【資安日報】2022年2月10日，SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器代客散布多種惡意軟體

在本月的軟體業者例行修補公告中，大多數焦點聚集在微軟的Patch Tuesday上，但美國網路安全和基礎設施安全局（CISA）特別呼籲企業，要留意本次SAP修補的漏洞CVE-2022-22536，因為這項漏洞不僅攻擊者極為容易利用，亦存在於SAP旗下的WebDispatcher、Content Server、ABAP、NetWeaver等產品，而使得大部分SAP客戶都可能受到影響。

又是WordPress網站外掛程式出現重大漏洞，這次是讓網站管理員能使用PHP程式碼的PHP Everywhere，全球可能有超過3萬網站會受到波及。

駭客在發動惡意軟體攻擊也採取分工策略，惡意軟體經營者將相關工具委由專門投放惡意軟體的服務，來感染目標電腦。最近有資安業者揭露名為PrivateLoader的惡意軟體載入器攻擊行動，駭客藉此代客散布Smokeloader、Redline、Vidar等惡意軟體，且找上門的惡意軟體經營者，也有越來越多的現象。

【攻擊與威脅】

以受害電腦數量收費的惡意軟體散布服務業者，透過PrivateLoader發動攻擊

攻擊者透過惡意程式載入器投放作案工具，過往多是駭客組織在作案過程中的其中一環，但如今駭客也出現分工的做法，惡意軟體經營者提供惡意酬載、攻擊目標的資訊，委由惡意軟體散布服務出面下手，再以感染電腦臺數的情況付錢，提供這類服務的業者被稱為Pay-per-install（PPI），而這些PPI業者便使用上述的惡意軟體載入器，來受理各式惡意軟體投放的委託服務。

例如，威脅情報業者Intel 471近期針對名為PrivateLoader的惡意軟體下載器進行分析，該軟體至少自2021年5月出現於攻擊行動，PPI業者用來在受害電腦植入Smokeloader、Redline、Vidar等惡意軟體，以便為客戶進行偵察或是竊密，其中，藉此散布次數最多的是Smokeloader。研究人員指出，這些業者透過盜版軟體為誘餌，吸引受害人下載PrivateLoader，進而在對方的電腦上部署各式惡意軟體。

在這種攻擊行動裡，PPI業者亦透過PrivateLoader，來收集受委託的惡意軟體散布情形，包含成功下載與觸發的數量等資訊。研究人員指出，他們自2021年11月，看到駭客意圖透過此項PPI服務來散布更多木馬程式，希望藉由公布PrivateLoader的攻擊行動細節，讓組織能夠防範相關的攻擊手法。

北韓駭客Kimsuky利用xRAT後門程式攻擊南韓組織

隨著國際政治局勢日益緊張，APT駭客組織透過RAT木馬程式發動攻擊的現象，近期接連有事故傳出。例如，資安業者AhnLab指出，他們看到北韓駭客Kimsuky（亦稱TA406）於1月24日開始，使用開源的木馬程式xRAT（Quasar RAT）鎖定南韓組織發動攻擊。駭客先停用AhnLab防毒軟體的即時監控功能，然後植入惡意程式Gold Dragon在受害電腦站穩腳跟，接著透過PowerShell來執行xRAT，進行遠端控制並竊取機密。AhnLab呼籲用戶，不要開啟來路不明的郵件附件，來防範該駭客組織的相關攻擊。

北韓駭客Kimsuky疑似鎖定國際原子能源總署下手

北韓駭客近日動作頻頻，疑似意圖藉此竊取軍事機密與資金。日經新聞宣稱取得聯合國的調查報告草稿，指出北韓駭客Kimsuky近期針對國際原子能源總署（IAEA）、南韓主要的國防承包商韓國航空宇宙產業株式會社，以及南韓核能研究所發動網路攻擊，並提及這些駭客從2020年至2021年，在北美、歐洲、亞洲至少3個加密貨幣交易所裡，竊得逾5千萬美元的加密貨幣，這些資金疑似被用於發展核武。這份報告預計於聯合國安全理事會修訂後於3月正式公開，很有可能成為日後對於北韓裁罰的依據。

電信業者Vodafone葡萄牙子公司遭到網路攻擊，4G、5G服務中斷

電信業者Vodafone葡萄牙子公司於2月8日發出公告，指出他們因遭到網路攻擊，從2月7日開始多項服務被迫中斷，包含4G和5G的網路、手機簡訊、電視服務等，僅有3G網路仍能夠運作。該公司亦強調，客戶的資料沒有出現異常存取的跡象。雖然Vodafone沒有透露相關攻擊細節，但資安新聞網站Bleeping Computer取得資安研究人員的說法指出，該公司應該是遭到勒索軟體攻擊。

因人資系統業者遭勒索軟體攻擊，運動用品業者Puma近半數員工資料外洩

提供人力資源應用系統的業者Kronos於2021年12月遭駭，如今又有大型企業因此資料外洩。資安新聞網站Bleeping Computer根據Kronos呈交給美國政府的資料指出，Kronos在2022年1月7日，確認運動用品業者Puma的員工資料遭竊，並於1月10日通知Puma，駭客疑似掌握6,632人的資料，接近該公司全部員工（約1.4萬人）半數。受到本次事故影響的Puma員工，將得到2年身分竊盜保險與信用監控的服務。

逾500個採用舊版Magento軟體的網路商城遭鎖定，被側錄交易資料

舊版網路購物平臺Magento（1.x版）已經終止支援超過一年半，但仍有一些電子商務網站使用而成為駭客的目標。網站安全業者Sansec近期發現，有超過500個採用舊版Magento軟體的電商網站，遭到大規模的MageCart交易資料側錄攻擊，駭客從特定網域載入側錄器（Skimmer），研究人員進一步調查得知，駭客結合了SQL注入與PHP物件注入攻擊手法，進而掌控這些電子商城。Sansec建議這些使用舊版Magento軟體的業者，應考慮採用如Mage-One軟體業者，或開源專案OpenMage提供的第三方修補程式，來維持電商網站的安全。

駭客以提供Windows 11升級為誘餌，散布竊密軟體RedLine

微軟在今年1月26日宣布，將對於軟硬體條件符合條件的電腦，提供Windows 11，但在隔天就有駭客，假借提供升級此作業系統的工具名義，散布惡意軟體。IT業者HP的資安研究團隊發現，在1月27日出現假的Windows 11升級網站，以提供升級助手（Windows11InstallationAssistant.zip）的名義，引誘想要安裝這套作業系統的使用者下載。但實際上，使用者若是執行此ZIP檔案內含的可執行檔，將會在電腦上安裝竊密軟體RedLine。研究人員指出，駭客使用多種回避偵測的手法而不被資安防護系統發現，例如，上述可執行檔高達751MB，而超出許多沙箱、惡意軟體分析工具的處理範圍。

【漏洞與修補】

SAP產品的核心元件驚傳重大漏洞，美國呼籲用戶儘速修補

存在於SAP產品的主要元件出現嚴重漏洞，可能影響許多企業。資安業者Onapsis發現一組名為Internet Communication Manager Advanced Desync（ICMAD）的漏洞，這些漏洞存在於SAP NetWeaver應用程式伺服器的ICM元件，一旦ICMAD漏洞遭到利用，攻擊者能竊取帳密、導致阻斷應用程式服務，或是執行任意程式碼，最終可能會破壞尚未修補的SAP應用程式。

其中最為嚴重的漏洞為CVE-2022-22536，CVSS風險層級達到滿分10分，研究人員強調，攻擊者利用此漏洞不需身分驗證，亦無須其他條件配合，就能透過HTTP或HTTPS通訊協定，傳送惡意酬載。

由於ICM的主要功能是將SAP應用程式連接至網路，是SAP NetWeaver應用程式伺服器重要的元件，且存在於大多數SAP產品，因此大部分的SAP客戶都可能會受到影響。SAP與研究人員合作，並於2月8日發布相關修補程式，並指出相關漏洞亦影響WebDispatcher、Content Server、ABAP等產品。

對此，美國網路安全和基礎設施安全局（CISA）也提出警告，SAP用戶若是沒有修補上述漏洞，很可能會面臨關鍵業務中斷，或是被迫停止營運的風險。

WordPress的PHP外掛程式驚傳RCE漏洞

又是網站內容管理平臺WordPress的外掛程式出現漏洞，而可能影響數萬個網站的情況。資安業者Wordfence揭露外掛程式PHP Everywhere的3個重大漏洞：CVE-2022-24663、CVE-2022-24664、CVE-2022-24665，這些漏洞的CVSS風險層級都達到了9.9分，一旦攻擊者取得撰文者或是訂閱者的權限，就有可能利用上述漏洞來執行惡意PHP程式碼，甚至接管整個網站，影響2.0.3版以前的PHP Everywhere。此外掛程式的主要功能，是讓網站管理者能夠在網頁、貼文等區塊中，使用PHP程式碼，全球約有3萬個WordPress網站採用。開發者獲報後於1月10日發布3.0.0版修補上述漏洞，研究人員呼籲用戶應儘速安裝更新。

【資安產業動態】

微軟傳出有意買下資安業者Mandiant

彭博社於2月8日引述消息人士的說法指出，微軟考慮買下網路安全業者Mandiant，可能是受到這項傳聞的影響，當日Mandiant股價上漲17.86%，以17.75美元作收，微軟收盤亦漲1.2%，以304.56美元作收。該報導指出，微軟若是成功併購Mandiant，將有助於擴大該公司的資安防護產品版圖。微軟與Mandiant皆拒絕對於此事回應。