【資安日報】2022年2月16日，駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

駭客利用惡意軟體Squirrelwaffle，並鎖定Exchange漏洞ProxyLogon、ProxyShell發動BEC攻擊的情況，曾於2021年下半出現，但最近再傳出相關事故，使得研究人員提出警告，IT人員不光是要儘速修補Exchange伺服器相關漏洞，還要檢查是否已被入侵的跡象。

近期非同質化代幣（NFT）引起各界關注，也成為駭客用來發動攻擊的誘餌，值得留意的是，攻擊者的試算表檔案裡，疑似含有與投資NFT標的有關的資料，而很容易讓受害者掉以輕心。

攻擊者利用惡意軟體MyloBot，竟是為了在受害電腦站穩腳根，然後傳送勒索訊息！研究人員指出，駭客日後很有可能會利用MyloBot，在受害電腦投放其他惡意軟體。

【攻擊與威脅】

駭客利用惡意軟體Squirrelwaffle與Exchange重大漏洞，進行金融詐欺攻擊

又是駭客意圖利用Exchange重大漏洞，以及惡意軟體Squirrelwaffle來發動商業電子郵件詐騙（BEC）的攻擊事故。資安業者Sophos揭露一起BEC攻擊事故，駭客鎖定尚未修補ProxyLogon、ProxyShell漏洞的Exchange伺服器，並大量散布Squirrelwaffle，駭客在員工既有的電子郵件串裡，植入惡意的回覆內容（Email Thread Hijacking），來進行BEC攻擊，導致受害組織轉帳給駭客，所幸其中一家金融機構察覺異狀進行攔截，使得駭客沒有得逞。

研究人員指出，組織的IT人員不只要為Exchange伺服器安裝相關修補程式，還要檢查是否遭到植入Web Shell，才能避免成為這種攻擊手法的受害者。

駭客以NFT為誘餌，散布木馬程式BitRAT

非同質化代幣（NFT）當紅，多項創作以高價賣出，引起許多人的目光，不少企業搶進這塊市場，但在此同時，駭客也透過這樣的話題做為誘餌，散布木馬程式。資安業者Fortinet發現相當特別的Excel檔案「NFT_Items.xlsm」，內含2個試算表，其中1個使用希伯來語。該檔案列出近20項NFT標的，以及單價、存貨數量、投資Discord聊天室的連結等資訊，疑似針對以色列NFT投資人而來。一旦受害者開啟這個檔案，並依照指示啟用巨集後，電腦就會被植入BitRAT木馬程式。

該木馬程式可從受害電腦的應用程式竊取帳密、挖掘門羅幣、側錄用戶鍵盤輸入的內容，甚至能讓駭客使用麥克風聽到用戶的聲音。研究人員警告，這種以NFT為愰子的攻擊手法，近期很有可能會不斷出現。

惡意軟體MyloBot捲土重來，採用極為迂迴的方法規避偵測

駭客散布惡意軟體，目的有可能是為了發送勒索訊息來牟利。資安業者Minerva針對自2018年出現惡意軟體MyloBot進行研究，並指出使用此惡意軟體的駭客近期調整做法，宣稱受害者因瀏覽色情網站電腦遭到監控，索討2,732美元（新臺幣76,919元）的比特幣做為封口費，否則就要將相關資料發送給對方的親朋好友。

研究人員指出，MyloBot具備多種規避偵測的機制，如檢測是否在虛擬機器（VM）或沙箱的環境，並使用處理程序空心化（Process Hollowing）的處理程序注入手法，於受害電腦上運作，而難以被防毒軟體發現，日後很有可能會被用來當作後門，傳遞各式惡意軟體。

勒索軟體Black Cat攻擊機場地勤服務業者Swissport，聲稱竊得1.6 TB資料

又有企業成為勒索軟體Black Cat（亦稱Alphv）的受害者。機場地勤服務業者Swissport於2月4日表示，他們的IT基礎設施遭到勒索軟體攻擊，災情已得到控制，該公司正逐步系統運作。但攻擊者的身分為何？根據資安新聞網站Bleeping Computer的報導，勒索軟體駭客Black Cat將Swissport列入受害者名單，並打算求售竊得的1.6 TB資料。這些資料包含了護照、內部資料，以及應徵者的個資等。

由於Swissport在全球擁有6.6萬名員工，每年處理2.8億人次的旅客和480萬公噸的行李，這起攻擊事件很可能會對全球的旅遊業帶來衝擊。

駭客組織TA2541鎖定交通與國防產業下手，散布木馬程式

APT駭客鎖定特定產業，且數年採用類似的誘餌發動攻擊，持續散布RAT木馬程式。資安業者Proofpoint指出，他們自2017年開始追蹤駭客組織TA2541的攻擊行動，該組織長年鎖定航空、運輸、國防等產業，多半使用與運輸相關的事由，如貨物交付事宜、航班、包機等名義，發動釣魚郵件攻擊，進而在受害電腦植入AsyncRAT、NetWire、WSH RAT等十餘木馬程式。

這個組織初期透過含有惡意巨集的Office文件，挾帶木馬程式，但近期則是透過存放於Google Drive、OneDrive的Visual Basic程式碼（VBS），於文字檔案共站平臺（如Pastetext、GitHub）下載木馬程式到受害電腦。自2021年底開始，駭客開始採用即時通訊軟體Discord做為散布木馬的媒介。研究人員表示，該組織持續使用相似的手法（TTP）發動攻擊，但目的為何？目前仍不明朗。

烏克蘭國防部與2家國營銀行，驚傳遭到DDoS攻擊

烏克蘭與俄羅斯的軍事情勢緊張，繼1月中旬發生烏克蘭數十個政府機關遭到攻擊之後，最近又有事故傳出。烏克蘭國防部指出，自2月15日下午開始，當地多個組織的網站遭到DDoS攻擊而服務中斷，這些機關包含了國防部、武裝部隊，兩家國營銀行Privatbank及儲蓄銀行Oschadbank。此外，Privatbank的客戶一度出現無法存取網路銀行，或是存款金額、交易記錄錯誤的情況。至於攻擊者的身分，則有待進一步調查。

臺灣隱形眼鏡製造商晶碩製程機密遭前員工竊取，險外流中國

中國隱形眼鏡業者宣布轉型，將自行裝造相關產品，並宣稱核心團隊來自臺灣代工業者晶碩光學，背後疑似是晶碩員工意圖帶槍投靠，竊取公司的機密。

桃園地檢署、臺北市調查處於2月7日宣布，破獲一起員工竊取營業秘密的案件，隱形眼鏡大廠晶碩光學公司前主管前生產處長黃振瑞涉嫌於離職後，以陸資成立金目科技公司，挖角前東家3名工程師，並竊取晶碩的隱形眼鏡模具相關技術，欲製作模具於2021年12月，輸往中國成立「紅包供應鏈」，供金目公司之幕後金主──上海目荻公司及廈門愛睿思公司使用，所幸檢方即時攔截未果。

全案依違反《營業秘密法》等罪，將黃男和同夥等4人提起公訴。