資安一周[0902-0908]：新駭客組織又挾持26,000臺MongoDB勒索資料庫所有人

重點新聞（09月02日-09月08日）

2,893臺萊特幣挖礦機的Telnet埠在外裸奔，全遭駭客入侵恐收編殭屍裝置

資安公司Rapid7在8月初才公布全球有410萬個RDP埠暴露在外，易遭駭客入侵來做其他非法用途，近日一名荷蘭研究員，也是負責揭露設備外洩資訊的非營利組織「GDI基金會」主席Victor Gevers於28日在推特揭露，他發現來自中國2,893臺專門挖掘萊特幣（Litecoin）裝置的Telnet埠資訊暴露在外，包含IP位址、用戶名、密碼都已經外洩，而且部分裝置已感染惡意軟體，以及植入後門程式，駭客恐以後控制這些設備來發動攻擊。更多新聞

MongoDB勒索攻擊仍未減，駭客又挾持26,000臺來勒索資料庫所有人

今年1月初，超過3.5萬臺MongoDB資料庫公開暴露在網路，駭客Harak1r1刻意移除資料庫內容，來向資料庫所有人勒索，研究人員Victor Gevers與Dylan Katz最近揭露，8月底出現了3個新駭客組織，又挾持了26,000臺MongoDB資料庫來發動勒索攻擊。Victor Gevers向資訊部落格Bleeping Computer作者表示，雖然與今年初相比，攻擊者數量減少了，但遭挾持的資料庫數量仍持續上升，目前駭客已經綁架了47,368臺MongoDB資料庫。更多資料

外包商又發生AWS S3設定疏失，時代華納400萬用戶資料曝光

由於手機App外包商BroadSoft線上資料庫設定疏忽，造成美國有線電視業者時代華納（Time Warner）超過400萬名用戶資料暴露在網路上。資安業者Kromtech研究小組於9月1日揭露，他們原先是調查另一宗不相關的資料外洩案，卻意外找到AWS S3雲端儲存服務上兩個資料夾，發現資料夾內容是時代華納400萬名用戶資料，如姓名、財務交易ID、帳號號碼、MAC位置，地址、電話號碼等。更多新聞

Instagram API有臭蟲，超過600萬名用戶電話與電郵遭外洩

社群媒體Instagram於9月1日對外證實，一名駭客利用Instagram API的臭蟲存取了600萬個用戶的聯絡資訊，包括電子郵件與電話號碼，其中名單內有明星、政治人物、運動員和媒體從業人員等，而且這些個資已經在網站Doxagram上公開販售。Instagram技術長Mike Krieger表示，目前Instagram已經跟執法機關合作來修補臭蟲問題，但是確切受影響用戶數量仍無法證實。更多新聞

GitLab出現連線劫持漏洞，網址列顯示連線令牌易遭攻擊者入侵

資安業者Imperva最近揭露Git專案倉庫GitLab含連線劫持（Session Hijacking）漏洞，允許駭客劫持使用者連線時使用的令牌。研究人員Daniel Svartman表示，他利用GitLab進行滲透測試時發現該漏洞。他起初在連結GitLab服務時，直接在網址列上看到自己的令牌。他認為，有心人士只要複製並貼上該令牌，透過不同的機器或瀏覽器來登入該帳號，就可以使用各種服務。此外，Svartman也指出，駭客可利用中間人攻擊、暴力破解和資料隱碼攻擊等方式攻擊漏洞，來竊取暴露在外的令牌，而且令牌只有20個字元，更容易被破解。Svartman在今年5月已經通報GitLab。GitLab回應表示，先前官方已經收到很多人反映這項漏洞，最近已經展開部署來修補此漏洞。更多新聞

間諜木馬Turla藏遊戲程式碼躲避偵測，鎖定前蘇聯與東南歐國家大使館來竊資

知名間諜木馬Turla一直以來都鎖定政府組織、大使館、軍事機構、研究單位和藥廠等目標來攻擊，2014年卡巴斯基也揭露，Turla不僅攻擊Windows OS，也開始攻擊Linux OS。資安公司ESET在8月30日最新報告揭露Turla新動態指出，駭客集團Gazer是Turla背後開發團隊，從2016年至今，Gazer仍持續攻擊各國政府和外交部門，首先他們在第一階段會植入後門程式Skipper至攻擊目標，之後再利用已遭駭的合法網站作為C&C伺服器，接著把惡意軟體其中一部分程式碼插入有關電玩遊戲的程式碼，來防止受到偵測，最後再竊取內部資料，歐洲是影響最多的地方，特別針對前蘇聯與東南歐國家。更多資料

二手交易平臺CEX爆安全漏洞，200萬名使用者資料外洩

全球網路知名二手交易網站CEX在29日在官網發表聲明指出，攻擊者利用網站安全漏洞來入侵，竊取了至少200萬名用戶個資，包括姓名、地址、電子信箱、電話，以及部分用戶信用卡資料。官方表示，CEX在2009年後已經沒有要求用戶填寫信用卡資料，可能這些遭竊信用卡資料都已經無法使用，但仍建議用戶立即修改密碼。更多資料

維基解密揭露CIA新駭客工具Angelfire，專門竄改Windows開機磁區

維基解密（WikiLeaks）最近又發表了美國中情局（CIA）外洩機密檔案Vault 7中的Angelfire專案，這項專案內含5大元件，如Solartime、Wolfcreek、Keystone、BadMFS，以及Windows Transitory File system，攻擊對象鎖定安裝微軟Windows XP及Windows 7的電腦裝置。其中，Solartime可變更Windows的開機磁區，方便載入及執行Wolfcreek，再由Wolfcreek載入與執行其他的Angelfire元件。資安專家認為Angelfire專案不夠嚴謹，除了Keystone元件永遠只會偽裝成C:\Windows\system32\svchost.exe之外，安全產品會偵測出BadMFS檔案系統。更多新聞

資安公司踢爆Arris多款數據機內含安全漏洞，22萬臺裝置恐淪為殭屍裝置

資安業者Nomotion於31日踢爆，美國通訊設備製造商Arris生產的多款數據機隱含不同安全漏洞，駭客能夠利用漏洞來取得完整的裝置權限。Nomotion發現，型號名稱為NVG589與NVG599的兩款數據機有固定憑證漏洞，由於最近韌體更新開啟了SSH協定，允許駭客利用SSH來存取cshell客戶端，能夠趁機檢視或變更Wi-Fi的SSID與密碼，甚至修改網路設定或刷新的韌體，估計約有1.5萬臺裝置內含此漏洞。此外，部分採用49955傳輸埠以及內建網頁伺服器的Arris數據機也是採用固定憑證，其帳號為tech，密碼則只要留白就能進入，這些裝置也含命令注入漏洞，允許駭客於網頁伺服器上執行介殼命令，約22萬臺裝置受影響。更多新聞

駭客入侵拉美最大社交平臺Taringa資料庫，暗中竊取2,800萬用戶資料

在拉丁美洲盛行的社交新聞平臺Taringa近日在官網坦言，網站最近遭駭，駭客破壞了資料庫的安全機制，以及存取了超過2,800萬用戶的Taringa帳號資料，帳號資料包括電子郵件帳號與密碼。更多資料

整理⊙黃泓瑜