【資安日報】2022年11月3日，國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊、數百個美國新聞網站遭到供應鏈攻擊

勒索軟體駭客日益猖狂，許多資安業者都曾發生遭到攻入的事故。在10月底有一家大型公司Thales也傳出這樣的狀況，震驚各界。該公司橫跨航太、國防、資訊安全等領域，同時又以硬體安全模組（HSM）、身分認證解決方案聞名，可惜仍無法倖免，後續調查的狀況與衍生的影響，都需要密切觀察。

惡名昭彰的殭屍網路Emotet再度發動攻擊。值得留意的是，駭客為了繞過Office軟體的防護規則，竟要求受害者將Excel檔案複製到指定資料夾執行。

與新聞媒體合作的多媒體公司竟變成駭客發動攻擊的管道！資安業者揭露駭客組織TA569的攻擊行動，駭客竄改影音內容製作公司傳送影音內容的程式碼，向這些新聞網站散布惡意軟體。

【攻擊與威脅】

法國國防安全科技集團Thales疑似遭勒索軟體LockBit 3.0攻擊，對方揚言11月7日將公布部分竊得資料

根據資安新聞網站Security Affairs報導，勒索軟體LockBit於10月31日聲稱攻陷法國國防安全科技集團Thales，竊得部分資料，並要脅若不依照指示支付贖金，將於11月7日公布竊得的檔案。不過，駭客並未提供可進行驗證的樣本資料。

對此，Thales向路透社表示，他們針對該資安外洩事故展開調查，並向法國國家網路安全局（ANSSI）進行通報，但沒有收到對方勒索通知。

國防設備供應商Hensoldt法國子公司疑遭勒索軟體Snatch入侵，並公布部分竊得資料

國防產業遭到攻擊的情況，之前多半是針對美國而來，但現在也有歐洲的廠商成為目標的事故。根據資安新聞網站Cybernews的報導，勒索軟體Snatch於10月30日聲稱入侵國防設備供應商Hensoldt法國子公司，並竊得機密檔案，這些駭客公布94 MB資料供眾人驗證。但Hensoldt尚未回應此事。

事實上，此起事故並非該集團首度遭到勒索軟體攻擊──今年1月，Hensoldt的英國子公司部分系統感染了勒索軟體Lorenz。

電信業者Vodafone義大利分公司傳出資料外洩，起因是經銷商遭駭

根據資安新聞網站Bleeping Computer的報導，電信業者Vodafone的義大利分公司近日向客戶發出資料外洩通知，並指出這起事件發生的原因，是義大利電信經銷商FourB SpA於9月第1個星期遭到網路攻擊所致，客戶遭到曝露的資料包含了訂閱內容、含有敏感資料的身分證件、聯絡資料，但不含密碼。再者，沒有用戶的網路流量因此受害。

而關於攻擊者的身分，Bleeping Computer報導提到，9月3日有個駭客組織KelvinSecurity聲稱攻擊Vodafone義大利分公司，並竊得約310 GB資料，內有29.5萬個檔案，這是否與同樣於9月發生的此次資料外洩事故有關，尚無法證實。

殭屍網路Emotet攻擊活動再度出現，利用回覆郵件來散布惡意Excel檔案

殭屍網路Emotet這兩、三年肆虐，但到了今年6月中旬突然終止相關攻擊行動，如今又重出江湖。資安業者Proofpoint與資安研究團隊Cryptolaemus相繼提出警告，因為他們發現Emotet再度活動的跡象，並向全球廣發釣魚郵件。這次的釣魚郵件，是以回覆郵件的型式發送，並挾帶惡意Excel巨集檔案作為附件。資安新聞網站Bleeping Computer指出，他們看到此Excel檔案有不同語言的版本，駭客佯稱是發票、掃描的文件檔案、電子表格，來引誘收信人開啟。

值得留意的是，駭客為了讓此惡意Excel檔案能繞過MoTW偵測機制，以便巨集能正常執行，他們要求受害者將其複製到Office軟體的範本資料夾再開啟，最終在受害電腦植入惡意軟體並於後臺運作。

數百個美國新聞網站遭到供應鏈攻擊，被用於散布惡意軟體SocGholish

資安業者Proofpoint發現，駭客組織TA569透過一家影音內容製作公司，對於超過250個美國新聞網站下手。此影音公司原本透過JavaScript指令碼向這些網站提供影音內容，但駭客如今竄改此JavaScript的基礎程式碼（Codebase），進而在新聞網站部署惡意軟體SocGholish，並以瀏覽器更新的名義、透過ZIP壓縮檔的形式進行散布。

研究人員表示，紐約、波士頓、芝加哥、邁阿密、華盛頓特區等地的美國新聞媒體都受到影響，他們亦發現有受害網站修復後再度被感染的情形。

間諜軟體SandStrike假借提供VPN的名義，攻擊特定宗教人士的安卓裝置

資安業者卡巴斯基揭露名為SandStrike的安卓間諜軟體，駭客鎖定奉行巴哈伊信仰的教徒提供VPN應用程式，宣稱為了能讓他們規避政府的監控，但實際上駭客在此App安裝過程也暗中部署SandStrike，一旦受害人依照指示安裝VPN應用程式，手機將會遭到監控，惡意軟體也會竊取聯絡人名單與通聯記錄。

研究人員指出，有別於許多惡意軟體攻擊，發動上述攻擊的駭客為了引誘受害人安裝上述的惡意App，作為誘餌的VPN應用程式不僅具備完整的VPN功能，駭客還建立擁有千名粉絲的臉書與Instagram帳號，這些帳號包含大量巴哈伊教的貼文，並引導受害者到特定的Telegram頻道。

【漏洞與修補】

IT基礎設施監控系統Checkmk存在重大漏洞

資安業者SonarSource揭露T基礎設施監控系統Checkmk的漏洞，這些漏洞一旦遭到利用，攻擊者無需通過身分驗證，就能遠端控制Checkmk伺服器。研究人員總共找到4個漏洞，其中有2個CVSS風險評分達9.1分的為重大漏洞，一個為程式碼注入漏洞，涉及watolib元件的auth.php；另一個為任意讀取檔案漏洞，與該系統整合的NagVis元件有關。研究人員於8月下旬通報上述漏洞，Checkmk於9月中旬發布2.1.0p12版予以修補。