【資安日報】2022年9月15日，中國駭客以舊版合法軟體從事網路間諜行動、WordPress外掛零時差漏洞已被用於攻擊

駭客透過合法軟體載入惡意程式的做法，在現在的資安事故可說是相當常見，但最近出現了新手法──有中國駭客刻意使用舊版合法軟體來發動攻擊。

有資安業者提出警告，他們偵測到有人鎖定WordPress外掛程式WPGateway的零時差漏洞CVE-2022-3180發動攻擊，且有部分網站遭到接管。由於目前沒有修補程式，研究人員呼籲網站管理者應移除此套件因應。

在上週末英國女王伊麗莎白二世辭世，各界紛紛表達哀悼與不捨，但竟有人看上許多人想要致意來發動網路釣魚攻擊，這樣的情況也使得英國政府特別提出警告。

【攻擊與威脅】

中國駭客鎖定亞洲政府，以舊版合法軟體元件從事網路間諜行動

資安業者賽門鐵克指出，與惡意程式ShadowPad有關的中國駭客組織，自2021年初開始對許多亞洲國家的政府組織下手，範圍涵蓋總統辦公室、與金融有關的政府機關、政府持有的航空業者與國防業者，以及國有電信業者、IT業者、媒體等。

在攻擊過程中，駭客不僅擅長寄生攻擊（LoL），透過DLL側載（DLL Side-loading）的手法執行惡意程式，他們往往還會選擇使用舊版的防毒軟體、圖像處理軟體、網頁瀏覽器來發動攻擊，研究人員在部分攻擊事故裡，看到駭客甚至濫用Windows XP的系統檔案。

但為何這些駭客偏好濫用舊版軟體來側載惡意程式？原因是現行大部分應用程式具備防堵這類攻擊的緩解措施，使用舊版軟體可增加成功載入惡意程式的機會。

WordPress外掛程式WPGateway零時差漏洞已被用於攻擊

資安業者Wordfence指出，自9月8日有人利用WordPress外掛程式WPGateway的零時差漏洞CVE-2022-3180發動攻擊，此漏洞的CVSS風險層級高達9.8分，且駭客已經藉此接管部分網站。由於此外掛程式尚未獲得修補，研究人員並未進一步透露細節，該公司呼籲網站管理者應儘速依照指示，檢查網站是否遭到入侵，並在開發者尚未提供修補程式之前停止使用WPGateway。

電商網站整合業者Fishpig遭駭，用戶網站恐被植入惡意軟體

駭客鎖定軟體服務業者下手，對該業者的客戶發動供應鏈攻擊，這樣的情況最近幾個月似乎越來越頻繁。例如，資安業者Sansec發現，專門為WordPress網站整合電子商務元件Magento的Fishpig遭到入侵，駭客控制了該公司的伺服器，並在FishPig Magento Security Suite、FishPig WordPress Multisite兩項軟體裡，植入惡意程式Rekoobe，而使得導入上述軟體的網站可能會感染惡意軟體。

Fishpig也證實此事，並提供緩解措施，呼籲用戶重新下載、安裝相關軟體套件，來清除可能遭到竄改的元件。

駭客假冒微軟的名義，以打造弔念英國女王的留言板為由，意圖騙取微軟帳密

英國女王伊麗莎白二世辭世，引起全球許多民眾哀悼，但現在有人竟利用此事發動網路攻擊。資安業者Proofpoint看到駭客假冒微軟的名義寄送釣魚信，聲稱計畫打造互動式的AI回憶留言板來紀念伊麗莎白二世，需要用戶參與，該記憶板將會透過神經網路，分析、組織來自全球的數百萬悼念文字與相機資料，一旦收信人照做，他們的微軟帳號將會遭到挾持。研究人員指出，駭客利用網釣攻擊工具租賃服務EvilProxy所提供的工具來發動此次攻擊。

英國國家網路安全中心（NCSC）也提出警告，要民眾小心以弔念伊麗莎白二世名義的網路釣魚攻擊。

希臘納稅人遭到鎖定，駭客以退稅為由騙取網路銀行帳密

有駭客組織會鎖定美國每年的報稅季來發動攻擊，但類似的攻擊行動也出現在其他國家。資安業者Cyble揭露假借退稅名義的網路攻擊行動，駭客打造了假的希臘國稅局網站，來竊取民眾的銀行帳戶資料。駭客宣稱國稅局要退稅，但因為無法確認退款的銀行帳號資料，要求民眾提供，一旦民眾照做，將會被帶到假的網路銀行登入網頁，而這些網頁將會側錄使用者輸入的內容。研究人員表示，使用者只要輸入相關內容，無論是否送出資料，就有可能導致銀行帳戶遭到洗劫。

針對香港大學遭到Linux後門程式攻擊的事故，研究人員發現駭客使用的工具由Windows版SideWalk改造而成

中國駭客組織SparklingGoblin自2021年2月針對香港一所大學下手，並植入Linux後門程式，資安業者ESET進一步調查後發現，此後門程式是名為SideWalk的Windows惡意軟體改造而成，且與騰訊旗下的360網路安全實驗室於2020年9月發現的Spectre RAT有關。

研究人員表示，Linux版SideWalk與Windows版有許多共通的特性，例如，都使用ChaCha20演算法，具備5個同步執行的處理程序等。

【資安產業動態】

Rust基金會獲OpenSSF和JFrog投資，將建立專門的資安團隊強化程式語言安全

9月13日，Rust宣布因獲得開源軟體安全基金會（OpenSSF）專案Alpha-Omega的資金，以及DevOps解決方案業者JFrog的加入，他們將成立專門的資安團隊，來強化程式語言Rust的安全。具體的配置則是由OpenSSF撥款，讓Rust能聘請專職的資安工程師；而JFrog則是讓他們的資安研究團隊成員參與Rust資安團隊的工作。