【資安日報】2022年3月31日，Java框架Spring傳出危險程度直逼Log4Shell的漏洞、衛星通訊服務業者Viasat公布資安事故調查結果

又是Java生態系相關的軟體出現漏洞，而引起許多資安人員的關注。研究人員發現Java框架Spring Core存在極為嚴重的漏洞，並認為其嚴重程度很可能與去年12月公布的Log4Shell不相上下，而將這項尚未取得CVE編號的漏洞稱為SpringShell（或Spring4Shell）。

駭客組織Lapsus$甫於上週宣稱入侵微軟、Okta之後，本週又聲稱攻擊IT業者軟體開發承包商Globant，取得許多大型企業的軟體專案資料，Globant也證實他們遭到入侵。但即使已有成員傳出遭到逮捕，Lapsus$仍然不斷公布受害企業的資料。

烏克蘭戰爭開戰之後，美國衛星通訊服務業者Viasat隨即傳出遭駭的消息，影響歐洲許多衛星網路的用戶，後來也使得美國政府提出警告。而該公司在事發一個月後公布調查結果，指出駭客是透過VPN設備存取他們衛星網路的管理者網段而得逞。

【攻擊與威脅】

駭客組織Lapsus$入侵IT業者軟體開發承包商Globant，並得到證實

繼傳出部分成員遭到逮捕而曝露身分後，駭客組織Lapsus$再度外洩新的資料，而且是專門承接大型IT公司開發案的廠商。Lapsus$駭客於3月29日宣稱入侵了IT業者Globant，且公布該公司部分客戶的名稱，包括亞培（Abbott）、DHL、Facebook等都名列其中，駭客亦公布Globant的DevOps平臺相關資料，當中包含了Jira、Confluence、GitHub、Crucible等系統的管理員密碼。

Globant於3月30日發布聲明證實遭到入侵，並表示有少部分程式庫遭到未經授權存取，這些資料是極少數客戶的部分原始碼與專案文件，目前沒有證據該公司基礎架構的其他部分受到影響，也沒有客戶遭到波及的跡象。

蘋果、Meta傳出不慎將用戶資料交給假的執法單位

彭博社（Bloomberg）於3月31日引述多名消息人士的說法指出，駭客自2021年起，偽裝成執法人員，以「緊急資料請求」（EDR）的名義，向蘋果、Meta等多個IT業者索取用戶個資，然後加以濫用或是盜賣，駭客疑似先入侵數個國家的執法機關，從電子郵件系統翻出EDR文件範圍，並偽造官員的簽名，來向網路服務供應商（ISP）、電信業者、IT業者或社交平臺請求特定用戶的個資，接著駭客再用來進行社交攻擊或是暴力破解，進而得到受害者的帳密。

資安部落格Krebs on Security指出，最近1個月不斷公布IT業者資料的駭客Lapsus$，ID為WhiteDoxbin的主嫌先前曾參與另一個名為Recursion Team的網路犯罪集團，該集團專門出售執法機關的資料，而可能被用於上述的偽造EDR攻擊，該部落格認為，這很可能是Lapsus$入侵部分受害企業的管道。

烏克蘭戰爭開打即遭駭，美國衛星通訊服務業者Viasat公布調查結果

美國衛星通訊服務業者Viasat於2月24日遭駭，而導致Ka-Sat衛星網路服務受到影響，波及歐洲數個國家的用戶，此網路攻擊事故發生的時間點，正好就是俄羅斯正式向烏克蘭開始發動戰爭的當日，由於烏克蘭軍方也是該衛星網路的用戶，也使得外界猜測這次事故很可能與戰爭有關。

事隔一個月後，Viasat公布了初步的調查結果與處理進度。該公司指出，此起事故導致數千個烏克蘭用戶與數萬歐洲用戶受到影響，他們是原本是Euro Broadband Infrastructure Sàrl被併購前的用戶，並使用Tooway數據機。此次事故沒有波及政府機關與其他直接由Viasat管理的行動用戶，以及其他地區的使用者。根據該公司協同資安業者Mandiant與相關執行機關進行調查的結果，駭客可能是透過不當組態的VPN設備，入侵Ka-Sat網路的管理網段而得逞，進而關閉受害者的數據機，導致這些用戶無法重新連上網際網路。

Viasat認為，駭客的目的是中斷服務的運作，目前亦沒有證據顯示有用戶的資料遭到異常存取或是洩露，Ka-Sat網路與基礎設施也沒有遭到破壞，該公司將陸續對於尚未恢復服務的用戶，提供新的數據機設備使他們能夠重新連上網路。

駭客以提供進階身分驗證工具的名義，鎖定印度政府員工發動攻擊

政府機關遭駭客鎖定發動攻擊的情況時有所聞，但如今攻擊者有可能假借提供公部門軟體的名義下手，讓受害者難以察覺異狀。思科揭露由巴基斯坦駭客APT36（亦稱Transparent Tribe、Mythic Leopard）近期發動的網路間諜攻擊行動，這些駭客長期針對印度政府員工而來，但在最近的攻擊中，引起研究人員注意的是，駭客以散布該國政府開發的身分驗證應用程式Kavach Authentication做為幌子，對這些政府員工下手，一旦受害者執行安裝程式，會同時在電腦上部署前述的驗證工具與CrimsonRAT木馬程式，由於安裝了上述的身分驗證應用程式且能正常使用，受害者不易發現駭客的行徑。

而這個木馬程式所具備的功能，包含能從瀏覽器竊取各式帳密、列出電腦正在執行的處理程序等，而研究人員發現，在近期的版本裡，駭客還加入了側錄鍵盤、讀取及刪除檔案、執行任意命令等能力。

竊密軟體Mars Stealer透過Google搜尋廣告散布

利用Google搜尋廣告來散布惡意軟體的作法，近期又有新的攻擊行動出現。資安業者Morphisec揭露名為Mars Stealer的竊密軟體，該惡意程式約自2021年6月開始出現，並於多個地下論壇兜售，此竊密軟體具備截取各種瀏覽器與數款加密貨幣錢包用戶帳密的能力，駭客取得這項工具後，便透過垃圾郵件或是其他社交工程的方式散布。已有逾50個網域使用者的電腦遭感染此竊密程式，進而導致公司網域的密碼外洩，受害者的身分多半是學生、教職員，以及內容創作者，Morphisec亦發現加拿大醫療基礎設施供應商與企業遭駭。

值得留意的是，不少使用此竊密程式的駭客，疑似購買了Google搜尋引擎的廣告（Google Ads），並以提供常見應用程式（如開源文書處理軟體OpenOffice）的名義，來散布Mars Stealer，這也與許多受害者是因為上網搜尋應用程式，而導致電腦遭到此惡意軟體感染的情況互相呼應。

使用惡意軟體Purple Fox的駭客正在散布木馬程式FatalRAT

惡意軟體Purple Fox自2018年首度出現以來，如今已發展成為功能更為強大的惡意軟體載入器，駭客藉此進一步在受害電腦投放更多的攻擊工具。趨勢科技發現，駭客在1月使用假的Telegram安裝程式散布Purple Fox之後，這些駭客近期以更多的應用程式名義，如Chrome、Adobe Flash Player、WhatsApp等，引誘受害者下載安裝，一旦執行安裝之後，就會從C2中繼站下載第2階段的惡意軟體FatalRAT。

研究人員指出，駭客用來規避偵測的手法，包含了盜用合法的簽章簽署Purple Fox的Rootkit武器庫，以及濫用帶有簽章的驅動程式等，而能夠繞過防毒軟體的檢測。

惡意軟體載入器Verblecon被用於投放挖礦軟體

攻擊者用來投放挖礦軟體的工具，很有可能未來也被用於散布間諜軟體、勒索軟體，而引起研究人員的注意。賽門鐵克揭露他們從今年1月觀察到的惡意軟體Verblecon，駭客主要利用此惡意軟體在受害電腦植入挖礦工具牟利，且似乎打算竊取受害者的即時通訊軟體Discord帳密。研究人員指出，該惡意軟體透過加密和混淆機制，而使得其每次下載的酬載皆有所不同，進而成功逃避防毒軟體的偵測，除此之外，駭客亦加入了偵測是否在虛擬機器執行的能力。研究人員將取得的惡意軟體檔案上傳到惡意軟體分析網站VirusTotal，結果大部分的防毒引擎都視為無害。

對於這個惡意軟體採用相當複雜的規避偵測手法，攻擊者卻只是用於挖礦攻擊的現象，研究人員認為，很有可能只是使用它的駭客不甚了解此惡意軟體的能力，若是老練的網路罪犯取得，將能用來發動勒索軟體攻擊，或是從事網路間諜行動。

以程式語言Python開發的勒索軟體鎖定Jupyter Notebooks而來

駭客使用程式語言Python開發勒索軟體，並鎖定特定應用系統下手的現象，日前有人針對VMware虛擬化平臺發動攻擊，但近期有駭客針對自動化程式碼執行系統Jupyter Notebook而來。資安業者Aqua Security揭露近期發現的Python勒索軟體攻擊行動，駭客針對組態配置不當的Jupyter Notebook發動攻擊，下載攻擊所需的程式庫與工具，然後加密了所有檔案後再將自己刪除。研究人員指出，駭客沒有留下勒索訊息，研判該勒索軟體很可能還在開發階段，攻擊者的目的只是測試相關功能是否能發揮作用。

說好的不攻擊醫療院所破功了！美國俄克拉荷馬州診所遭到Suncrypt勒索軟體攻擊

美國的醫療機構陸續有攻擊事件傳出，而最近有針對當地原住民提供服務的醫院下手的事故，且疑似是宣稱不對醫療院所下手的駭客所為。資安新聞網站DataBreaches指出，美國俄克拉荷馬市印地安診所（OKCIC）於3月21日遭到網路攻擊，而導致部分電腦系統無法存取，該院隨即進行調查。

而針對其攻擊者的身分，勒索軟體Suncrypt聲稱是他們所為，並宣稱取得逾350 GB資料，內含病人的電子健康資料庫，以及該院財務資料等。由於勒索軟體Suncrypt曾於2020年9月宣稱不再攻擊醫療單位，此起攻擊的後續發展可能會引起資安人員的關注。

【漏洞與修補】

Java框架Spring驚傳RCE漏洞，危險程度恐直逼Log4Shell

又是與Java有關的嚴重軟體漏洞，而可能影響相當廣泛。臺灣資安業者TeamT5於3月30日發布資安通告，指出他們於29日得知Java框架Spring Core存在零時差漏洞SpringShell（亦有資安新聞網站稱為Spring4Shell），攻擊者很可能將其用於RCE攻擊，此漏洞存在於同時使用Spring框架與Java開發套件（JDK）9.0以上版本的開發環境，且當中運用了Spring衍生框架spring-beans-*.jar，或是含有CachedIntrospectionResults.class等元件。研究人員認為，這項漏洞的危險程度，很可能與去年12月公布的Log4Shell相當接近。

而對於SpirngShell的危險程度，另一家資安業者Flashpoint指出，此漏洞的CVSS第3版風險層級為9.8分，且根據資安新聞網站Bleeping Computer的報導，此漏洞已出現概念性驗證（PoC）攻擊程式，並被攻擊者者積極利用。由於Spring尚未提供修補程式，TeamT5建議用戶先透過網頁應用程式防火牆（WAF）的規則來防範相關攻擊。

威聯通警告NAS設備恐受到OpenSSL無限迴圈漏洞波及

加密通訊程式庫OpenSSL於3月15日發布安全性更新，修補CVE-2022-0778無限迴圈漏洞，臺灣NAS廠商威聯通（QNAP）於3月29日發布資安通告指出，執行特定版本QTS、QuTS hero，或QuTScloud作業系統的NAS設備，恐受到上述的OpenSSL漏洞波及，攻擊者能發動阻斷服務（DoS）攻擊來癱瘓NAS運作。該公司正在徹底調查，並將會提供安全性更新。

Wyze視訊鏡頭存在漏洞，攻擊者可存取錄下的畫面

物聯網（IoT）裝置的開發者很有可能只求產品功能正常，而沒有考量資訊安全，使得其產品多年曝露於相關漏洞的風險之中。防毒廠商Bitdefender指出，他們自20219年3月開始，發現Wyze Cam視訊鏡頭產品存在嚴重漏洞，攻擊者可在未經身分驗證的情況下，藉由網頁伺服器監聽網路連接埠80埠，進而存取安裝在視訊鏡頭裡的SD卡資料，且這樣的漏洞存在於此產品線的第1代至第3代機種。Wyze於今年1月29日，針對第2及第3代Wyze Cam發布新版韌體修補相關漏洞。

研究人員認為，使用者應重視家用物聯網裝置的安全，最好提供這些設備專用的無線網路SSID，並選用具備資安防護功能的路由器設備。