【資安日報】2022年4月14日，國家級駭客鎖定ICS和SCADA系統下手、俄羅斯NPM開發者竄改套件表態反戰

昨天的資安新聞中，資安業者協助烏克蘭電腦緊急應變小組（CERT-UA）成功攔阻俄羅斯駭客對於當地發電廠的攻擊行動，其中駭客意圖控制高壓變電所的ICS系統。這樣的情況也使得今天美國對關鍵基礎設施業者（尤其是能源業者）發布資安警訊，要求嚴加防範這種針對ICS與SCADA的國家級駭客攻擊。

透過自己經營的NPM套件來表達反戰訴求的手法，最近也有俄羅斯開發者跟進，利用這種方式希望俄羅斯總統普丁能趕快結束戰爭。

研究人員發現WordPress外掛程式Elementor存在RCE漏洞，並指出駭客很有可能不需身分驗證就能利用此漏洞。由於開發者發布的新版程式尚未完全修補漏洞，研究人員呼籲網站管理者最好暫時不要使用這個外掛程式。

【攻擊與威脅】

美國警告國家級駭客鎖定ICS、SCADA系統發動攻擊

國家級駭客針對工業控制系統（ICS）與SCADA系統發動攻擊的情況，可說是不時有事故傳出，例如，最近俄羅斯駭客Sandworm就企圖對烏克蘭高壓變電所的ICS系統下手，阻斷該國電力供應。這樣的情況使得美國政府再度提出警告。

美國網路安全暨基礎設施安全局（CISA）、國家安全局（NSA）、聯邦調查局（FBI）、能源部（DOE）聯手，發布資安通告指出，由政府資助的駭客組織，已經能夠透過針對ICS系統的惡意軟體，完全掌控多個廠牌的ICS與SCADA系統，包含施耐德電氣與歐姆龍的可程式化邏輯控制器（PLC），以及OPC UA伺服器等。這些駭客也使用具有已知漏洞的主機板驅動程式AsrDrv103.sys，藉此利用CVE-2020-15368漏洞攻擊Windows電腦，在作業系統核心執行惡意程式碼，或是橫向移動，進而破壞IT與OT環境，美國呼籲關鍵基礎設施、能源業者嚴加防範。

雖然這份公告沒有揭露駭客使用的惡意軟體名稱，但根據資安業者Dragos的說法，很有可能是今年初被揭發的Pipedream。

俄羅斯NPM開發者竄改event-source-polyfill套件，希望俄羅斯政府能結束烏克蘭戰爭

有許多NPM開發者藉由破壞自己維護的套件，來表達對俄羅斯進軍烏克蘭的不滿，但最近也有俄羅斯的開發人員藉此表達反對戰爭的立場。根據資安新聞網站Bleeping Comptuer的報導，俄羅斯開發者Viktor Mukhachev於3月17日，在他維護的NPM套件event-source- polyfill裡，加入與功能無關的程式碼，在該套件執行時，會出現希望俄羅斯結束對烏克蘭入侵的訴求，並建議俄羅斯民眾能閱讀較為可靠的新聞資料，最後希望用戶能夠一同填寫請願書，希望俄羅斯總統普丁能夠停止戰爭。不過，與先前node-ipc開發者作法有所不同的是，這名開發者沒有破壞受害電腦上的檔案，但此舉還是引起開發者社群之間的廣泛討論。

中國駭客Hafnium利用作業系統工作排程機制漏洞來規避偵測

駭客利用作業系統排程機制來躲避偵測的情況，最近出現了利用相關漏洞的攻擊行動。微軟揭露中國駭客組織Hafnium自去年8月到今年2月的攻擊行動，駭客鎖定電信業、ISP、資料服務供應商，利用滲透測試工具Impacket於受害組織的網路橫向移動，並透過名為Tarrask的惡意程式躲避防護機制，利用Windows作業系統的任務排程瑕疵，刪除安全敘述（Security Descriptor）的機碼，而使得傳統的偵測機制無從察覺，藉此在受害電腦長期滲透。

研究人員指出，駭客使用的手法，對於網域控制器、資料庫伺服器等不常重開機的系統相形嚴重，他們建議網管人員應列舉Windows電腦的機碼登錄庫，檢查是否存在沒有安全敘述的排程工作，來防範相關的攻擊手法。

勒索軟體LockBit在美國地方政府的網路埋伏半年才發動攻擊

駭客組織很可能藉由初始入侵受害組織的過程來訓練新手。例如，資安業者Sophos揭露勒索軟體LockBit攻擊美國地方政府機構的事故，疑似至少有兩組駭客進行入侵，並在該機構的網路活動超過5個月，直到今年年初才部署LockBit。這起攻擊行動一開始，駭客先是透過遠端桌面協定（RDP）入侵一臺電腦，並利用Chrome瀏覽器下載所需的駭客工具，然後攻擊者慢慢收集有價值的帳號資料，直到後來偷到擁有網域管理員權限的帳密。

然而，在5個月後，似乎經由另一組較為老練的駭客接手，開始從遭入侵的伺服器挖取更多憑證資料，並試圖清除事件記錄（Log）資料，並強制重新啟動系統，然後在第6個月的第1天，開始橫向移動並加密檔案，待Sophos介入事件回應的工作時，已有部分網路遭到LockBit加密。研究人員指出，企業應實施雙因素驗證（MFA），並加強遠端桌面協定的防火牆規則管理，來防範相關威脅。

越來越多的商業郵件詐騙手法更為詭詐，難以透過行為和意圖識破

商業郵件詐騙（BEC）最近2至3年相當猖獗，但近期手法更加刁鑽而更難被發現。趨勢科技於3月下旬發布2021年度的資安報告指出，他們透過Cloud App Security攔截到的商業郵件詐騙攻擊次數，2021年較2020年減少了11%，但值得留意的是，在2020年的攻擊行動，超過四分之三的事故可透過駭客的行為和意圖來察覺異狀，僅有73,210次攻擊需要透過對於發信者的身分（Authorship）進行深入分析才能識破，但在2021年，這種必須分析發信者身分的商業郵件詐騙攻擊事故多達133,541次，增加接近一倍。在該年度的BEC詐騙攻擊裡，平均每兩起事故就有一起是這種型態的攻擊手法。

研究人員指出，有越來越多駭客這麼做的原因，在於這種型態的手法不只難以被識破，還能更加容易躲避垃圾郵件過濾系統的偵測。

【漏洞與修補】

圖像式WordPress網站建置外掛程式Elementor出現RCE漏洞，恐波及逾百萬網站

協助WordPress用戶能以圖像化（WYSIWYG）的方式，來打造網頁的外掛程式，出現了可被攻擊者輕易利用的漏洞，而有可能在網站上執行惡意程式碼。資安業者Plugin Vulnerabilities指出，他們在名為Elementor的外掛程式裡發現RCE漏洞，波及3.6.0以上的版本。這項漏漏洞與該外掛程式的module.php模組執行流程有關，根據程式碼的內容，只要是經由admin_init執行的程式碼，無須身分驗證就會放行。研究人員指出，攻擊者一旦能夠存取WordPress的管理儀表板，就能夠輕鬆利用此漏洞，藉由上傳WordPress外掛程式的機制來發動RCE攻擊。研究人員認為，攻擊者甚至有可能在完全不需登入WordPress帳號的情況下就能利用（但尚未得到證實）。

這項外掛程式有超過5百萬個網站使用，目前有超過三分之一（34.3%）使用3.6.x版，換言之，超過170萬個網站面臨相關漏洞的風險。Elementor已發布3.6.3版修補此漏洞，但研究人員發現修補不全，呼籲用戶暫時不要使用此外掛程式。

HP旗下的遠端桌面解決方案Teradici存在漏洞，恐波及1,500萬臺電腦

遠端桌面系統隨著遠距辦公需求增加，也成為許多員工存取公司內部環境的管道，一旦出現漏洞將會影響廣泛。例如，HP最近針對去年10月併購的遠端桌面解決方案Teradici發布資安通告，他們本次修補了10個安全漏洞，其中8個與PC over IP（PCoIP）協定有關，其餘則是加密程式庫OpenSSL的漏洞CVE-2022-0778與CVE-2021-4160，影響Windows、macOS、Linux用戶端程式、SDK，全球1,500萬個部署代理程式的端點都可能曝露於相關風險之中。

【資安防禦措施】

微軟、ESET等多家資安業者聯手破壞殭屍網路ZLoader

殭屍網路已經成為駭客散布勒索軟體的管道，而使得資安業者想要進一步從殭屍網路的基礎設施下手，來切斷攻擊鏈。微軟、ESET、Palo Alto Networks、Avast、Lumen等資安業者與全球ISP業者聯手，在取得美國法院的同意下，接管了殭屍網路ZLoader所註冊的319個網域，其中有65個已用於其殭屍網路。微軟也公布ZLoader的攻擊手法，要使用者加以小心防範。