【資安日報】2022年2月23日，華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

又是勒索軟體DeadBolt攻擊NAS的行動！該勒索軟體日前曾數次針對威聯通（QNAP）的設備下手，但這次傳出災情的是華芸科技（Asustor）的NAS設備。與之前針對威聯通NAS的事故相同，駭客同時對用戶和NAS廠商進行勒索，同樣是透過給用戶的勒索訊息內容，希望透過受害者向廠商施壓，而換取對方付錢。

微軟的資料庫軟體SQL Server近期也成為駭客用來挖礦的對象。資安業者揭露一起攻擊行動，但引起他們注意的是，駭客為了控制這些SQL Server，竟藉由相當隱密的方式來執行滲透測試工具Cobalt Strike。

【攻擊與威脅】

華芸NAS設備遭DeadBolt勒索軟體攻擊

勒索軟體攻擊NAS設備的情況，過往不少事故是針對威聯通（QNAP）與群暉（Synology）的設備而來，但最近也有其他廠牌的NAS遇害。華碩集團旗下的華芸科技（Asustor），有用戶自2月21日陸續於該公司的討論區表示，他們的NAS設備遭到勒索軟體DeadBolt攻擊，駭客索討0.03個比特幣來解鎖檔案。

華芸也於22日下午發出公告證實此事，並關閉動態網域名稱服務（DDNS）著手調查事故發生的原因。根據新聞網站The Verge的報導，攻擊者很可能是透過Plex多媒體串流伺服器元件入侵。

對此，我們也聯繫華芸，該公司表示，他們將會發布NAS作業系統ADM的更新版本，來協助客戶因應此勒索軟體的攻擊。

駭客利用Cobalt Strike攻擊微軟SQL Server，植入後門程式並進行挖礦

利用滲透測試工具Cobalt Strike的攻擊行動可說是相當常見，最近有駭客用於攻擊資料庫。資安業者AhnLab揭露鎖定微軟SQL Server的攻擊行動，駭客透過網路掃描的方式，找出可透過TCP的1433埠存取的伺服器，再針對這些設備進行攻擊。駭客之所以得逞，主要是透過對sa管理員帳號執行暴力破解，來嘗試存取SQL Server，為了進行控制，他們會經由PowerShell下載Cobalt Strike，並注入MSBuild處理程序執行。此外，駭客還會投放挖礦軟體Lemon Duck、KingMiner，以及Vollgar來牟利。

網路釣魚攻擊駭客利用遠端桌面連線軟體，並搭配瀏覽器Kiosk模式，來繞過雙因素驗證挾持受害者帳號

有不少網路釣魚攻擊是針對大型雲端服務而來，業者往往會呼籲用戶啟用雙因素驗證（2FA），但研究人員發現能夠突破的攻擊手法並提出警告。資安研究人員Mr.d0x揭露利用名為noVNC的遠端桌面軟體手法，攻擊者可透過網頁瀏覽器的Kiosk模式來執行VNC連線，進而遠端登入對方的電腦。

研究人員指出，這樣的手法攻擊者能進一步濫用的方式很多種，例如，截取用戶瀏覽器的連線Token，或是於背景側錄受害者輸入的內容等，進而讓駭客突破雙因素驗證防護機制。

遠端桌面連線軟體種類繁多，這種攻擊手法不只能透過noVNC發動，也同樣適用於其他能透過瀏覽器執行的遠端桌面連線服務，例如，TeamViewer、Apache Guacamole，或是Chrome瀏覽器的遠端連線功能。

研究人員揭露鎖定區塊鏈的網釣攻擊手法Ice Phishing

新一代的Web 3.0逐漸成形，但攻擊者也鎖定這樣的態勢，針對區塊鏈和去中心化金融（DeFi）等新興技術下手。例如，近期微軟針對名為Ice Phishing的網路釣魚手法提出警告，駭客會試圖引誘對方簽署智慧合約，一旦對方依照指示操作提供相關授權，駭客就可以動用受害者的加密貨幣，並竄改匯款的網址，進而耗盡數位錢包的存款。

而且，這樣的攻擊手法已在真實世界上演。例如，在2021年11月發生DeFi平臺Badger遭駭的事故，駭客就是利用此種網路釣魚手法出手，將惡意程式碼注入Badger智慧合約的基礎設施，讓Badger的客戶向駭客提供ERC-20授權，使得駭客能陸續於10個小時內，從近200個帳號轉走1.21億美元的加密貨幣。

勒索軟體Conti併吞殭屍網路TrickBot，並集中研發惡意軟體BazarBackdoor成攻擊主要工具

惡名昭彰的殭屍網路TrickBot，其背後的駭客組織成員疑似為了躲避追查，投身勒索軟體駭客集團。威脅情報業者Advanced Intelligence調查發現，雖然殭屍網路TrickBot仍在運作，但勒索軟體駭客組織Conti已挖角其主要成員，將TrickBot變成其附屬組織，並投資開發惡意軟體BazarBackdoor，而不再使用TrickBot惡意軟體，原因是多數的資安設備都能識別後者並攔截，駭客難以運用於攻擊行動。這樣的駭客組織合併，防守方將會面臨更為嚴峻的資安威脅。