【資安日報】2021年12月14日

從上週五（12月10日）引起資安界高度關注的Apache Log4j重大漏洞「Log4Shell」（CVE-2021-44228），有越來越多資安業者和研究人員揭露他們的發現。其中，有數家資安業者指出，至少在12月9日漏洞揭露的1個星期前，就有攻擊者開始利用這項漏洞的跡象，後續效應可能還會再擴大。

而在這項漏洞之外，Dell驅動程式漏洞修補不全的情況，也值得留意，因為，攻擊者很可能會用來發動BYOVD（Bring Your Own Vulnerable Driver）攻擊，而難以被察覺。

近期關鍵基礎設施頻繁遭到攻擊，大家的焦點往往聚焦在能源產業、醫療產業，但貨物流通扮演重要角色的物流業者也值得我們留意，因為這些業者在疫情中營運更加嚴峻，一旦遭遇資安事故，情況恐怕會雪上加霜。跨國物流業者漢宏國際物流（Hellmann Worldwide Logistics）於上週（12月9日）驚傳遭到網路攻擊，而一度影響營運，這樣的情況也可能對於民眾的生活帶來衝擊。

【攻擊與威脅】

Apache Log4j重大漏洞已出現攻擊行動超過1週

甫於上週修補的Apache Log4j重大漏洞CVE-2021-44228，因已出現攻擊行動且影響範圍甚廣，引起資安界高度重視。但根據Cloudflare指出，這個漏洞並非在9日被揭露後才遭到利用，他們最早在12月1日就看到被用於攻擊行動的跡象。也有其他資安業者指出已被用來發動挖礦攻擊，或是植入木馬程式、Cobalt Strike的情形。

跨國物流業者漢宏遭到網路攻擊

根據新聞網站Air Cargo的報導，跨國物流業者漢宏國際物流（Hellmann Worldwide Logistics）於12月9日發出公告，表示他們遭到網路攻擊，為了防範災害擴大，他們暫時切斷與資料中心的所有連結，對於營運造成重大影響。12月13日，漢宏再度更新公告內容，指出他們已經恢復基本的營運業務，但仍然不能確定是否有資料外洩的情況。

加密貨幣交易所AscendEX遭駭，損失7,700萬美元

加密貨幣交易所AscendEX於12月12日公告，他們在12月11日發現，1個熱錢包出現未經授權的交易，該公司將未受影響的資產移轉到冷錢包因應。而這起事件的受害規模，區塊鏈資安業者PeckShield估計，AscentEX被盜走約7,700萬美元的加密貨幣，其中大多數為以太坊、幣安智能鏈，以及Polygon。

人資管理解決方案業者Kronos遭勒索軟體攻擊，雲端服務用戶受到波及

人資管理解決方案業者Kronos於12月13日表示，他們因12月11日遭遇勒索軟體攻擊，導致該公司透過私有雲建置的數種UKG解決方案無法使用，復原有可能需要數個星期。其中1個受影響的組織向資安新聞媒體Bleeping Computer透露，他們被迫改用試算表軟體和紙本，來因應人資系統停止運作的情況。

美國電信業者Cox證實，有人冒充客服竊取用戶資料

根據資安新聞網站Bleeping Computer的報導，美國電信業者Cox Communications自12月初，開始向用戶發出郵件，表示他們在10月11日，發現有不明人士冒充客服人員，並成功竊得少數客戶帳號的存取權限，該公司隨即展開調查並通報執行單位，結果發現，這些人士可能存取了用戶的姓名、地址、Cox帳號、PIN碼，以及帳號的安全問題與答案等資料。不過，對於受害的規模，Cox並未透露。

Palo Alto Networks高階產品經理Andrew Scott在近期的研究裡，在PyPI套件庫裡發現3個Python惡意套件dpp-client、dpp-client1234、aws-login0tool，總共被下載了近1.5萬次。其中，dpp-client就被下載了10,194次。而研究人員經由VirusTotal分析aws-login0tool，只有14防毒軟體能識別為有害。PyPI獲報後於12月10日下架這些惡意套件。

惡意程式Agent Tesla利用簡報檔案，攻擊韓國用戶

惡名昭彰的惡意程式Agent Tesla再度發起攻擊行動了！資安業者Fortinet指出，他們看到新的Agent Tesla攻擊行動，駭客寄送內容為韓文的釣魚郵件，以採購訂單的名義，要求收件人打開附件的PowerPoint簡報檔案，一旦收件人開啟此簡報檔案，攻擊者就會以自動播放來執行巨集，並進而使用VBScript、PowerShell程式碼下載Agent Tesla。新的Agent Tesla變種約能竊取70種應用程式的帳密，涵蓋網頁瀏覽器、VPN用戶端、FTP用戶端、收信軟體、即時通訊軟體等類型。

金融木馬TinyNuke鎖定法國企業而來

資安業者Proofpoint指出，曾在2017年至2018年大肆攻擊法國實體的金融木馬TinyNuke，今年1月與11月，又有再度發動大規模攻擊的跡象，這些活動完全針對法國企業而來，以發票為誘餌，攻擊製造業、工業、科技業、金融業等。研究人員在11月看到多個TinyNuke攻擊行動，大約發送2,500封釣魚信，影響數百個組織。

惡意程式載入器Hancitor藉由Windows剪貼簿來投放酬載

資安業者McAfee自2021年9月開始，觀察到新型態的惡意軟體投放手法，駭客使用名為Hancitor的惡意程式載入器，藉由VBA程式碼，以Selection.Copy方法使用Windows內建的剪貼簿功能，來投放惡意酬載，如FickerStealer、Pony、CobaltStrike、勒索軟體Cuba等。

【漏洞與修補】

Dell驅動程式修補不完全，恐被用於Windows核心層級的攻擊

Dell於今年5月，修補DBUtil驅動程式存在長達9年的CVE-2021-21551，但最近資安業者Rapid7發現，該公司並未修補完全，僅是限縮管理者帳號的存取。研究人員指出，這樣的情況可讓攻擊者投放存在已知漏洞的驅動程式，在行動的過程裡提升權限，或是執行特定的程式碼，發動被稱為BYOVD（Bring Your Own Vulnerable Driver）的攻擊手法。

Google緊急修補Chrome已被利用的漏洞

針對Chrome的零時差漏洞攻擊，今年已有十多起。Google於12月13日，對於Windows、macOS、Linux使用者，推出Chrome 96.0.4664.110，這次總共修補5個漏洞，其中最受到關注的是CVE-2021-4102，這是記憶體使用後釋放（UAF）漏洞，存在於該瀏覽器的JavaScript引擎V8。該公司指出，這個漏洞已出現相關攻擊行動，呼籲使用者要儘速更新瀏覽器。

Ubuntu的帳號服務元件存在漏洞，恐讓攻擊者能取得Root權限

GitHub資安研究員Kevin Backhouse於12月13日提出警告，Ubuntu作業系統裡的桌面環境GNOME，其中的AccountsService元件，存在記憶體雙重釋放的漏洞CVE-2021-3939，影響Ubuntu 21.10、21.04、20.04 LTS。一旦攻擊者利用這項漏洞，就能在本機端提升權限，他也提出概念性驗證攻擊影片，並指出此漏洞並非每次都能馬上觸發，但攻擊者可慢慢測試數個小時直到成功為止。

【資安防禦措施】

Visual Studio Code加入能突顯不可見Unicode字元的機制，防範程式碼欺騙攻擊

針對日益嚴重的Unicode字元濫用的攻擊行為，程式開發工具的業者也開始有所行動。例如，微軟在最近的Visual Studio Code（VS Code）1.63版更新中，加入了新功能Invisible Unicode highlighting，能突顯程式碼裡看不見的Unicode字元，而能夠提醒開發者疑似出現不尋常、易混淆的字元，有可能已經出現Unicode欺騙攻擊的現象。

【近期資安日報】

2021年12月13日

2021年12月10日

2021年12月9日