【資安日報】2022年5月24日，駭客利用假的漏洞概念性驗證程式攻擊資安人員、俄羅斯駭客Sandworm利用惡意軟體投放作案工具

駭客盯上資安人員的攻擊行動，去年有不少是利用相關職缺為誘餌，讓受害者上當，而使得電腦被植入惡意軟體，但近期出現了新的手法──有人假借提供概念性驗證程式的名義，實際上卻是在散布意程式。

在烏克蘭戰爭中，俄羅斯駭客Sandworm屢次攻擊烏克蘭的關鍵基礎設施，從初期使用資料破壞軟體（Wiper）從事破壞行動，到後來企圖控制變電所開關，影響該國的電力供應。最近研究人員指出，在攻擊的過程裡，這些駭客同時利用了惡意軟體投放器（Malware Dropper），使得行蹤不易被發現。

思科對於旗下路由器作業系統軟體IOS XR，在5月20日修補漏洞CVE-2022-20821，雖然這項漏洞嚴重程度為中等，但由於5月已經出現攻擊行動，一旦駭客加以利用，還是很有可能對企業網路造成危害。

【攻擊與威脅】

別以為概念性驗證程式不會對電腦造成危害！有駭客用來散布惡意軟體

駭客針對資安人員出手的情況，在去年已有數起事故，而最近有人假借漏洞利用展示來發動攻擊。資安業者Cyble指出，有人針對微軟今年4月修補的重大漏洞CVE-2022-26809（CVSS風險層級9.8分）、CVE-2022-24500（CVSS風險層級8.8分），在GitHub上發布假的概念性驗證程式（PoC），這些軟體並未含有惡意程式碼，而可能得以逃過防毒軟體的偵測。

一旦研究人員執行這些「概念性驗證程式」，電腦上就會出現假的訊息，宣稱正在利用漏洞並執行Shell Code，但實際上該軟體卻是在背景執行PowerShell命令，並傳送惡意酬載，下載Cobalt Strike的Beacon，展開進一步的攻擊行動。GitHub獲報後已將上述的惡意軟體下架。

俄羅斯駭客Sandworm利用惡意軟體Arguepatch變種，投放作案工具

日前俄羅斯駭客Sandworm曾利用資料破壞軟體CaddyWiper、操弄工控系統的惡意軟體Industroyer2，對烏克蘭的關鍵基礎設施（CI）下手，但這些駭客在投放上述攻擊工具的過程中，也透過惡意軟體投放器（Malware Dropper）來減少被察覺的機會。資安業者ESET指出，他們與烏克蘭電臘緊急應變小組（CERT-UA）聯手，發現新的惡意軟體ArguePatch變種，駭客透過ESET的可執行檔案來隱匿ArguePatch的行蹤，將這個變種惡意軟體用來投放上述的CaddyWiper、Industroyer2等作案工具，研究人員指出，有別於過往出現的ArguePatch，新的變種不再使用Windows工作排程器安排下一階段的攻擊行動，而使得相關蹤跡更難被察覺。

俄羅斯駭客Turla對愛沙尼亞、奧地利進行偵察

先前Google的威脅情報小組（TAG）於3月下旬提出警告，俄羅斯駭客開始鎖定烏克蘭週邊的東歐與北約國家下手，進行網路釣魚與惡意軟體攻擊，這樣的情況延續到5月，有資安業者提出進一步分析。資安業者Sekoia於5月23日指出，他們根據TAG提及的俄羅斯駭客攻擊行動裡，所使用駭客組織Turla的基礎設施進行調查，結果發現，這些駭客鎖定的對象，是位於波羅的海的軍校Baltic Defence College（BALTDEFCOL），以及奧地利聯邦經濟商會Wirtschaftskammer Österreich（WKO）。

前者是位於愛沙尼亞的軍事學院，由愛沙尼亞、拉脫維亞，以及立陶宛共同經營，是波羅的海的戰略研究中心，且經常舉辦北約與歐洲官員的會議；後者是在烏克蘭戰爭中保持中立的奧地利組織。研究人員認為，駭客攻擊軍校的目的，很可能是為了要打聽這些歐洲國家接下來打算採取的行動；而針對奧地利聯邦經濟商會的部分，則疑似是探聽奧地利組織對於俄羅斯的看法。

再者，前述提及Turla用於攻擊行動的網域裡，存在名為War Bulletin 19.00 CET 27.04.docx的惡意Word檔案，該檔案內嵌了PNG圖檔，但沒有網釣攻擊裡會出現的惡意程式碼或是巨集，研究人員認為，攻擊者主要的工作很可能在於偵察。

駭客組織匿名者攻陷俄羅斯組織Killnet

俄羅斯駭客組織Killnet自5月初開始，針對義大利多次發動網路攻擊，癱瘓該國政府機關的網站，現在有聲援烏克蘭的駭客開始對該組織出手。根據資安新聞網站Infosecurity Magazine的報導，駭客組織匿名者（Anonymous）於22日宣稱，他們將對Killnet發起網路攻擊，接下來就讓對方的網站Killnet.ru離線。這是該組織在3月上旬聲稱竊得俄羅斯聯邦機構逾36份機密檔案後，他們再度公布攻擊俄羅斯的相關行動。

鎖定Linux主機的殭屍網路病毒Mirai變種顯著增加

駭客在Log4Shell漏洞細節被公布後，針對Linux主機的攻擊行動也顯著增加。資安業者CrowdStrike指出，他們觀察到殭屍網路病毒Mirai的變種，在2022年第1季較去年同期顯著增加，而且是對於不同處理器架構的裝置都是如此。值得一提的是，研究人員指出，雖然針對Linux作業系統的Mirai殭屍網路病毒變種，多半仍是Arm架構設備而來，但論及變種數量增加的幅度，能在x86架構運作的病毒成長幅度最多，較同期增加101%，其中，又以針對32位元x86設備的變種病毒多了120%，而64位元版本x86病毒也增加57％。

研究人員認為，有越來越多駭客偏好針對x86處理器架構的設備，原因很可能是製作與維護惡意軟體所需的心力較少，而且攻擊範圍還能從物聯網設備擴及x86伺服器。

【漏洞與修補】

思科修補的IOS XR路由器作業系統軟體零時差漏洞，已出現攻擊行動

思科於5月20日發布資安通告，指出他們修補了已遭利用的路由器作業系統軟體IOS XR漏洞CVE-2022-20821，攻擊者一旦利用這項漏洞，就可能在未經身分驗證的情況下，遠端存取NOSi Docker容器裡執行的Redis實例。該公司指出，這項漏洞與軟體運作狀態的健康監控機制裡，預設會開放TCP的6379埠有關，從而讓攻擊者能用來連線Redis實例，甚至將任意檔案寫入容器檔案系統，並瀏覽Redis資料庫的內容。

針對上述漏洞的影響範圍，該廠牌8000系列的路由器，並部署及啟用上述提及的軟體狀態監控機制，就有可能曝露於這項漏洞的風險當中。由於該公司的產品資安事件應變小組（PSIRT）在本月發現相關攻擊行動，他們呼籲用戶要儘速安裝新版軟體，或是採取緩解措施因應。

Mozilla修補瀏覽器與收信軟體重大漏洞

Mozilla於5月20日發布資安通報，該公司近期修補了電腦版、行動裝置版Firefox瀏覽器，以及收信軟體Thunderbird的兩個重大漏洞CVE-2022-1802、CVE-2022-1529，與Top-Level Await實作的原型鏈污染（Prototype Pollution）有關，一旦攻擊者利用這些漏洞，就有可能藉由上述軟體執行惡意JavaScript指令碼。

雖然該公司僅指出這些漏洞為重大層級，並未列出CVSS評分，但根據IT業者紅帽的資安通告，兩個漏洞的危險程度都達到8.8分。Mozilla發布電腦版瀏覽器Firefox 100.0.2、ESR 91.9.1、收信軟體Thunderbird 91.9.1，以及安卓版本Firefox 100.3，並呼籲用戶應儘速安裝新版軟體。