資安一周第75期：勒索軟體攻擊要贖金新招，恐嚇不付錢就把資料公開

1226-0101 一定要看的資安新聞

＃勒索軟體攻擊  ＃特定目標攻擊

Maze勒索軟體駭客公布佛州彭薩科拉市資料

隨著各界開始對勒索軟體提高警覺而備份資料，駭客便恐嚇要公布機密資料來脅迫受害者付贖金。例如，在2019年12月初，美國彭薩科拉市（Pensacola）遭到Maze勒索軟體的攻擊，造成電子郵件、電話、電腦、線上支付，以及其它網路服務中斷，駭客向該市要求100萬美元的贖金。

然而，駭客在12月底公布1千7百份文件資料，揚言若是市政府不打算支付贖金，就要公開所有資料。該市政府隨後宣布，提供當地市民1年身分保護服務。詳全文

圖片來源：彭薩科拉市政府

＃特定目標攻擊

美國廣播公司Entercom遭二度攻擊，被迫拿錄音節目墊檔

旗下擁有235個廣播電臺的Entercom於2019年12月22日，遭到駭客攻擊，使得該公司的網路與電子郵件系統無法運作，迫使部分電臺以預錄的節目來墊檔。

這是該公司近來第二次蒙受駭客攻擊，駭客才在2019年9月破壞該公司的資訊系統，並勒索50萬美元，Entercom並未對外公布是否支付了贖金，但在2019年第三季的財報中，提列這起事件造成40萬美元營收損失。所幸，第二次攻擊只花了不到兩天的時間，就恢復正常。詳全文

＃漏洞攻擊  ＃RCE漏洞

Ruckus無線路由器驚傳RCE漏洞

安全研究人員發現Ruckus無線路由器3項漏洞，可讓駭客遠端駭入甚至接管機器，最近於Chaos Communication研討會上公布細節。該公司獲報後已釋出升級版韌體，呼籲用戶儘速安裝。

這三項漏洞，出現在中小企業產品線Unleash設備中的網頁管理介面，屬於驗證前（Pre-Authentication）的遠端程式碼執行漏洞（RCE）。研究人員指出，最簡單的概念性驗證攻擊，只需動用一行程式碼。

Ruckus已於11月針對Unleash版的R510設備釋出新版韌體200.7.10.202.92，該廠商表示，SmartZone及Ruckus Cloud系列的R510，並不受上述漏洞影響。詳全文

＃漏洞攻擊  ＃資料外洩

透過推特臭蟲，研究人員找到1千7百萬組電話號碼的主人

為了能讓用戶更容易找到在使用推特的朋友，該公司在行動裝置版程式中，提供了通訊錄上傳功能，但有位研究人員Ibrahim Balic向媒體爆料，他利用Android版應用程式的漏洞，花了兩個月的時間，找到1千7百萬組電話號碼的用戶。

不過，此名研究人員並未向推特通報，而是直接向媒體揭露，推特表示相當不能認同這樣的做法。而該公司也在發現Ibrahim Balic的異常舉動之後，於2019年12月20日進行封鎖。詳全文

＃釣魚郵件攻擊  ＃國家級攻擊

微軟接管北韓駭客組織Thallium的網域

對於防範背後疑似為政府撐腰的駭客組織，微軟接連鎖定他們控管的網域下手，而有所進展。最近，微軟宣布破獲北韓駭客組織Thallium，並接管其控制的50個網域，也是繼中國、俄羅斯，以及伊朗行動以來，第4個成功案例。

Thallium是活動許久的北韓駭客組織，他們攻擊對象包括政府部門員工、智庫、大學職員、人權組織成員，以及精通核分裂技術的人員，活動範圍主要針對美國、日本，以及南韓。詳全文

圖片來源：微軟

＃資料外洩  ＃隱私疑慮

平價物聯網裝置製造商Wyze外洩240萬用戶個資

又是因為Elasticsearch伺服器的配置不當造成資料外流！主打平價智慧家庭裝置的Wyze坦承，因人為操作不當，導致他們有一臺Elasticsearch伺服器存取權限大開。發現此事的資安業者Twelve Security指出，這個伺服器不僅曝露了240萬名用戶資料，還暗中將資料傳到阿里雲。

Wyze表示，事件發生的原因，是基於近期的專案所需，他們將資料轉移到新的伺服器上，在2019年12月4日，有名員工不慎移除相關安全政策，導致這個資料庫曝光。該公司獲報後，也在26日鎖住該資料庫，並且強制所有用戶重新登入，同時對於旗下資料庫全面徹查，而找到另一個非正式上線的資料庫，也沒有採取相關保護措施。詳全文

＃國家級攻擊  ＃雙因素認證

雙因素驗證機制遭到中國駭客集團破解

資安業者Fox-IT揭露中國駭客集團APT20最近一波攻擊行動，命名為「我操行動」（Operation Wocao），指出這個專為中國政府行事的駭客集團，已在全球10個國家發動間諜攻擊，還破解了雙因素驗證（2FA）。

該業者表示，APT20鎖定的目標，包含政府機關、能源產業、醫療機構，以及高科技領域。其中最重要的發現，是ATP20為了入侵受害單位，竟破解存取VPN網路所需的雙因素驗證機制。

至於這個組織如何破解相關驗證機制？Fox-IT推測是盜走了RSA SecurID的Token所致，呼籲企業要採取零信任（Zero Trust）的做法加以防範。詳全文

＃國家級攻擊  ＃惡意軟體

北韓駭客Lazarus開發出瞄準Linux的木馬程式

安全廠商Netlab 360於2019年10月，發現可疑的可執行與可連接格式（ELF）檔案，經過特徵和行為分析發現，這是同時適用於Windows和Linux的RAT木馬程式，功能齊備且行為隱蔽，應該是北韓駭客組織Lazarus所為。事實上，這個ELF檔案在2019年5月就出現，26款防毒軟體也偵測出其攻擊行為，卻鮮為人知。該公司根據其檔案名稱及程式碼的字串，命名為Dacls。

研究人員指出，這個木馬程式是鎖定協作系統Atlassian Confluence裡，名為Widget Connector巨集所存在的遠端程式執行漏洞CVE-2019-3396。這個漏洞已在2019年3月底修補，但次月開始，被濫用於多起網路攻擊事件。

Dacls的出現，顯示這些北韓駭客不斷進化，能鎖定多種平臺發動攻擊，甚至推出能夠跨平臺的惡意軟體。詳全文

＃資安產業動態  ＃開發安全

GitLab紅隊釋出敏感資料搜索工具Token-Hunter

隨著開發安全受到重視，IT人員可能想要找出應用程式已經洩露了那些敏感資訊，以及被以何種方式用於攻擊行動，卻苦無現成工具可用。最近，GitLab的資安團隊打造了Token-Hunter，並且宣布開放給一般開發者使用。

在應用程式開發的過程中，IT人員可能會在討論區分享配置文件或是事件記錄，而無意洩漏API Token、帳號，以及密碼等敏感資料，若能善用Token-Hunter這項工具，我們便能搜尋GitLab Snippets、GitLab Issues等討論區的內容，來找出上述的機敏資料。此外，由於GitLab Sinppets支援以網址分享前述文件，所以，連帶地Token-Hunter也能針對這種內容進行檢查。詳全文

圖片來源：GitLab

更多資安動態

●知名網路測速服務Speedtest提供行動裝置VPN服務
●滲透測試工具BlackArch Linux新年版納入120項新工具
●俄國測試切斷與全球網路連線，宣稱能保障境內網路完整
●美國國防部警告軍人勿使用市售DNA檢測套件