【資安日報】2022年5月10日，駭客竄改俄羅斯勝利日電視節目表表達反戰訴求、哥斯大黎加遭勒索軟體Conti攻擊宣布進入緊急狀態

烏克蘭戰爭進行超過兩個半月，相關的網路攻擊事故不斷。其中，又以針對5月9日的「勝利日」的攻擊行動最受到關注。俄羅斯總統普丁是否會採取更為激進的攻擊行動，成為全球關切的焦點。但在此時，駭客也趁機表達反戰訴求。

而在地球的另一端，位於中美州的哥斯大黎加，因勒索軟體攻擊癱瘓整個國家政府機關運作，使得該國總統宣布全國進入緊急狀態。

我們之前報導上週末F5修補了BIG-IP重大漏洞CVE-2022-1388後，有資安業者特別提出警告，要用戶儘速修補漏洞，原因是該漏洞極為容易受到利用。果然，這樣的情況已經發生，許多研究人員都在5月9日，觀察到相關的攻擊行動。

【攻擊與威脅】

駭客竄改俄羅斯勝利日的電視節目表，並攻陷當地影音串流平臺RuTube

俄羅斯總統普丁於5月9日的「勝利日」發表談話，並舉行閱兵典禮，但在同一天駭客也針對該國的新聞媒體出手，竄改網站上的節目表內容。根據資安新聞網站Bleeping Computer報導，英國廣播公司記者Francis Scarr發現，有人在當天早上對Russian TV網站上的電視節目表內容動了手腳──大部分節目名稱，被換成：「你的雙手流著數以千計烏克蘭人的血，數百名孩童被謀殺，電視臺和當局正在說謊。請對戰爭說不。」上述遭到竄改的節目表內容，也被Google與Yandex搜尋引擎轉載，間接散播到搜尋該電視臺節目表資訊的用戶。

除了電視臺的網站，駭客也癱瘓俄羅斯的影音串流平臺RuTube，該網站也發布公告表明遭到網路攻擊，並強調用戶上傳的影響與資料不受影響。究竟這兩起與勝利日時間點相當巧合的攻擊行動，背後的攻擊者是該國內部反戰人士，還是其他國家的駭客組織，目前仍不得而知。

F5旗下BIG-IP的重大漏洞，已出現嘗試利用的攻擊行動

網路安全業者F5於5月初修補BIG-IP漏洞CVE-2022-1388，該漏洞涉及iControl REST身分驗證元件，CVSS風險層級達到9.8分，隨後有資安業者先後於5月6日、7日提出警告，表示此漏洞極為容易利用，駭客很快就會用於攻擊行動，果然，這樣的情況目前已經出現。

根據資安新聞網站Bleeping Computer報導，資安業者Cronup研究員Germán Fernández看到，有攻擊者入侵尚未修補的BIG-IP系統，將PHP Web Shell植入主機，接著執行惡意酬載，並將前述的Web Shell刪除。該新聞網站指出，許多研究人員發現，駭客多半鎖定該系統的管理介面下手，投放Web Shell並執行惡意酬載，但Kevin Beaumont指出，也有駭客鎖定管理介面以外的元件進行漏洞利用嘗試，該名研究人員認為，假如管理者將BIG-IP設置為負載平衡設備，並透過專屬的IP位址當作防火牆使用，很可能增加會曝露於此漏洞的風險。

由於這項漏洞極為容易利用，Jake Williams、Will Dormann等資安人員認為，這個漏洞很有可能是商業間諜刻意留下，而非開發不慎所造成。

哥斯大黎加遭到勒索軟體Conti攻擊，宣布進入緊急狀態

哥斯大黎加政府的基礎架構於4月下旬，傳出遭到勒索軟體Conti攻擊，影響該國財政部、勞動部等機關，駭客索討千萬美元贖金遭到該國政府拒絕。然而，這起事故引發的效應似乎在持續擴大當中。該國新任總統羅德里戈．查韋斯（Rodrigo Chaves）於5月8日上任當日簽署42542號行政命令，宣布全國將進入緊急狀態，原因是勒索軟體Conti仍在持續發動攻擊。

資安新聞網站Bleeping Computer指出，這些駭客宣稱竊得672 GB資料，目前對外洩露的比例約為整體內容的97%，根據該新聞網站分析，這些外洩的資料波及該國的財政部、勞動部（MTSS）、社會發展暨家庭津貼基金（FODESAF）、阿拉胡埃拉校際總部（SIUA）等。

駭客以軍事情報為幌子寄送釣魚郵件，向烏克蘭人散布竊密軟體Jester Stealer

俄羅斯軍隊傳出在發動攻擊的過程使用生化武器，引起烏克蘭民眾的恐慌，有駭客假借提供俄羅斯軍隊攻擊情報的名義來進行網路攻擊。烏克蘭電腦緊急應變小組（CERT-UA）近日提出警告，有人假借提供俄羅斯軍隊即將使用化學武器攻擊的時間點，發動釣魚郵件攻擊，郵件裡挾帶了含有巨集的Excel附件，一旦收信人開啟檔案，此巨集將會從遠端下載竊密程式Jester Stealer的可執行檔（EXE），並在受害電腦上執行。該單位指出，駭客將竊密程式上傳到已遭入侵的網站，藉此埋藏駭客的基礎設施。

一旦受害電腦感染Jester Stealer，瀏覽器、收信軟體、即時通訊軟體的資料，將會透過AES-CBC-256的加密連線，透過洋蔥網路（Tor）伺服器回傳到駭客手上，攻擊者再用於其他攻擊行動或是在黑市出售。

俄羅斯勒索軟體駭客LockBit攻擊保加利亞難民收容機構

隨著烏克蘭戰爭的情勢對於俄羅斯越來越不利，原本表態不涉及政治的駭客組織也參與了攻擊行動。根據新聞網站CyberScoop的報導，勒索軟體駭客組織LockBit於5月4日宣稱，他們已經攻陷保加利亞政府收留難民的機構國家難民署，並打算在9日公布從該單位竊得的資料，但該組織是否索討贖金不得而知。由於保加利亞政府已經收留逃離家園的數十萬名烏克蘭難民，此次攻擊事件很可能會涉及難民的人身安全。保加利亞國家難民署也在網站上發布公告，表示他們的電子郵件信箱因為網路問題，暫時無法使用。

由於LockBit在俄羅斯開始向烏克蘭出兵的時候，表態他們以經濟利益為主要目標，對於此事保持中立態度，沒有打算力挺俄羅斯或是烏克蘭，此起攻擊事件顯然打破該組織不插手烏克蘭戰爭的承諾。

駭客組織NB65聲稱入侵俄羅斯支付平臺Qiwi，但遭到否認

與匿名者（Anonymous）有關的駭客組織NB65，最近再度對俄羅斯出手，這次他們於5月1日宣稱，攻擊了俄羅斯支付業者Qiwi，取得10.5 TB資料，內容包含了3千萬筆付款記錄，以及1250萬張信用卡，並透過勒索軟體加密該業者的網路環境。由於Qiwi的業務範圍橫跨俄羅斯與獨立國家國協（CIS），這些駭客表示，他們發動攻擊的動機，就是要癱瘓俄羅斯的金融系統，並揚言若是Qiwi不予理會，將會在3天之後每日公布100萬筆記錄。

後來，NB65於5月5日發布了2個檔案下載連結，並宣稱內含700萬個信用卡卡號，以及完整的付款記錄。針對這起攻擊事件，Qiwi向俄羅斯官方媒體塔斯社（TASS Russian News Agency）否認此事，並表示付款服務皆正常運作。

烏克蘭發動DDoS攻擊，鎖定俄羅斯酒品供應鏈

烏克蘭戰爭開打後，俄羅斯大型企業也接連遭到聲援烏克蘭的駭客攻擊，而可能會波及俄羅斯的民生。根據俄羅斯新聞網站Vedomosti的報導指出，烏克蘭IT軍隊、提供攻擊俄羅斯DDoS工具的業者DisBalancer，兩個組織疑似在5月2日至3日，癱瘓了俄羅斯的酒品會計資訊系統EGAIS，其中一家生產烈酒的公司員工向Vedomosti透露，該公司在5月2日發現部分系統出現異常，隔日災情持續擴大。而這起DDoS事故影響了當地伏特加、葡萄酒，以及其他酒精飲料的出貨，導致這些供應商無法將這些貨物送至物流中心配送。雖然俄羅斯政府聲稱，EGAIS出現故障與酒精飲料需求大增有關，而非遭到網路攻擊，但後續情況有待觀察。