【資安日報】2022年5月12日，鎖定德國企業的NPM惡意套件竟是資安業者所為、駭客利用IceApple工具包攻擊Exchange伺服器

自4月底到5月初，有多家資安業者發現有人假冒德國企業的名義上傳惡意NPM套件，在經過一番調查後，最後有資安業者跳出來澄清，這些套件是他們製作，用來為客戶模擬紅隊演練攻擊情境所用。但這樣的做法是否能被開發社群接受？日後是否會變為組織驗證開發人員資安意識的方法？這都有待觀察。

駭客攻擊Exchange伺服器的行動，已經出現了專門針對這類系統的漏洞利用工具包IceApple。研究人員指出，駭客透過此工具包出手，幾乎不會留下作案的證據。

HP最近針對旗下的商用電腦修補UEFI韌體漏洞，這些漏洞存在於該廠牌商用工作站電腦、筆電、POS機臺等200款產品上，用戶應儘速安裝新版韌體修補。

【攻擊與威脅】

有人假冒德國企業的名義發布惡意NPM套件，經追查竟是紅隊演練公司所為，引起爭議

研究人員多次在NPM套件庫裡發現惡意套件，如今疑似也有紅隊演練公司上傳這種套件來強化客戶的開發安全。資安業者JFrog、ReversingLabs，最近依循資安業者Synk於4月底找到的惡意套件gxm-reference-web-auth-server，進一步追查後發現還有其他類似特徵的套件，疑似針對德國知名媒體、物流業者、工業公司進行供應鏈攻擊。

駭客以bertelsmannnpm、boschnodemodules、stihlnodemodules、dbschenkernpm的ID名稱來上傳這些套件，他們很可能是假冒博德曼（Bertelsmann）、博世（Bosch）、Stihl、DB Schenker等德國公司的名義，想要讓開發人員相信套件是由上述企業提供。一旦開發人員安裝這些套件，電腦就有機會被植入後門程式。不過，研究人員指出，奇怪的是，駭客似乎沒有隱匿意圖攻擊的目標，使用的混淆手法也相當容易拆解。

而這起事件到了5月10日有了進一步的進展，德國紅隊演隊公司Code White表示，這些惡意套件是他們為客戶模擬紅隊攻擊的演練情境所用，製作者的身分是一名研究相依混淆（Dependency Confusion）攻擊手法的實習生，並表明他們也製作類似的Yarn套件。

駭客利用IceApple漏洞利用工具包攻擊Exchange伺服器

駭客攻擊Exchange伺服器的情況不時有事故傳出，但如今已有專門針對這套郵件系統而來的漏洞利用工具包出現。資安業者CrowdStrike指出，他們在2021年底發現名為IceApple的漏洞利用工具包，攻擊者在入侵受害組織並初步成功存取網路之後，開始利用這個工具包對Exchange伺服器下手。研究人員對於此漏洞利用工具包進行分析後發現，駭客不只能將其用來攻擊Exchange伺服器，還能對IIS網站伺服器下手，該工具包由.NET開發而成，至少內含18個模組。

而對於攻擊者的身分，研究人員根據事故受害的組織進行分析，他們推測很有可能與中國有關。

從IceApple的運作方式觀察，研究人員指出，該工具包的所有模組都是在記憶體內執行，乍看之下受害伺服器執行的工作，很像是IIS網站伺服器組合檔案的過程裡衍生了暫存檔案。而這麼做的目的，很有可能是攻擊者想要把遺留下來的資料盡可能減少，增加研究人員調查的難度。

由於此漏洞利用工具包不光能用於攻擊Exchange伺服器，還有可能對其他的Windows應用程式伺服器下手，該公司呼籲，組織應該要儘速修補包含Exchange伺服器在內網頁應用程式，以免遭到攻擊。

日本服飾業者思夢樂傳出遭勒索軟體LockBit 2.0攻擊

鎖定日本企業的勒索軟體事件最近已有數起，先前有汽車大廠Toyota的零件供應商小島工業（Kojima Industries）、電綜（Denso）受害，而如今這樣的攻擊也出現在服飾業。根據NHK、讀賣新聞、Yahoo!新聞等多家日本新聞媒體於5月10日的報導，日本服飾業者思夢樂（Shimamura）於黃金周假期（4月29日至5月5日）遭到了勒索軟體攻擊，NHK亦指出發動攻擊的勒索軟體是LockBit 2.0。

思夢樂也在11日證實，他們於5月4日晚間遭到網路攻擊，導致隔日全日本2,200家門市無法提供現金以外的付款方式，門市沒有現貨的產品也無法訂貨，到了6日，所有門市的非現金付款機制恢復正常。該公司尚未發現客戶或員工個資外洩的情形。根據Yahoo!新聞於12日的報導指出，LockBit 2.0於9日宣稱竊得思夢樂逾16 GB的資料，並要求該公司於16日前支付贖金，否則就要洩露這些資料。

伊朗駭客組織APT34使用後門程式Saitama向約旦外交單位發動攻擊

伊朗駭客組織鎖定中東國家的攻擊行動不時傳出，而且手法也變得更加隱密。資安業者Malwarebytes指出，他們在4月26日看到針對約旦外交部的釣魚郵件，駭客假冒約旦的政府官員，寄送確認文件檔案已收到的信件，並要求對方儘快填寫附件的Excel檔案，一旦收信人開啟附件，並依照指示啟用巨集功能，他們就會看到約旦政府的標誌，但另一方面，此巨集也偷偷下載後門程式Saitama到受害電腦。根據惡意文件檔案與後門程式的分析，研究人員認為攻擊者是伊朗駭客組織APT34（亦稱OilRig、Cobalt Gypsy、Helix Kitten）。

值得留意的是，駭客在Saitama後門程式反偵測機制裡，運用虛擬亂數產生器（Pseudo Random Number Generator，PRNG）的演算法來隱匿C2伺服器的IP位址，並藉由多次、長達數個小時的睡眠模式，來減少被資安系統察覺的風險。

駭客組織Bitter鎖定孟加拉散布木馬程式

思科揭露駭客組織Bitter自2021年8月開始進行的攻擊行動，駭客鎖定孟加拉政府機關下手，利用看起來像是來自巴基斯坦政府單位的電子郵件信箱寄送釣魚郵件，攻擊者很可能是透過協作平臺Zimbra的郵件伺服器弱點，進而達成欺騙收信人的目的。這些釣魚郵件有些是挾帶RTF檔案，有些則是挾帶Excel檔案，都是以公務有關的電話記錄與號碼驗證為主旨，引誘公務人員上鉤。

這件郵件的附件濫用內建於微軟Office軟體的方程式編輯器，透過CVE-2017-11882、CVE-2018-0798、CVE-2018-0802等漏洞觸發，進而在受害電腦下載並執行名為ZxxZ的木馬程式，並以Windows安全更新服務的名義執行。此木馬程式會刪除Microsoft Defender或卡巴斯基防毒軟體的處理程序，再行收集用戶資料的工作並回傳。

木馬程式Nerbian RAT鎖定義大利、西班牙、英國而來

武漢肺炎疫情蔓延至今，部分國家已經開始走向與病毒共存的階段，有攻擊者假借衛生單位的名義來散布惡意軟體。資安業者Proofpoint發現，有人自4月26日開始，針對義大利、西班牙、英國的實體，聲稱是世界衛生組織（WHO）、愛爾蘭健康服務局（HSE），以及愛爾蘭盲人國家協會（NCBI），以武漢肺炎的衛教資訊為誘餌，發動網路釣魚攻擊，進而散布以Go語言開發的木馬程式Nerbian RAT。比較特別的是，駭客在攻擊的過程中，使用名為Chacal的滲透測試框架，來回避研究人員在虛擬機器（VM）觸發木馬程式。

【漏洞與修補】

HP修補逾200款HP電腦與筆電的韌體漏洞，若不修補，恐被攻擊者取得作業系統核心權限執行程式碼

HP於5月10日針對旗下的PC與筆記型電腦韌體，修補CVE-2021-3808、CVE-2021-3809兩個漏洞，這些漏洞可能被攻擊者用來執行任意程式碼，CVSS風險層級為8.8分。該公司的公告指出，商用筆電產品線EliteBook、Elite Dragonfly、ProBook、Zbook、ZHAN Pro系列，以及桌上型電腦、POS主機、精簡型電腦（Thin Client）等都有機種存在上述漏洞，總共超過200款裝置受到影響。根據向HP通報漏洞的研究員Nicholas Starke指出，攻擊者透過這些漏洞，能將權限提升到系統管理模式（SMM）層級，而得以完全控制受害電腦，且攻擊者可從作業系統觸發SMI Handler來進行攻擊，他呼籲用戶應儘速安裝新版韌體來緩解漏洞。