【資安日報】2022年9月12日，研究人員揭露攻擊微軟Teams的手法GIFShell、惡意軟體Bumblebee埋藏在受害電腦記憶體內運作

駭客鎖定協作平臺發動攻擊的情況不時傳出，多半是針對當中的1到2種弱點下手，但近期有研究人員揭露攻擊微軟Teams協作平臺的手法GIFShell，當中就一口氣運用7種弱點，可說相當罕見。

研究人員在半年前發現惡意軟體Bumblebee，當時駭客運用其看似無害的特性，用於傳送其他惡意程式、勒索軟體等工具到受害電腦，但最近有資安業者發現，現在Bumblebee的行蹤更難被資安系統察覺，而可能難以防堵相關攻擊行動。

北約組織在烏克蘭戰爭扮演了反對俄羅斯的主要軍事力量，但卻因為有成員國沒有妥善保管所持有的資料，而使得該軍事組織的機密面臨外洩的情況。葡萄牙武裝部隊參謀總部傳出遭到網路攻擊，而導致與北約有關的文件外洩，且因相關檔案流入暗網才發現遭駭。

【攻擊與威脅】

研究人員揭露以GIF檔案攻擊微軟Teams的手法GIFShell

資安研究員Bobby Rauch揭露了鎖定微軟協作平臺Teams的攻擊手法「GIFShell」，當中串連此平臺的7項缺陷來達到目的，攻擊者與受害者之間並未直接傳送訊息，而是完全藉由發送惡意GIF檔案的訊息，以及微軟所屬的伺服器界外（Out of Bounds）尋找GIF檔案機制所形成的管道。研究人員藉由設置反向Shell，並將其用來在Teams傳送內有惡意指令的GIF檔案，最終濫用微軟的基礎設施來外洩資料。

不過，由於攻擊者必須先說服受害者在電腦安裝惡意軟體，才能發動上述攻擊，微軟針對這項研究成果表示，因為沒有繞過該公司的安全邊界，他們不會進行修補作業，但有可能在未來調整產品的設計來改善相關缺陷。

惡意軟體Bumblebee透過後期滲透工具PowerSploit，埋藏在受害電腦記憶體內運作

駭客利用惡意軟體Bumblebee在受害電腦下載其他的作案工具，頻頻傳出相關事故，但這個惡意軟體的行蹤如今變得更加隱蔽，而使得資安系統可能更難以察覺其蹤跡。

資安業者Cyble針對近期出現的Bumblebee進行分析，發現駭客先是發送帶有VHD虛擬磁碟檔案的垃圾郵件，對受害者進行網路釣魚攻擊，此VHD檔案的內容包含了Quote.lnk與imagedata.ps1，一旦受害者執行了LNK檔案，就會觸發後者的PowerShell指令碼，並於背景執行，然後解密另一個指令碼，最終透過後期滲透工具PowerSploit，將DLL程式庫載入PowerShell處理程序的方法來執行Bumblebee。

研究人員指出，駭客利用PowerSploit的做法，使得Bumblebee完全在記憶體內執行，不會在硬碟留下任何痕跡，而能大幅減少被防毒軟體發現的機會。

北約文件流入暗網，起因是葡萄牙軍方遭網路攻擊

根據葡萄牙新聞網站Diario de Noticias的報導，該國的武裝部隊參謀總部（EMGFA）遭到網路攻擊，導致與北大西洋公約組織（NATO）有關的文件外洩，葡萄牙國家安全辦公室（GNS）、國家網路安全中心派出專案小組進行調查。

不願具名的知情人士透露，外洩資料的內容極為嚴重（extreme gravity），將導致葡萄牙在北約組織的信譽出現危機。針對這起網路攻擊，知情人士表示，此為長期且無法偵測的攻擊行動，駭客透過程式化的機器人（Bot）來偵測特定類型的文件，並在作案的多個階段後清除跡證。由於EMGFA將相關資料存放於隔離網路的電腦，初步調查的結果出爐，這些機密疑似透過不安全的管道流出，很有可能是EMGFA違反了相關管理規範所致。

這起事故被發現的原因，是美國威脅情報員發現有人在暗網兜售EMGFA的資料，透過駐里斯本大使館通報葡萄牙政府才曝光。在上述新聞網站報導此事後，在野黨要求政府做出說明，但在截稿之前，葡萄牙當局尚未發表聲明。

伊朗駭客組織APT42鎖定安卓手機部署間諜軟體從事網路間諜行動

資安業者Mandiant揭露由伊朗資助的駭客組織APT42，該組織主要鎖定政府官員、記者、學者下手，自2015年開始，在14個國家發動逾30次攻擊行動。這些駭客針對攻擊目標竊取相關帳號資料，來從事網路間諜活動，但與許多國家級駭客不同之處，在於APT42往往鎖受害者的安卓手機，部署惡意軟體來進行跟蹤，此惡意軟體主要透過簡訊的方式，每天將受害者的手機通話內容、收到的訊息回傳給駭客。但除了手機，該組織有時候也會對Windows電腦發動攻擊。

研究人員指出，APT42很可能與APT35相同，都是隸屬於伊朗革命護衛警察（IRGC）旗下的駭客組織。

美國洛山磯學區LAUSD遭勒索軟體攻擊，Vice Society宣稱竊得500 GB資料

上週美國洛山磯學區（Los Angeles Unified School District，LAUSD）公布他們遭到勒索軟體攻擊，但攻擊者的身分為何？勒索軟體駭客組織Vice Society向資安新聞網站Bleeping Computer透露，此起資安事故是該組織所為，並宣稱竊得500 GB檔案。對此，LAUSD要求所有師生、員工在上述勒索軟體攻擊後，重設密碼，並打算導入雙因素驗證來強化安全。

知名旅遊業者KKday前經理涉嫌竊密供新東家運用，遭檢調約談

法務部調查局於9月8日指出，有知名旅遊業者利用競爭對手的離職員工，收集此競爭業者的內部資訊與系統漏洞，並進行商業滲透及竊取營業秘密，來奪取競爭優勢。根據中央社的報導，這起事故是旅遊業者KKday進行內部資安稽核時發現，有不明人士非法登入，竊取合作廠商名單、商品明細、客戶流量分析等商業機密資料，進而向調查局資安工作站提出檢舉。經調查局與KKday清查內部系統連線記錄後發現，一名陳姓前經理在離職後，竊取相關帳密資料提供給新東家Klook使用，目的是存取相關營業秘密資料，檢方複訊後，諭令陳姓嫌犯以30萬元交保，全案朝向刑法妨害電腦使用罪及洩漏工商秘密罪偵辦。

為規避偵測，駭客改以間歇式手法加密受害電腦檔案

勒索軟體駭客為了避免遭到資安系統的攔截，他們不約而同地調整了加密檔案的策略。資安業者SentinelOne表示，勒索軟體LockFile自2021年中開始導入間歇式加密手法（Intermittent Encryption），每隔16個位元組執行一次檔案加密，而能更快完成加密流程，且得以躲過資安系統根據I/O讀寫的偵測機制。如今類似的手法也被BlackCat（Alphv）、Black Basta、Agenda、Play、Qyick等勒索軟體採用，並在地下論壇標榜相關功能來吸引買家。研究人員認為，這種新型態的加密檔案手法將會被更多駭客採用。