【資安日報】2023年1月4日，蠕蟲程式Raspberry Robin鎖定歐洲金融和保險業而來、駭客利用竊得的銀行資料散布木馬程式BitRAT

蠕蟲程式Raspberry Robin的攻擊行動在去年出現數起，由於此惡意軟體行蹤相當隱密，駭客甚至濫用威聯通（QNAP）的設備來架設基礎設施，而引起研究人員高度關注。而最近的攻擊行動中，研究人員發現駭客採用更為隱蔽的手法，採用了過往未曾出現的反分析機制。

駭客散布木馬程式有新的招式！他們在釣魚郵件夾帶的惡意Excel檔案裡，輸入了從銀行偷到的近42萬筆資料，疑似是為了避免讓受害者懷疑而這麼做。

勒索軟體LockBit的攻擊事故近期變得非常頻繁，其中，洛杉磯市房屋管理局（HACLA）遭到攻擊的情況相當值得留意，因為這不只導致該政府機構的財務資料外洩，也波及向該單位尋求協助的民眾。

【攻擊與威脅】

蠕蟲程式Raspberry Robin鎖定歐洲金融和保險業而來

資安業者Security Joes揭露近期蠕蟲程式Raspberry Robin的攻擊活動，駭客主要針對使用西班牙語與葡萄牙語的組織而來，研究人員觀察到歐洲的金融和保險業者成為目標，在其中一起攻擊行動裡，他們調查出駭客使用7-Zip檔案來散布惡意MSI安裝檔，透過誘使用戶下載安裝，以植入多種攻擊模組；另一起攻擊行動中，受害者是從詐欺廣告網域下載了存放在Discord伺服器的ZIP檔案，內有JavaScript程式碼，執行後會於電腦植入惡意軟體下載器。

相較於之前此蠕蟲程式的攻擊行動，研究人員指出，這次駭客收集比過往更多的受害電腦資料，並在下載器加入新的反分析機制，此外，駭客也透過RC4編碼加密竊得的受害電腦資料。

駭客利用竊得的銀行資料來製作惡意Excel檔案，藉此散布木馬程式BitRAT

資安業者Qualys揭露木馬程式BitRAT最近一波攻擊行動，研究人員在調查該木馬程式的網路釣魚攻擊的過程中，發現駭客使用包含惡意的Excel檔案，開啟後會濫用電腦上的WinHTTP程式庫，從GitHub下載BitRAT惡意酬載，並將啟動器複製到Windows的啟動資料夾來維持在受害電腦上運作。

特別的是，他們還比對該惡意Excel檔案的表單內容，查出資料是來自一家哥倫比亞的銀行，進而發現該銀行資料外洩，駭客取得418,777筆客戶資料，包含了客戶姓名、電話號碼、電子郵件信箱、住址，薪資、付款記錄，以及哥倫比亞身分證字號（Cedula）。研究人員指出，駭客疑利用SQLmap找尋SQL注入漏洞得逞。

洛杉磯市房屋管理局傳出遭到勒索軟體LockBit攻擊

根據科技新聞網站TechCrunch的報導，勒索軟體駭客LockBit於去年12月31日聲稱攻擊了洛杉磯市房屋管理局（HACLA），並竊得15 TB資料，內容包含了向市政府尋求協助的民眾個資，以及HACLA的會計資料、人力資源、薪資單等檔案。HACLA發言人Courtney Gladney證實他們面臨網路攻擊，導致相關系統可能出現中斷的情況。

加密貨幣投資機器人3Commas坦承資料外洩，駭客聲稱竊得10萬個API金鑰

去年12月底有人在推特聲稱，他們從加密貨幣交易平臺3Commas竊得10萬個API金鑰，並公布其中的十分之一資料。該交易平臺於12月29日發布聲明，說明調查狀況，指出上述遭到公布的資料包含了有效的API金鑰，呼籲有進行合作的加密貨幣交易所Kucoin、Coinbase、Binance等，儘速撒銷與3Commas連結的金鑰。

3Commas表示，他們懷疑此起事故是內部洩露並著手調查，但目前尚未找到相關證據，該公司強調僅有少數技術人員能夠存取相關基礎設施，他們亦於11月19日移除相關權限。但從10月開始就有該平臺用戶帳戶資產因帳密遭到洩露後，損失6百萬美元，當時3Commas認為這些用戶是因為遭到網釣攻擊而成為受害者。

Volvo汽車資料外洩，200 GB資料流入駭客論壇兜售

資安研究人員Anis Haboubi在駭客論壇發現，名為IntelBroker的人士聲稱取得了Volvo汽車200 GB資料，並在論壇求售價值2,500美元的門羅幣（Monero），賣家聲稱內有Volvo資料庫、網域、CI/CD、API、Atlassian等系統的帳密，以及軟體授權、員工名單、Wi-Fi熱點、金鑰、系統檔案等。除此之外，這批檔案還有該公司現行與未來車款的資料。

而這些資料取得的管道，該名賣家表示，是勒索軟體Endurance於去年12月31日發動攻擊而得，並表示不打算向該公司勒索。

【漏洞與修補】

群輝修補VPN路由器的重大漏洞

群輝於去年12月30日發布資安通告，該廠牌的路由器作業系統Synology Router Manager（SRM）存在重大漏洞CVE-2022-43931，可被用於在VPN Plus Server元件執行任意命令，影響執行SRM 1.3版與1.2版的路由器，該公司發布1.4.4-0635版及1.4.3-0534版VPN Plus Server元件修補。此漏洞的CVSS風險層級達到了10分。

逾6萬臺Exchange仍未修補ProxyNotShell漏洞

非營利組織Shadowserver基金會的研究人員於12月21日指出，有8.4萬臺Exchange伺服器尚未完整修補ProxyNotShell漏洞（CVE-2022-41082 、CVE-2022-41040），但到了今年1月2日，仍有近6.1萬臺曝露於相關風險，其中歐洲有3.1萬臺，美國及加拿大則有1.8萬臺。這樣的情況使得研究人員呼籲IT人員應加速修補的腳步。