【資安日報】2022年5月19日，駭客鎖定SQL Server進行寄生攻擊、勒索軟體Conti煽動推翻哥斯大黎加政府

日前不少駭客針對非關連式資料庫下手，但鎖定SQL Server的攻擊行動並未就此消聲匿跡。微軟最近提出警告，指出他們偵測到利用SQL Server內建的公用程式SQLPS.EXE的攻擊行動，駭客這麼做的原因，就是為了避免在受害伺服器上留下事件記錄。

勒索軟體Conti於4月下旬攻擊哥斯大黎加政府，但這起事件似乎變得更加嚴重。駭客近期大幅提高贖金要求，並恐嚇再不付錢就會刪除解密金鑰。

WordPress外掛程式的重大漏洞也相當值得留意。昨天我們報導了網頁圖像化建置套件Tatsu Builder的重大漏洞，今天則是佈景主題外掛程式JupiterX、Junipter的漏洞。

【攻擊與威脅】

駭客鎖定SQL Server進行寄生攻擊，透過公用程式執行PowerShell指令碼，可躲避系統事件記錄而不會留下足跡

針對SQL Server伺服器下手的攻擊行動近期再度出現，而且是利用公用程式來進行。微軟於5月18日提出警告，他們近期發現到鎖定SQL Server的攻擊行動，駭客藉由暴力破解的方式入侵這些資料庫系統，然後透過內建的PowerShell命令列公用程式SQLPS.EXE來執行PowerShell命令，以進行寄生攻擊（LOLBin），而不會在受害的伺服器上留下事件記錄。

研究人員指出，透過這樣的攻擊手法，駭客不只能夠長期滲透SQL Server，還能建立新的使用者帳號，並配置管理員權限，進而接管整個SQL Server系統。研究人員認為，上述攻擊行動的發現，突顯管理者需要掌握指令碼執行動態的重要性。資安新聞網站Bleeping Computer則認為，管理者也應從強化密碼管理著手，來防範SQL Server遭到入侵。

勒索軟體Conti提高對哥斯大黎加的贖金，煽動推翻政府

勒索軟體Conti於4月下旬攻擊哥斯大黎加政府，使得該國新任總統於5月8日上任隨即宣布全國進入緊急狀態，而這起事件最近又有了新的進展。根據資安新聞網站Recorded Future的報導，勒索軟體駭客約於5月15日，將贖金從原先的1千萬美元加倍為2千萬美元，並煽動該國民眾叫政府趕快支付贖金，揚言若不給錢，將於7天內刪除解密金鑰，這可能意味著連駭客自己也沒辦法解開遭加密的檔案。

此外，這些駭客也宣稱，他們這麼做的目的是要透過網路攻擊，來推翻新總統的政權。自先前遭到勒索軟體攻擊後，哥斯大黎加政府目前仍尚未恢復正常運作，該國財政部於5月13日表示，報稅需人工計算，且民眾必須透過銀行繳納。

中國駭客鎖定俄羅斯航太產業下手，植入多種惡意軟體

中國與俄羅斯之間的關係匪淺，被認為彼此交好，而在烏克蘭戰爭尚未落幕的此刻，中國駭客鎖定俄羅斯攻擊行動，近期竟時有所聞，而最近更鎖定該國的航太產業下手。

資安業者Positive Technologies指出，他們從去年夏天開始，發現名為Space Pirates的中國APT駭客組織從事的間諜行動，該組織自2019年對於俄羅斯4個實體下手，並使用了相同的惡意軟體與基礎設施，其中兩起行動涉及該國政府參與的俄羅斯企業。

研究人員指出，其中一起攻擊行動裡，駭客在10個月內接連存取20臺伺服器，竊取逾1,500份文件，以及員工個資等敏感資料；而在另一起攻擊事件中，駭客停留在受害組織的網路超過一年，並進行竊密的工作，同時將惡意軟體安裝到3個分公司、12個網路節點。

而這些駭客所使用的惡意軟體，包含了多個中國駭客組織採用的PlugX、ShadowPad等，以及3個過往未曾出現過的Deed RAT、BH_A006，以及MyKLoadClient，它們分別被用於竊密、繞過資安防護系統，以及透過DLL側載惡意程式。

出身北韓的IT人士遭他國政府懷疑可能會與母國的國家駭客聯手，以利網路攻擊。美國國務院、美國財政部，以及美國聯邦調查局（FBI）聯手，於5月16日發布資安通告，警告全球組織要小心北韓政府派出的IT人才，這些人士會透過自由工作者招募平臺、社群網站等管道謀職，一旦組織不慎錄用這些人士，就有可能面臨資料外洩或是資金遭竊的風險，甚至有可能因此變成美國與聯合國制裁的對象，除此之外，這些人士也可能與北韓駭客裡應外合。

美國政府也提供這類人士的識別方法，要組織提高警覺。例如，會要求使用支付平臺轉帳薪資，或是以加密貨幣領取薪資，還有面試者很可能會在短時間內，從不同地區多次登入相同的帳號，很有可能就是上述可能會造成組織危害的北韓IT人員。

【漏洞與修補】

WordPress外掛程式JupiterX、Junipter存在重大漏洞，恐被駭客用來接管網站

WordPress佈景主題外掛程式存在的重大漏洞，很可能讓駭客得以控制整個網站。資安業者Wordfence指出，WordPress外掛程式JupiterX、Junipter，存在CVSS風險層級達9.9分的重大漏洞，攻擊者一旦利用這項漏洞，可在經過身分驗證的情況下，獲得管理者的權限，進而可能竄改網站內容、注入惡意指令碼等攻擊行為。

這項漏洞與名為uninstallTemplate的函式有關，用途是在管理者移除佈景主題後重設相關版面配置，但這個函式會把使用者的權限提升為管理員，如果有登入網站的使用者發送含有action參數的AJAX請求，就有可能在沒有通過其他檢查情況下，成功提升權限。開發商ArtBees獲報後，於5月10日發布JupiterX 2.0.8、Junipter 6.10.2修補上述漏洞。

VMware修補旗下產品的身分驗證繞過漏洞，美國要求公部門限期完成修補

自4月初VMware修補旗下身分驗證平臺重大漏洞CVE-2022-22954，不久後陸續出現數起漏洞攻擊事件，使得美國政府繃緊神經，對於相關系統的重大漏洞緊急要求修補。

美國網路安全暨基礎設施安全局（CISA）於5月18日發布緊急指令22-03，要求該國各行政機關必須在5月23日前，修補VMware同日發布修補程式的漏洞CVE-2022-22972、CVE-2022-22973。其中，比較值得注意的是CVE-2022-22972，該漏洞屬於身分驗證繞過漏洞，攻擊者可用於取得受害系統的管理者權限，CVSS風險層級達9.8分，該公司旗下的Workspace ONE Access、Identity Manager，以及vRealize Automation都存在上述漏洞。

CISA表示，有鑑於CVE-2022-22954遭到利用的經驗，他們才會以緊急指令的方式，要求聯邦機關在5天內進行處理，若無法修補，機關也應暫時將該系統移除組織的網路環境。

研究人員揭露可以透過藍牙進行中間人攻擊的手法，能遠端偷走特斯拉汽車或打開智慧門鎖

電動汽車提供能以手機App作為遙控器，透過藍牙解鎖車門，可說是相當普遍，但也有可能成為駭客進行中間人攻擊（MitM）的對象。

資安業者NCC Group於5月16日指出，他們發現了能夠解鎖特斯拉Model 3、Model Y的藍牙漏洞，研究人員利用iPhone手機與Model 3汽車進行實驗，結果發現，他們藉由自行打造的延遲訊號中繼設備，使得手機超出藍牙通訊的距離，仍能成功解鎖車輛。而這樣的藍牙通訊弱點也存在於智慧門鎖，該公司也成功在Kevo系列智慧鎖上，利用類似的方法在遠端開啟門鎖。此外，這種弱點亦可能存在於透過手機App解鎖的門禁系統、筆電等設備。

研究人員認為這不完全是藍牙規格上的缺陷，而是藍牙身分驗證機制原本並非為重要系統規畫。他們為設備製造商、系統業者，以及使用者提出緩解建議，可透過調整相關的配置來防範這類遠端中間人攻擊手法，並通報特斯拉，以及智慧門鎖製造商Kwikset與Weiser。