【資安日報】2023年1月12日，惡意軟體Gootkit假冒VLC影音播放器攻擊醫療機構、駭客組織Dark Pink鎖定亞太地區政府與軍事單位

又是駭客企圖操縱Google搜尋引擎最佳化排行（SEO），假借提供知名軟體的攻擊行動！研究人員揭露Gootkit的攻擊行動，並指出駭客針對澳洲的醫療機構而來，並以提供影音播放器VLC Media Player的名義來散布惡意軟體。

專門針對亞太地區政府機關與軍事單位的駭客組織Dark Pink崛起，在最近半年，他們至少成功發起7起攻擊行動，應該有更多組織受害。

駭客進行自帶驅動程式攻擊（BYOVD）的狀況越來越多，最近駭客組織Scattered Spider也跟進這種手法，雖然他們濫用的漏洞已在2016年完成修補，但仍能以此方式進行攻擊。

【攻擊與威脅】

惡意軟體Gootkit假借影音播放器VLC散布，針對澳洲醫療機構散布Cobalt Strike

資安業者趨勢科技揭露惡意軟體載入工具Gootkit（亦稱Gootloader）近期的攻擊行動，根據他們的追蹤，約自2022年10月開始，這個駭客組織針對澳洲的醫療機構而來，並企圖操縱Google搜尋引擎的結果（SEO poisoning）來達成目的──研究人員看到Gootkit惡意程式鎖定的攻擊目標，包含醫院、健康、醫療、企業合約等關鍵字，並搭配澳洲的城市名稱。

另一方面，駭客假借提供VLC Media Player影音播放軟體的名義，來引誘使用者下載Gootkit，一旦依照指示執行當中的JavaScript指令碼，就會觸發PowerShell指令碼來下載Cobalt Strike及其他惡意程式，除此之外，攻擊者也進行受害電腦的網路監控，不過，研究人員並未取得駭客最終投放的惡意軟體檔案。

駭客組織Dark Pink鎖定亞太地區政府與軍事單位

資安業者Group-IB揭露駭客組織Dark Pink（亦稱Saaiwc Group）的攻擊行動，在2022年6月至12月共發動至少7次攻擊，針對越南、菲律賓、馬來西亞等亞太地區的政府機關與軍事單位下手。

駭客運用自行打造的工具Ctealer或Cucky來竊取機密，或利用USB儲存裝置散布惡意軟體TelePowerBot、KamiKakaBot，然後藉由DLL側載手法於受害電腦觸發惡意酬載，目標是從受害電腦的偷取機密資料、瀏覽器的機敏資訊，以及Zalo、Viber、Telegram等即時通訊軟體的對話內容，甚至是從麥克風側錄裝置周遭聲音。

濫用有漏洞的英特爾網路卡驅動程式，駭客組織Scattered Spider發動BYOVD攻擊，企圖繞過電腦安全防護機制

資安業者CrowdStrike於12月揭露駭客組織Scattered Spider（亦稱Roasted 0ktapus、UNC3944）的攻擊行動，駭客自2022年6月開始，攻擊電信業者、業務流程外包公司（BPO），現在研究人員公布進一步的調查結果。

該公司表示，自他們揭露攻擊行動數星期後，偵測到駭客攜帶含有漏洞CVE-2015-2291的Intel Ethernet診斷驅動程式，在受害電腦部署，發動自帶驅動程式攻擊（BYOVD），企圖繞過多款資安防護產品的端點代理程式，這些資安系統包含了Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR，以及SentinelOne。