Log4j存在於許多軟體的情況，導致IT人員難以盤點，甚至組織很可能不清楚那些系統有使用這套日誌系統，而沒有打算採取相關緩解措施。

【資安產業動態】

漏洞管理解決方案業者Tenable買下外部攻擊面管理廠商Bit Discovery

提供漏洞管理解決方案的資安業者Tenable於4月26日宣布，他們買下了名為Bit Discovery的外部攻擊面管理（External Attack Surface Management，EASM）廠商。Bit Discovery所提供的EASM解決方案，可協助組織了解面向網際網路的應用系統、API，當中可能會被駭客鎖定的弱點。

Tenable將會結合旗下的弱點管理解決方案，以及Bit Discovery的EASM技術，讓客戶能更為擁有全面地了解組織內外環境所曝露的資安風險，進而及早進行處置。Tenable將以4,450萬美元買下Bit Discovery，並預計於今年第二季完成併購作業。

【資安防禦措施】

美國懸賞千萬美元追捕Sandworm駭客

針對近期大肆發動網路攻擊的俄羅斯駭客組織Sandworm，美國國務院於4月27日祭出正義懸賞專案（Rewards for Justice，RFJ），目標是該組織旗下的6名駭客。起因疑似是這些駭客屢屢替俄羅斯政府攻擊美國的關鍵基礎設施（CI）。美國祭出1,000萬美元高額獎金，希望線民能提供相關情報，讓他們能早日將這些駭客逮捕到案。