【資安日報】2022年12月27日，逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

推特於今年1月修補的漏洞，駭客在尚未修補之前運用的情況恐怕遠超過先前研究人員的發現！近日有人在駭客論壇兜售超過4億筆的推特用戶資料，與先前公布的資料不同之處在於，這次的資料量極為龐大，而且，賣家向推特喊話，要該公司把資料贖回。

美國電信業者Comcast Xfinity的用戶帳號遭竊的情況也相當值得留意，駭客疑似發動帳號填充攻擊，然後使用特製的動態密碼（OTP）繞過工具，而能成功挾持部分用戶的帳號，之後駭客還會對其他雲端服務下手，利用相同的帳密企圖入侵。

我們之前介紹過惡意軟體散布服務Pay-per-install，業者透過惡意軟體下載器PrivateLoader來散布客戶的惡意程式，最近有兩家資安業者發現名為RisePro的竊密軟體就以這種方式發動攻擊，且至少有2千臺電腦受害。

【攻擊與威脅】

逾4億筆推特用戶資料出現於駭客論壇

駭客在去年利用推特漏洞竊取用戶個資料，影響範圍很可能再度擴大。根據資安新聞網站Bleeping Computer的報導，有人在12月23日於駭客論壇BreachForums上以2萬美元的價格，兜售4億筆推特用戶資料，並提供37個名人的資料讓買家比對（後來又再提供了1千筆資料）。

賣家警告推特執行長馬斯克，若不把資料買回去的話，很可能要面臨GDPR的巨額罰款。賣家表示，假如推特沒有買走這些資料，他們將會以6萬美元的價格賣給多個買家。而對於資料來源，賣家表示就是透過今年1月推特修補的漏洞取得。

威脅情報業者Hudson Rock指出，他們比對駭客提供的資料，研判應為真實資料，但無法確認駭客是否真的擁有如此龐大的資料庫。

美國電信業者Comcast Xfinity用戶遭到攻擊，駭客疑繞過雙因素驗證挾持帳號

根據資安新聞網站Bleeping Computer的報導，約自12月19日開始，有許多美國電信業者Comcast Xfinity的用戶收到通知信，告知他們的帳號資料出現更動的情況，隨後用戶便發現無法存取並向該電信業者通報，才得知自己的帳號遭到入侵，而且，駭客在用戶資料裡新增了YOPmail的電子郵件信箱。值得留意的是，受害者幾乎都啟用了雙因素驗證，但攻擊者卻能成功入侵並竄改密碼。

有不具名的研究人員向該新聞網站透露，此起事故很可能是帳號填充（Credential Stuffing）攻擊，一旦駭客成功存取該帳號，並收到雙因素驗證的請求，他們就會採用專屬的動態密碼（OTP）繞過工具，向Xfinity網站發出通過相關驗證的偽造訊息。有部分使用者發現，駭客在挾持他們Xfinity帳號後，便利用帳密資料嘗試存取DropBox、Evernote、Coinbase等雲端服務或加密貨幣交易所的帳號。

俄羅斯駭客企圖入侵北約國家的煉油廠

資安業者Palo Alto Networks揭露俄羅斯駭客組織Gamaredon（亦稱Trident Ursa）在8月底的入侵行動，駭客鎖定北大西洋公約組織（NATO）的大型煉油廠下手，所幸沒有成功。研究人員指出，這些駭客原本針對烏克蘭而來，並在釣魚郵件使用烏克蘭語，但後來他們看到該組織開始寄送英文版的釣魚郵件，原因是將攻擊範圍擴及北約國家。

研究人員也發現兩種附件型態的釣魚郵件，一種是透過內含RAR壓縮檔的HTML附件進行，一旦收信人依照指示點選壓縮檔裡的LNK檔案，駭客就會從惡意URL下載並執行HTA檔案、VBScript指令碼，進而對受害電腦進行遠端控制；另一種則是利用看似無害的Word檔案附件，收信人開啟後該文件會從遠端下載惡意範本檔案，此範本內含惡意巨集，目的是用來執行VBScript酬載。

竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

資安業者Flashpoint、Sekoia先後針對竊密軟體RisePro揭露細節，駭客亦採用了Pay-per-install（PPI）服務下手，藉由PrivateLoader惡意軟體下載器散布，假借軟體破解與金鑰產生器的名義散布此竊密軟體。

Flashpoint指出，他們在12月13日看到有人將此竊密軟體偷到的2千餘組機密資料，在地下市集Russian Market進行兜售，根據對該竊密軟體的分析，研究人員認為RisePro是由另一款竊密軟體Vidar發展而來。

Sekoia則發現，RisePro與PrivateLoader的程式碼有30%相似，研判有可能是PrivateLoader的開發者打造了RisePro，或是兩個惡意軟體的開發者存在密切合作的關係。

抖音證實員工曾存取記者個資

根據紐約時報的報導，短影片社交平臺抖音（TikTok）的母公司字節跳動（ByteDance）於12月22日證實，母公司與美國分公司的4名員工，曾存取美國記者的個資而遭到解僱。該公司是在內部稽核的過程裡，發現有內部員工洩密，而存取BuzzFeed、金融時報的記者個資，包含了記者的IP位址與通訊記錄。

新聞網站The Verge取得該公司內部信件，抖音法務長Erich Andersen向員工公布此事，並指出稽核與風險部門將重整；另有字節跳動執行長梁汝波，抖音執行長周受資也對此向員工發出信件說明。

【漏洞與修補】

內容管理平臺Ghost存在權限提升漏洞

思科研究人員揭露內容管理平臺Ghost的漏洞，其中最嚴重的是身分驗證繞過漏洞CVE-2022-41654，該漏洞可讓不具特權身分的使用者竄改電子報設定，發出未經授權的通知，而且能影響整個網站的所有使用者，CVSS風險層級達到9.6分。研究人員提出警告，由於該內容管理平臺預設允許管理者在電子報注入JavaScript，使得攻擊者能利用上述漏洞編輯電子報，並能建立管理者帳號。

研究人員公布的另一個漏洞是用戶枚舉漏洞CVE-2022-41697，駭客一旦利用，就有機會取得該網站所有使用者的電子郵件信箱，然後用於釣魚攻擊，CVSS風險層級為5.3分。