【資安日報】3月19日，駭客組織Earth Krahang鎖定政府機關而來，疑為中國資安業者安洵旗下團隊

半個月前資安業者趨勢科技揭露中國駭客組織Earth Lusca的攻擊行動，並指出該組織與中國資安業者安洵信息（i-Soon）有所關連，但並未說明兩者之間的關係，如今相關調查出現新的進展。

研究人員發現另一個與Earth Lusca攻擊手法相近，卻有顯著不同之處的駭客組織Earth Krahang，並根據安洵外流的內部資料，研判這兩組人馬就是由該公司經營。

【攻擊與威脅】

中國駭客組織Earth Krahang鎖定45個國家、逾100個組織而來

資安業者趨勢科技揭露中國駭客組織Earth Lusca在臺灣總統大選前夕進行的網路釣魚攻擊，並指出該組織可能與內部資料遭到公開的中國資安業者安洵信息（i-Soon）有關，如今他們又有新的發現。

研究人員揭露名為Earth Krahang的駭客組織，並指出對方從2022年初開始從事攻擊行動，主要目標是政府機關，範圍涵蓋45個國家，大部分位於亞洲及美洲，但歐洲與非洲也有受害組織。其中，他們確認有70個組織已遭到入侵，另有116個組織遭到鎖定；而在受害組織當中，48個是政府機關，另有49個政府實體是對方鎖定的目標。

在攻擊行動裡，對方針對面向網際網路的應用程式伺服器，利用開源工具掃描是否存在特定漏洞，例如即時通訊伺服器Openfire路徑穿越漏洞CVE-2023-32315、Oracle Web Applications Desktop Integrator漏洞CVE-2022-21587進行滲透，但研究人員也看到駭客利用釣魚郵件進行的情況。得逞後部署Web Shell或是SoftEther VPN，以便持續於受害組織環境從事網路間諜活動，然後洩露其電子郵件內容，並對電腦植入Cobalt Strike與後門程式Reshell、XDealer（亦稱DinodasRAT）。

而對於Earth Krahang與其他中國駭客組織之間的關連，研究人員推測，該組織可能與Earth Lusca隸屬安洵信息的兩個滲透團隊。

富士通證實IT系統遭到惡意軟體入侵，客戶資料恐外流

3月15日日本IT業者富士通發布資安公告，指出他們發現多臺電腦出現惡意軟體，經過內部調查，與客戶個資有關的檔案有可能外洩。

而對於這起事故的應變處理，該公司表示在確認受害電腦出現惡意程式後，他們隨即切斷這些電腦與內部網路的連結，並加強監控其他的電腦，該公司目前著手調查惡意軟體入侵的情況，並確認資料是否外洩，截至目前為止，他們尚未發現個資遭到濫用的跡象。但究竟有多少人受到影響，以及是否有其他企業、消費者被波及，該公司並未說明。

竊資軟體AZORult透過新型態的HTML挾持手法散布

在散布惡意程式的手法當中，駭客利用HTML挾持（HTML Smuggling）手法來迴避偵測，可說是相當常見，但最近有攻擊者採用新的手法引起研究人員注意。

資安業者Netskope揭露竊資軟體AZORult的攻擊行動，對方在進行HTML挾持的同時，也濫用Google Sites網站，使得攻擊行動更難捉摸。這起攻擊行動特殊之處，在於駭客使用的HTML挾持手法，對方將惡意酬載嵌入JSON檔案，並存放於外部網站，具體而言，研究人員看到駭客使用Google Sites建置冒牌的Google Docs網頁，從而引誘使用者下載檔案，一旦使用者存取駭客建置的網頁，該網站就會發出GET請求，從另一個網域下載JSON檔案，並還原以Base64演算法處理的惡意酬載。

攻擊者透過反射式程式碼載入的手法啟動此竊資軟體，該程式以無檔案（Fileless）的型式運作，且具備繞過反惡意程式碼掃描介面（AMSI）的能力，從而迴避Microsoft Defender等端點防護系統。

駭客透過GitHub提供盜版軟體破解程式，意圖散布竊資軟體RisePro

防毒業者G Data指出，近期有人透過程式碼儲存庫GitHub聲稱提供盜版軟體的破解程式，然而使用者若是依照指示下載、安裝，電腦就會被部署竊資軟體RisePro。

研究人員一共看到13個儲存庫，其共通點在於其說明檔案README.md，駭客通常會寫入4個Unicode綠色圓圈符號，由於GitHub通常會用這種符號來顯示儲存庫的自動組譯狀態，因此這樣的手法容易降低使用者戒心。

對於儲存庫上提供的檔案，研究人員對其進行調查，駭客以RAR壓縮檔打包，解壓縮後檔案大小高達699 MB，使得IDA Pro等多種逆向工程工具無法正常解析，他們進一步拆解，實際的惡意酬載檔案大小僅有3.43 MB。

高雄市觀光局傳出網站遭駭，疑為舊資料拼湊而成

3月15日傳出有中國駭客在勒索軟體駭客組織LockBit經營的Telegram群組裡，上傳號稱是臺灣公務員資料的純文字檔案，並表示是入侵「高雄市觀光局行政資訊網」網站而得，此檔案內容，大部分是民國94年至100年於高雄公務機關任職人士的資料，包含高雄高等行政法院、戶政事務所、衛生所、鄉公所、國小等各式公務機關，檔案大小達到1 MB。

對於駭客的說法，聯合新聞網引述不具名資安專家的說法指出，攻擊者很可能利用網站的漏洞，從而撈取網站資料庫的內容。

針對上述的情況，高雄市政府也取得檔案進行分析，並指出該純文字檔案內含8,094筆資料，其中7,953筆是高雄縣市合併前高雄縣政府及縣議會的資料，141筆則是高雄高等行政法院的資料。根據檔案建立的時間與機關名稱來比對，他們研判，這個檔案是利用過往取得的資料移花接木而成，並非駭客宣稱來自現行的「高雄市觀光局行政資訊網」網站。

資料來源

1. https://udn.com/news/story/7241/7835607
2. https://www.upmedia.mg/news_info.php?Type=24&SerialNo=197232

臺灣兩個公共場所出現華為設備畫面的情況，引發資安疑慮

基於國家安全考量，行政院在2020年下令，禁止公務機關使用中國廠牌資通訊產品，並必須在2021年底前完成汰換已採購、使用的設備，2022年數位發展部修正「各機關對危害國家資通安全產品限制使用原則修正草案」，針對不特定人員具傳播效果的大型LED看板、廣播系統等設備，都要比照公務機關資通訊設備管理，但近期卻發生公共場所出現華為設備管理登入介面的情況。

3月16日有人在臉書上指出，新北市公車提供的Wi-Fi無線網路，登入介面竟出現華為的標誌及簡體中文。對此，17日新北市交通局表示已請公車業者全面清查，初步回報已無使用該廠牌設備，他們也將派員清查各公車車上的Wi-Fi列表；隔日表示15家公車業者、旗下2,468輛公車皆無使用華為設備。

無獨有偶，16日晚間臺南市東區大型電子廣告看板當機，並出現華為的自動執行視窗，這樣的畫面約出現3至4個小時，引發民眾議論。

資料來源

1. https://www.facebook.com/vic2211/posts/10231689078665539
2. https://news.ltn.com.tw/news/politics/breakingnews/4610174
3. https://www.ntpc.gov.tw/ch/home.jsp?id=e8ca970cde5c00e1&dataserno=83d63725a569a83f729385a94ab17ec3
4. https://www.ntpc.gov.tw/ch/home.jsp?id=e8ca970cde5c00e1&dataserno=c011b840e5e05c69e879d1db08be5592
5. https://news.ltn.com.tw/news/Tainan/breakingnews/4610268

【漏洞與修補】

【其他新聞】

已終止維護的WordPress資安外掛程式存在漏洞，恐導致網站遭到挾持

Fortra修補檔案傳輸工具FileCatalyst的重大漏洞

Intel、AMD修補處理器新的微架構漏洞

北美製造業遭到惡意軟體Ande Loader鎖定

俄羅斯駭客APT28針對歐洲、美洲、亞洲展開廣泛的網路釣魚攻擊

近期資安日報

【3月18日】國際貨幣基金組織電子郵件帳號傳出遭到挾持

【3月15日】Windows安全機制SmartScreen弱點在公布前也被用於散布惡意程式DarkGate

【3月14日】研究人員揭露ChatGPT可用於存取第三方網站及敏感資料的漏洞