【資安日報】2022年2月11日，殭屍網路FritzFrog鎖定醫療、教育、政府單位下手；美國政府解析勒索軟體2021年攻擊態勢

研究人員追蹤一種新型態的殭屍網路FritzFrog，並發現最近一個月出現大量的攻擊行動，受感染的伺服器爆增。這個殭屍網路引起研究人員高度關注的原因，在於駭客使用了相當特殊的手法來建置相關設施，而可能比其他殭屍網路更難察覺其攻擊行為。

此外，美國、英國、澳洲政府聯合針對關鍵基礎設施提出警告，他們分析了2021年勒索軟體的威脅態勢，並提供關鍵基礎設施相關防範的方法。

【攻擊與威脅】

殭屍網路FritzFrog鎖定醫療、教育、政府單位，受害伺服器一個月內爆增10倍

自2020年8月被發現的殭屍網路FritzFrog，近期遭到感染的電腦大幅增加，而引起研究人員的注意。資安業者Akamai指出，他們最近在1個月內，發現遭到FriztFrog感染的受電電腦數量增長10倍，當中包含了許多醫療單位、教育機構、政府部門的伺服器，目前已有1,500臺伺服器受害，37％位於中國，這些受害伺服器多半被用於挖掘門羅幣。

研究人員認為，FritzFrog具備其他殭屍網路所沒有的特點，像是使用專屬的P2P通訊協定串連，利用廣泛的字典進行暴力破解攻擊，且在每個節點控制的受害伺服器保持相等數量，使該殭屍網路運作效率提升，值得留意其後續發展。

疑似為防堵駭客濫用，微軟將從Windows 10移除WMI命令列工具

為了防範作業系統內建功能遭到駭客濫用的情況，微軟不久前封鎖自網頁瀏覽器安裝Windows 10市集App的管道，如今打算再度針對WMI的命令列工具（WMIC）下手，宣布終止開發相關功能。根據資安新聞網站Bleeping Computer的報導，微軟最近針對Windows 10，公布新的一批不再開發，或是即將捨棄的功能，當中最值得留意的是許多程式開發者使用的WMIC即將遭到移除，微軟亦宣布將由PowerShell的相關功能取代WMIC。

該新聞網站認為，微軟打算移除WMIC的原因，疑似與許多駭客在攻擊行動裡，將其用於寄生攻擊（LoLBins）有關。資安研究員Grzegorz Tworek發現，微軟已經從測試版本Windows 11移除WMIC，日後應該會逐步移除正式版本Windows 10、11上的相關元件。

中國全運會曾遭到駭客植入後門程式

中國全運會於2021年9月15日在陝西省舉行，主辦單位表明於大會舉辦之前就遭到網路攻擊，所幸在賽事舉辦之前就已經清除相關惡意程式，而最近有資安業者揭露相關分析，透露有關細節。防毒業者Avast根據他們蒐集到的惡意程式樣本指出，攻擊者疑似透過網站伺服器漏洞來入侵，並在中國全運會網站上測試不同的Web Shell，或是上傳惡意組態檔案。研究人員指出，攻擊者精通中文，很可能以這種語言為母語。

加密貨幣平臺Wormhole遭駭，損失價值3.2億美元的以太幣

以提供多種去中心化金融（DeFi）網路橋接的Wormhole平臺，於2月3日公布他們遭到駭客入侵，12萬個包裝過的以太幣（wETH）遭竊，損失約3.2億美元，新聞網站Verge指出，駭客可以是透過該公司的GitHub儲存庫，利用已公開但尚未修補的漏洞下手。Wormhole於2月2日察覺合約遭到異常存取，隨即於6小時後修補相關漏洞，並於3日回補損失，其加密貨幣平臺亦於同日重新上線。

耗時5年，針對加密貨幣交易平臺Bitfinex遭駭事故，美國逮捕負責洗錢的嫌犯並扣押近10萬個比特幣

香港加密貨幣交易平臺Bitfinex在2016年遭到駭客入侵，駭客盜走近12萬個比特幣，轟動一時。美國司法部（DOJ）於2月8日宣布，他們經歷5年的追查，近期於曼哈頓逮捕2名涉嫌洗錢的嫌犯Ilya Lichtenstein與Heather Morgan，並查扣9.4萬個比特幣，價值65億美元。美國司法部與聯邦調查局（FBI）認為，此次逮捕行動背後的意義，就是在區塊鏈與加密貨幣的世界裡，網路罪犯未必能夠永遠匿名並逃避查緝。

【漏洞與修補】

蘋果修補WebKit零時差漏洞，波及iOS裝置與Mac電腦

蘋果於2月10日，修補Safari瀏覽器的零時差漏洞CVE-2022-22620，此漏洞存在於網頁排版引擎WebKit，與記憶體使用後釋放（Use After Free）有關，一旦遭到利用，攻擊者可執行任意程式碼。這項漏洞影響iPhone 6s、第5代iPad之後的iOS裝置，以及執行macOS Monterey的電腦，且疑似已有相關攻擊行動。蘋果發布iOS 15.3.1、iPadOS 15.3.1、macOS Monterey 12.2.1予以修補。而這已是蘋果產品在2022年出現的第3個零時差漏洞。

以色列網路攻擊公司QuaDream也利用零點擊攻擊程式，針對iPhone下手

加拿大公民實驗室（Citizen Lab）於2021年9月揭露，以色列網路攻擊業者NSO Group鎖定iOS的零時差漏洞CVE-2021-30860，打造Forcedentry零點擊攻擊程式，在無須受害者互動的情況下挾持iPhone，然而，提供這類攻擊工具的業者不只有NSO Group！路透社近日取得多名消息人士的說法指出，還有另外一家以色列網路攻擊公司QuaDream也利用相同的漏洞，提供另一款類似的Forcedentry零點擊攻擊程式，他們利用的iOS漏洞也有不少與NSO Group相同。

【資安防禦措施】

針對網頁側錄攻擊，美國零售業者Target公開自行開發的檢測工具

網頁交易資料側錄（Web Skimming）攻擊的事故頻傳，有大型零售業者為求自保，自行開發相關的檢測工具，來檢查電商網站是否存在側錄程式碼，如今他們決定公開造福其他業者。美國大型零售業者Target於2月1日，以開放原始碼的方式，於GitHub提供名為Merry Maker的側錄攻擊檢測工具，該工具會模擬存取電商網站的用戶，瀏覽網頁、執行交易和購買，同時蒐集網路呼叫、JavaScript程式碼等各式資訊，以分析網站是否出現相關的可疑活動。

美、英、澳解析2021年勒索軟體針對關鍵基礎設施的攻擊態勢

勒索軟體鎖定關鍵基礎設施（CI）下手的情況，最近幾個月不時有事故傳出。美國聯邦調查局（FBI）、美國網路安全暨基礎設施安全局（CISA）、英國國家安全局（NSA）、英國國家網路安全中心（NCSC）、澳洲網路安全中心（ACSC）於2月9日聯合提出警告，根據2021年的勒索軟體攻擊態勢，他們認為鎖定全球關鍵基礎設施的勒索軟體攻擊，手法將會變得更加複雜，影響程度也會更加嚴重，他們也提供相關業者加強防範的建議措施。

在這份勒索軟體攻擊的分析中，特別提及駭客對於攻擊目標規模轉移的現象，原因是自油品運輸業者Colonial Pipeline、大型肉品業者JBS、IT管理解決方案業者Kaseya遭到勒索軟體後，美國政府盯上這些發動攻擊的駭客組織進行圍剿，而使得有些駭客為了避免被美國政府追殺，改以針對中型組織下手。這樣的情況與近年來駭客為了將攻擊的利益最大化，偏好針對大型組織的策略有所不同。不過，針對英國、澳洲組織的駭客，則是廣泛攻擊不同大小規模的組織。

波蘭網路防衛軍正式成立

波蘭於2018年底加入歐盟的共同安全政策及網路國防計畫，並在2019年初，規畫成立網路防衛軍（Cyber Defense Force），如今該國正式宣布設立此網路作戰單位，此部門將從事防禦外國駭客攻擊、網路作戰情蒐等任務。但該國執政黨甫於今年1月，傳出使用間諜軟體Pegasus監控政敵的情況，這個網路作戰單位是否會被當作政治鬥爭的工具？顯然有待觀察。