【資安日報】2022年5月6日，Avast與AVG防毒軟體元件存在嚴重漏洞、駭客藉由USB隨身碟散播蠕蟲程式

以免費防毒著稱的Avast與AVG旗下的端點防護系統元件，被研究人員發現2個漏洞，攻擊者可用來關閉資安產品、覆蓋系統元件，或是中斷電腦運作。而值得留意的是，這樣的漏洞已存在近10年，且Avast防毒軟體日前也傳出有類似的元件漏洞被用於攻擊行動。

另外一與資安漏洞有關的新聞也相當值得留意。F5旗下的BIG-IP系統重大漏洞CVE-2022-1388，其嚴重程度也使得美國網路安全暨基礎設施安全局（CISA）提出警告，要用戶儘速採取行動。

利用USB儲存裝置來散布惡意軟體的手法，前5至10年可說是相當常見，但這類手法並未因此消聲匿跡。有研究人員發現從去年9月出現的攻擊行動Raspberry Robin，駭客就運用這種管道來傳送蠕蟲程式。而這起攻擊行動相當神秘，研究人員表示，仍有許多疑點有待進一步釐清。

【攻擊與威脅】

駭客藉由USB隨身碟散播蠕蟲程式，並濫用威聯通網路設備回傳受害電腦資料

近年來駭客多半透過網路釣魚來投放惡意程式，但濫用USB儲存裝置的攻擊手法仍有事故發生。資安業者Red Canary揭露自2021年9月出現的Raspberry Robin攻擊行動，駭客利用USB儲存裝置散布蠕蟲程式，然後濫用受害電腦的Windows Installer處理程序（msiexec.exe）來存取駭客的基礎設施，這些設施多半由威聯通（QNAP）的設備組成，並在發出的HTTP請求裡包含了受害者的使用者名稱與電腦名稱。除此之外，駭客也運用洋蔥網路（TOR）的節點來增加C2中繼站的數量。

研究人員指出，他們已經在高科技與製造相關產業看到相關攻擊行動，但尚未確認受害組織之間是否存在關連，也無法判斷攻擊者的目的，不過，很可能是為了在受害電腦持續監控，駭客成功入侵後會部署惡意DLL程式庫，並透過Windows內建的應用程式來側載執行。

中國駭客Winnti竊取歐美組織的內部機密資料

駭客埋藏在受害組織的網路間諜行動，很可能長達3年才被發現。資安業者Cybereason近日指出，他們於去年調查多起針對北美、歐洲、亞洲地區科技業與製造業的入侵事件時，發現至少從2019年就開始進行的網路間諜行動Operation CuckooBees。這起攻擊行動疑似由中國駭客組織Winnti（亦稱APT41、Barium）發起，駭客主要針對受害組織的智慧財產下手，竊取有關的資料，除此之外，該組織亦偵察網路架構，並收集使用者帳號資料、員工電子郵件、客戶資料等，以利日後再度對受害組織下手，迄今已洩露數百GB的資料。

而對於駭客的攻擊手段，研究人員指出，攻擊者使用了未曾出現過的惡意軟體Deploylog，以及新版本的Spyder Loader、Privatelog、Winnkit等，並相當罕見地濫用作業系統的通用事件記錄檔案系統（CLFS）、NTFS檔案系統的機制，來規避資安系統的檢測。再者，比較特別的是，駭客所使用的惡意軟體皆相依其他元件，也就是必須具備相關元件的狀態下才能執行，使得研究人員難以各別分析就察覺攻擊意圖。

駭客濫用英國健保局電子郵件帳號發動網釣攻擊

組織將電子郵件系統移轉至雲端服務，可能導致安全政策改變，而成為駭客用來攻擊的管道。資安業者Inky近日指出，駭客自去年秋天開始，盜用英國健保局（NHS）員工的電子郵件帳號寄送釣魚郵件，截至今年3月已有139名員工的帳號被冒用。研究人員在今年3月共偵測到1,157封以英國健保局員工名義寄送的釣魚郵件，這些郵件以傳送傳真檔案的名義引誘對方上當，一旦收信人依照指示開啟連結，就有可能被竊取微軟帳號的資料。

但為何駭客能大肆濫用該單位的員工電子郵件帳號？研究人員認為，可能與英國健保局去年將內部建置的郵件伺服器遷移至Exchange Online，使得相關安全配置產生變動，而出現能讓駭客挾持員工電子郵件信箱帳號的機會。

駭客透過惡意軟體PrivateLoader散布NetDooka惡意框架

駭客的惡意軟體分工中，先前有資安業者揭露專門投放惡意軟體的業者，他們以感染電腦數量來向駭客收費（Pay-per-install，PPI），最近又有駭客利用這種方式散布作案工具。趨勢科技發現，近期有駭客尋求PPI業者，藉由惡意軟體PrivateLoader投放名為NetDooka的惡意軟體框架，該框架由Dropper、Loader，以及RAT木馬程式等元組成。PPI業者會先投放NetDooka的Dropper元件，該元件會解密並執行Loader。

而Loader會先確認受害電腦環境，並清除受害電腦的上的防毒軟體、封鎖防毒業者的網域，再藉由作業系統的BITS系統元件下載、以驅動程式的型式植入木馬程式，為了避免木馬程式遭到刪除或停止運作，駭客也藉由登錄檔的機碼設置了復原機制。

這個RAT程式可接受攻擊者遠端下達的命令，如執行Shell程式碼、發動DDoS攻擊、側錄鍵盤輸入的內容，以及進行遠端桌面存取等。研究人員認為，駭客透過植入惡意驅動程式的管道站穩腳跟，這樣的做法使得攻擊者能透過NetDooka惡意軟體框架，對受害電腦傳遞更多惡意軟體。

雲端應用程式服務業者Heroku坦承因客戶資料庫遭駭，引發GitHub的OAuth憑證外洩事件

自GitHub於4月中旬發出公告，指出駭客濫用他們授予雲端應用程式服務Heroku、程式碼持續整合服務Travis-CI的部分OAuth憑證，導致數十個組織GitHub儲存庫可能會遭到異常存取，這起事件最近有了新的發展。

根據資安新聞網站Bleeping Computer的報導，Heroku於5月4日陸續向用戶寄送資安事故通知的電子郵件，表明為了對上個月的資安事故做出回應，他們將會強制重設用戶的密碼，但除此之外沒有進一步做出說明，而引發用戶不滿，認為該公司的資安事故處理不夠透明，且這樣的做法代表了當時Heroku應該遭到了攻擊。

這起風波發生的隔日，Heroku終於坦承他們於4月7日遭到入侵，駭客存取該公司資料庫並下載了客戶GitHub的憑證，並於4月8日下載這些客戶GitHub儲存庫的中繼資料，9日進一步存取含有原始碼的Heroku私有GitHub儲存庫資料。該公司於13日母公司Salesforce接獲通報後著手進行調查，遂於16日註銷所有與GitHub整合的OAuth憑證，且於5月4日決定進一步重設Heroku用戶的密碼。

【漏洞與修補】

F5公布BIG-IP系統出現重大漏洞，恐被攻擊者用於RCE攻擊

網路安全業者F5於5月4日發布資安通告，指出他們修補了BIG-IP系統的漏洞CVE-2022-1388，這項漏洞存在於iControl REST元件裡，影響從11.6.1至16.1.2的多個版本BIG-IP。一旦攻擊者加以利用，就藉由發送特定的請求來繞過iControl REST的身分驗證流程，進而有可能接管整個系統，CVSS風險層級達到9.8分。這項漏洞的嚴重程度，也使得美國網路安全暨基礎設施安全局（CISA）同日發出資安警示。

F5發布了新版軟體修補上述漏洞，而對於無法升級的用戶，該公司也提供了緩解措施，但指出用戶採用前，應留意部分的措施有可能會影響該系統運作。

關於曝露在資安風險當中的BIG-IP系統數量，資安人員Nate Warfield提出警告與預估，根據他透過物聯網裝置搜尋引擎Shodan兩年來的追蹤，可能有1.6萬套BIG-IP系統曝露在網際網路上。

Avast、AVG防毒軟體存在近10年的高風險漏洞

日前研究人員發現駭客在攻擊行動裡，利用Avast防蠕蟲程式（Anti Rootkit）的元件停用防毒軟體，而最近研究人員揭露了更多可被濫用的漏洞。資安業者SentinelOne於2021年12月向防毒業者Avast通報，他們在該公司旗下Avast、AVG防毒軟體的防蠕蟲程式裡，發現了兩個相當嚴重的漏洞CVE-2022-26522、CVE-2022-26523，這些漏洞自2012年Avast防毒軟體12.1版存在至今，很可能影響數百萬用戶。

這些漏洞一旦遭到利用，攻擊者就有可能關閉資安產品、覆蓋系統元件，或是導致電腦出現藍白畫面（BSOD）。研究人員指出，這些漏洞可能會被攻擊者用於第二階段的瀏覽器攻擊，或是執行沙箱逃逸。Avast、AVG獲報後已於22.1版防毒軟體修補上述漏洞，並將陸續派送給用戶。

【資安產業動態】

Synopsys併購DAST服務業者WhiteHat Security

美國電子設計自動化（EDA）業者新思科技（Synopsys）於4月27日宣布，他們將以3.3億美元的價格，買下NTT Security旗下的應用程式安全服務公司WhiteHat Security，併購後將為新思科技帶來動態應用程式安全測試（DAST）的相關技術，這起併購案預計在該公司的今年第3財季完成。