【資安週報】2022年9月26日到9月30日

從9月底最後一周的資安新聞來看，中國駭客APT41、TA413的攻擊行動相當值得留意，其中前者運用了具備多種檔案格式特徵的CHM檔案來發動攻擊，而使得將其透過不同的應用程式開啟，會出現完全不同的執行結果。

關於企業遭到入侵的事故，在這一周期間，澳洲大型電信業者Optus遭到攻擊，不過，事隔兩天，駭客聲稱因執法單位的壓力，刪除竊得的資料；Uber指控資料外洩的攻擊者是駭客組織Lapsus$，但現在有資安研究人員認為，英國警方逮捕的一名17歲青少年才是主謀。

本周駭客作案工具遭到外流的情況，也有越來越頻繁的現象！日前流出的勒索軟體LockBit 3.0產生器，如今有駭客將其製作名為Bl00dy的勒索軟體；再者，另一個引起研究人員關注，認為駭客很有可能拿來取代Cobalt Strike的滲透測試工具Brute Ratel C4（BRC4），現在傳出遭到破解且大肆在網路犯罪圈散布的情況。

在重大漏洞部分，Exchange Server這一周再度傳出零時差漏洞，並出現攻擊行動，微軟雖然提出了緩解措施，但尚未提供修補程式。

【9月26日】微軟SQL Server遭到勒索軟體Fargo鎖定、駭客假冒CI/CD平臺竊取開發者GitHub帳號

勒索軟體駭客鎖定特定的應用系統，做為入侵受害企業的管道，這樣的現象越來越頻繁。例如，有資安業者指出，名為Fargo的勒索軟體針對微軟SQL Server而來，駭客看上的就是這種資料庫系統可能沒有及時修補，或是使用弱密碼，而容易對其發動攻擊。

開發者遭到鎖定的情況近期也相當氾濫，但現在有人同時針對兩種系統的用戶發動攻擊。有人自9月中旬針對採用持續開發及持續整合平臺CircleCI、程式碼代管平臺GitHub的用戶發動釣魚郵件攻擊，並要求收信人透過CircleCI帳號存取GitHub，進而竊取受害者的程式碼。

協作平臺Atlassian Confluence的重大漏洞CVE-2022-26134再度遭駭客利用！研究人員發現將Confluence伺服器用於挖礦的攻擊行動，值得留意的是，這次駭客也運用了Linux漏洞PwnKit部署挖礦程式。

【9月27日】中國駭客TA413利用後門程式Lowzero攻擊圖博人士、Zoom用戶成駭客散布惡意程式的攻擊目標

又是針對圖博人士的攻擊行動！有研究人員發現中國資助的駭客組織TA413發動的攻擊行動，這些駭客入侵受害組織的管道，先後運用了Sophos防火牆漏洞、MSDT元件漏洞Follina，並使用後門程式Lowzero進行網路間諜行動。在此之前，也有名為RedAlpha的中國駭客組織鎖定圖博社群而來。

下載視訊會議軟體也要當心！資安業者揭露駭客以架設冒牌Zoom網站的方式，向受害者散布竊密軟體。這樣的情況，先前也有針對加密通訊軟體Telegram用戶的攻擊事故。

【9月28日】中國駭客APT41透過CHM檔案散布竊密軟體、北韓駭客Lazarus宣稱提供Crypto職缺散布惡意軟體

駭客傳遞惡意軟體到受害電腦的手法，不少很可能是透過惡意巨集文件，或是HTML檔案、光碟映像檔來進行，但最近有人製作了具備多種檔案格式特徵的CHM檔案來發動攻擊。這個CHM檔案可被當作Windows說明檔案執行，但後來駭客透過了MSHTA元件來啟動部署惡意軟體的流程。

PowerPoint的投影片模式也成為駭客濫用的對象！俄羅斯駭客組織APT28濫用這種功能觸發惡意PowerShell指令碼，而可能躲過資安防護系統的偵測。

北韓駭客Lazarus再度假借加密貨幣交易所的職缺發動網釣攻擊！但與過往事件不同的是，這次駭客似乎鎖定macOS使用者而來。

【9月29日】駭客假借政府機關名義散布Cobalt Strike、美國商業媒體Fast Company遭駭而推送種族仇恨訊息

攻擊者發動釣魚郵件攻擊的手法，大多是經由內含惡意巨集的Office文件檔案附件來進行，然而最近有人使用的是Word範本檔案來挾帶惡意程式碼，而使得郵件附件裡的Word文件能夠躲過資安系統檢測。

美國商業媒體Fast Company遭駭，但值得留意的是，駭客並非從中竊取機密，而是冒用該公司的名義散布種族仇恨訊息。

一週前勒索軟體LockBit產生器外流，現在又有滲透測試工具Brute Ratel C4（BRC4）破解版在駭客論壇散布。這種作案工具流出的情況越來越常出現，不只會有更多駭客拿來運用，也可能使得資安人員追查攻擊來源更加困難。

【9月30日】微軟Exchange伺服器又有零時差漏洞已被駭客鎖定、基於LNK散布惡意軟體的形式日益升溫

微軟Exchange伺服器2013/2016/2019用戶注意了！有資安業者提出警告，他們從攻擊活動中發現微軟Exchange伺服器又有新的零時差漏洞出現，目前已通報ZDI與微軟，用戶須注意後續修補情形，而該公司也已提供IoC供外界自行比對檢查。同時，微軟在29日也說明這次漏洞分別是CVE-2022-41040的SSRF漏洞，以及CVE-2022-41082的RCE漏洞，並公布暫時緩解方法供企業因應。

另一最近值得關注焦點，是網路犯罪者透過Quantum Builder透過LNK散布惡意軟體的趨勢。近三個月來，已有一些資安業者提醒Quantum Builder工具開始被廣泛應用的跡象，例如，資安業者cyble在6月先是揭露，網路犯罪者販售於暗網的Quantum Builder工具，是可用於產生.LNK、.HTA、.ISO與PowerShell腳本的工具，駭客會利用此工具散布Emotet、Bumblebee、Qbot、Iced等惡意程式。