【資安週報】2024年1月2日到1月5日

新的一年到來，首要關注的漏洞消息是，去年底有研究人員揭露SSH通訊協定的漏洞問題，可透過Terrapin新手法進行攻擊，但1月3日Shadowserver基金會指出，網路上仍可發現近1,100萬臺的大量伺服器未因應，依然存在CVE-2023-48795漏洞的風險。

在新興威脅焦點上，以Google服務cookies可被劫持的後續揭露最受關注，還有勒索軟體Zeppelin2與竊資軟體Meduza的最新動向。
（一）前陣子名為PRISMA的駭客聲稱能夠竊取Google服務相關cookie，引起廣泛關注，如今我們終於看到有資安業者揭露其攻擊手法與原理，指出駭客除了鎖定Chrome瀏覽器中名為token_service的表單，進而取得的GAIA ID/token，另一關鍵，更是鎖定Google文件未提及的MultiLogin端點跨服務同步機制，這個端點是Google OAuth系統的重要環節。這也顯示，攻擊者對於Google內部身分驗證機制，有著更深層的研究與理解。
（二）勒索軟體Zeppelin2傳出被他人破解的消息，近日有駭客在地下論壇散布的原始碼與建置工具，資安界憂心遭更多不肖分子利用。
（三）有駭客在地下社群與Telegram頻道廣為宣傳新版竊資軟體Meduza，由於標榜功能豐富，以及可針對更多應用程式下手，而受到資安業者重視。
（四）關於新型態DLL搜尋順序挾持手法的揭露值得留意，駭客可濫用系統資料夾WinSXS，進而繞過Windows 10及11防護措施，這樣的手法將讓攻擊更加隱密。

在上述Google服務cookies劫持的手法揭露之外，我們認為同樣值得關注的是，近期社群平臺X（推特）的企業組織帳號遭不明手法劫持的安全問題，最近報導了兩篇資安新聞，其中一篇是資安業者本身也發生遭盜用的情形。

首先是有資安業者CloudSEK揭露，隨著去年底X推出新的驗證帳號方案，但駭客為了假冒企業帳號，目前也正利用各種技術來偽造或盜竊具有金色認證標章；隔沒幾天，資安業者Mandiant發生X帳號遭盜用情形，被利用於假冒加密貨幣錢包供應商Phantom名義的詐騙活動，後續Mandiant表示已取回帳號，並指出已啟用MFA仍遭挾持，目前仍在調查原因。近日資安團體MalwareHunterTeam也指出，發現不少非營利組織、政治人物的X帳號，同樣遭劫持與盜用的情況。

在資安事件方面，這星期我們看到國際間發生食品零售業、保險業、外送平臺業者、政府單位與企業受害的狀況。

首先要注意的是零售服務業，近日瑞典食品零售供應商Coop遭駭，目前傳出遭勒索軟體駭客組織Cactus攻擊；保險業者也要當心，伊朗發生大規模資料外洩事件，該批資料涉及23家保險業者，駭客這波攻擊竟能一次鎖定如此多家保險業者，相當不尋常；還有外送平臺業者，伊朗Snappfood平臺發生資料外洩，研究人員發現1名SnappFood員工的電腦感染StealC竊資軟體，使得公司帳密外洩與資料遭存取。其他重大事件包括：澳洲法院也傳出遭駭客入侵，造成聽證會錄音恐外流的情形；全錄（Xerox）的美國分公司Xerox Business Solutions（XBS）遭遇網路攻擊，部分個資外洩。

【1月2日】竊資軟體濫用Google未公開的OAuth同步機制挾持用戶帳號

去年11月，竊資軟體Lumma、Rhadamanthys的開發者聲稱加入罕見的新功能，能讓攻擊者藉由收集電腦的特定檔案挾持受害者Google帳號，而且，使用者更換密碼也無法擺脫駭客糾纏。如此特殊、神奇的攻擊手法，引起研究人員高度關注，後續有其他資安業者參與相關調查，並揭露成果。

值得留意的是，駭客竟是濫用Google未公開的服務元件達到目的，前不久也出現這種運用未公開元件攻擊的手法，那就是卡巴斯基之前揭露的間諜軟體攻擊Operation Triangulation，駭客滲透的管道是晶片韌體未使用的暫存器。

【1月3日】日本遊戲開發商因母公司Google Drive配置錯誤導致近百萬人的個資曝險

去年12月電玩產業發生多起資料外洩事故，例如：Sony旗下的遊戲開發商Insomniac Games遭勒索軟體Rhysida攻擊，Ubisoft面臨網路威脅滲透至內部的問題，以及RockStar Games在2022年遭駭的部分資料被公開。而上述資安事故，都是因為駭客入侵所致。

而去年底還有一起資安事故因公布受影響的範圍而受到關注，主角是一家遊戲公司，原因是他們存放於雲端服務Google Drive的部分資料被設置為公開，而有可能讓客戶、合作夥伴、員工的個資曝光。

【1月4日】俄羅斯駭客入侵烏克蘭民用網路攝影機並用於飛彈精準轟炸

烏克蘭戰爭開戰已經接近2年，俄羅斯駭客將網路攻擊配合軍事行動的情況不時傳出，使得相關的網路攻擊在這場戰爭當中，具有舉足輕重的地位。

而最近烏克蘭面臨大規模空襲的期間，也傳出俄羅斯駭客趁機攻擊烏克蘭首都的網路攝影機，使得俄羅斯能夠掌握烏克蘭防空部署，更有效進行飛彈轟炸。

【1月5日】駭客組織利用新型態攻擊手法對烏克蘭組織散布木馬程式Remcos RAT

專門針對烏克蘭發動攻擊的駭客組織UAC-0050，最近再度發起新的攻擊行動而引起研究人員關注，原因是這些駭客運用了過往較為罕見的攻擊手法，而能成功迴避防毒軟體及EDR系統的偵測。

研究人員認為，本次駭客濫用處理程序之間隱藏的資料傳輸通道，這樣的手法並非首度出現，但由於駭客開始採用這樣的技術，也意謂著他們的戰術變得更加複雜。