【資安日報】2022年9月8日，Linux惡意軟體Shikitega以多階段部署規避偵測、北韓駭客Lazarus利用MagicRAT木馬發動攻擊

針對Linux電腦的攻擊行動可說是越來越頻繁，同時駭客也開始運用了一些過往較為少見的方法，而有可能讓資安系統難以察覺有異。像是名為Shikitega的惡意軟體，駭客就利用了至少4到5個步驟來執行，但目的卻是利用受害電腦進行挖礦。研究人員認為，這類手法很有可能未來會被用於散布更危險的惡意軟體。

北韓駭客Lazarus所使用的木馬程式MagicRAT也引起關注。研究人員指出，此木馬程式採用了合法的應用程式開發框架，而使得資安人員難以發現其攻擊特徵。

網路攻擊很可能影響國家之間的關係！阿爾巴尼亞因為伊朗政府指使的駭客對其關鍵基礎設施發動攻擊，憤而宣布斷交。而這很可能是因為網路攻擊行動導致斷交的首例。

【攻擊與威脅】

Linux惡意軟體Shikitega以多階段部署的方式來規避偵測

鎖定Linux電腦的惡意軟體越來越常見，攻擊手法也變得日益複雜。例如，AT&T的資安研究團隊指出，他們發現名為Shikitega的Linux惡意軟體套件，駭客部署此惡意軟體的過程極為隱密、複雜，先是透過僅有370個位元組的ELF執行檔解出Shell Code並執行，然後存取C2下載名為Mettle的滲透測試工具Metasploit模組，最後Mettle下載另一個ELF檔案，並利用CVE-2021-4034（亦稱PwnKit）和CVE-2021-3493取得root權限，部署挖礦軟體XMRig。

研究人員指出，駭客還部署了5個Shell指令碼，讓挖礦軟體能持續在受害主機上運作。

北韓駭客Lazarus利用MagicRAT木馬發動攻擊

思科揭露北韓駭客組織Lazarus近期使用的新木馬程式MagicRAT，駭客鎖定曝露於網際網路的遠距工作平臺VMware Horizon伺服器，入侵受害組織後，再植入此木馬程式，目的是為了能持續在網路環境當中活動。

研究人員指出，MagicRAT透過Qt應用程式框架打造而成，使得研究人員分析更加困難，資安系統的機器學習或是啟發式檢測機制也難以察覺其攻擊意圖。此外，該木馬程式也可能從C2伺服器下載副檔名為GIF的檔案，但實際上是網路連接埠掃描工具。

阿爾巴尼亞遭到伊朗網路攻擊，宣布與伊朗斷交

網路攻擊很可能導致國家之間的關係產生變化，最近就出現有國家因基礎設施遭攻擊決定斷交的情況。9月7日，位於南歐的阿爾巴尼亞宣布和伊朗斷交，並要求伊朗大使館相關人員24小時內離境，原因正是伊朗政府自7月15日起，主導大規模網路攻擊，摧毀阿爾巴尼亞的基礎設施，癱瘓公共服務，並竊取資料及通訊記錄，阿爾巴尼亞耗費近一個月才復原。對此，美國也譴責伊朗的網路攻擊行為，並號召其他國家共同追究此種駭客的責任。

登山用品業者The North Face遭帳號填充攻擊，波及20萬用戶

登山用品業者The North Face向用戶發出通知，表示他們的網站自7月26日至8月19日，遭到駭客大規模帳號填充（Credential Stuffing）攻擊，經調查後有194,905個帳號受到影響，駭客很可能存取客戶的姓名、購買記錄、收貨地址、電話號碼、XPLR Pass忠誠用戶回饋點數等，但不包含信用卡資料。他們呼籲客戶儘速變更密碼，並留意信用卡是否出現盜刷的情況。

跨國飯店集團IHG傳出遭勒索軟體LockBit攻擊

洲際飯店集團（InterContinental Hotels Group，IHG）於9月6日，向倫敦證交所通報資安事故，他們的IT系統出現「重大」受損，而影響線上訂房的情況，不過，該集團表示旗下飯店皆正常營運。而究竟這起事故為何？根據資安新聞網站Bleeping Computer的報導，很有可能是勒索軟體LockBit的攻擊行動，因為，這些駭客在上個月，宣稱攻擊了該集團位於土耳其的Holiday Inn飯店。

【漏洞與修補】

Zyxel修補NAS設備的重大RCE漏洞

9月6日，Zxyel針對旗下的NAS設備NAS326、NAS540、NAS542發布資安通告，該公司修補了重大RCE漏洞CVE-2022-34747，CVSS風險評分達9.8分。這項漏洞存在於NAS裡的特定二進位檔案，與格式化字串（Format String）有關，一旦攻擊者加以利用，就有可能藉由偽造的UDP封包，在未經身分驗證的情況下，發動遠端執行任意程式碼攻擊。該公司呼籲用戶應儘速安裝新版韌體。