【資安日報】2022年4月22日，多國警告全球關鍵基礎設施成俄羅斯下一波攻擊目標、手機晶片漏洞恐波及安卓用戶

俄羅斯國家級駭客在烏克蘭戰爭中頻頻對烏克蘭出手，不時破壞該國的關鍵基礎設施，或是散布不實訊息，擾亂民眾視聽。但最近五眼聯盟提出警告，這些駭客在烏克蘭戰爭的戰況僵持不下的時候，疑似打算改對全球其他國家進行報復，鎖定關鍵基礎設施下手。

手機晶片的聲音解碼器模組出現漏洞，而很可能影響大量安卓手機用戶，雖然晶片業者已著手修補，但用戶很可能要等待製造商將其納入新版韌體。

在雲端服務中，攻擊者利用管理不當的帳密，或是藉由配置不當進行入侵，使得管理者人心惶惶。但為了避免管理者察覺，近期駭客也採取了較為隱密的手法，而比較不易東窗事發。

【攻擊與威脅】

疑報復經濟制裁，俄羅斯駭客鎖定全球關鍵基礎設施展開網路攻擊

俄羅斯對烏克蘭發動戰爭後，受到許多國家的經濟制裁，現在傳出聲援該國政府的駭客組織打算對全球發動網路攻擊。美國、加拿大、英國、紐西蘭、澳洲於4月20聯手發布資安通告指出，俄羅斯政府支持的駭客組織與網路攻擊行動，很可能不再集中攻擊烏克蘭，而是對於全球其他國家下手，呼籲基礎設施業者應嚴陣以待。這些駭客這麼做的原因，很可能是想要報復各國對俄羅斯的經濟制裁，或是反擊各國發動的網路攻擊。

遭到五眼聯盟點名的俄羅斯國家級駭客組織，包括俄羅斯聯邦安全局（FSB）、駭客組織Dragonfly（亦稱Energetic Bear）、俄羅斯外國情報局（SVR）、俄羅斯情報局（GRU）、GRU特別技術中心（GTsST）、特勤中心（GTsSS），以及俄羅斯FGUP中央化學暨機械學研究所國家研究中心（TsNIIKhM）。

在全球因疫情導致糧食短缺之際，勒索軟體駭客看準了可能會影響收成的時機，向相關組織發動攻擊，而使得受害組織為了避免先前的努力付諸流水，選擇支付贖金。美國聯邦調查局（FBI）於4月20日對食品生產與農業業者提出警告，勒索軟體駭客很可能選擇在種植或是收成的期間展開攻擊，該單位獲報在2021年秋季的收成期間，勒索軟體駭客針對6家糧食合作社下手，在2022年初駭客也發動2起攻擊行動，企圖中斷種子與肥料的供應，進而延誤耕種的時間。FBI指出，駭客認為合作社在農業生產過程扮演了重要的角色，很可能願意支付贖金來避免營運中斷，而將其視為主要的攻擊目標。

勒索軟體Black Cat半年內已入侵逾60個組織

勒索軟體Black Cat（亦稱Alphv）因其前身是BlackMatter、DarkSide，而引起資安人員關注，但這些駭客更改組織名稱後依舊持續發動攻擊。美國聯邦調查局（FBI）於4月19日發布資安通告指出，勒索軟體Black Cat於2021年11月至2022年3月，至少入侵全球超過60個組織，是全球第一款採用程式語言Rust打造的勒索軟體，意味著該勒索軟體可能具備較佳的執行效率，以及擁有較為可靠的工作排程，而讓受害組織更難以防範。該組織多半利用已經外洩的使用者帳密入侵，一旦建立連線，駭客將會挾持AD管理者與使用者的帳號，進而使用群組原則（GPO）與Windows工作排程來部署勒索軟體。在攻擊的過程中，駭客不只會運用Cobalt Strike，還會濫用Windows管理者工具與Sysinternals工具包進行寄生攻擊（LoL）。FBI也提供入侵指標（IoC）與建議緩解措施，供組織防範相關攻擊。

蠕蟲程式TeamTNT針對AWS、阿里雲發動攻擊

趨勢科技於今年3月揭露駭客組織TeamTNT鎖定AWS的攻擊行動，但駭客疑似在研究人員公布細節後再度進行調整，而能夠規避資安系統的偵測。思科於4月21日指出，他們看到TeamTNT蠕蟲程式的變種，駭客利用惡意的Shell程式碼，鎖定AWS發動攻擊，但研究人員發現，上述的程式碼也能在內部建置或是容器的Linux環境中運作。

這些駭客的主要目的是竊取帳密，但研究人員也發現負責其他工作的TeamTNT酬載，有的被用於挖掘加密貨幣，有的供駭客橫向移動或是持續在受害環境運作。此外，他們發現也有TeamTNT的程式碼針對阿里雲而來，能夠停用阿里巴巴提供的防護工具。值得留意的是，TeamTNT的挖礦攻擊僅會占用7成處理器資源，而非全部，管理者可能要透過相關的儀表板才能察覺。

駭客向其他網路罪犯免費提供竊密軟體Ginzo Stealer，疑似為了培養客群

自3月底傳出竊密軟體Raccoon Stealer部分開發者在烏克蘭戰爭中喪生而終止開發，許多新的竊密軟體接連出現，近期甚至有人打著免費的旗號，提供這類作案工具給駭客使用。防毒軟體業者G Data指出，他們從3月下旬開始看到有人免費散布名為Ginzo Stealer的竊密軟體，自3月20日至30日於惡意軟體檢測平臺VirusTotal上就發現超過400個檔案，這代表了此竊密軟體相當受到駭客的歡迎。此竊密軟體可竊取Chrome、Firefox、Opera等瀏覽器的Cookie與密碼，以及存放於桌面的檔案、Telegram連線階段、Discord的Token、加密貨幣錢包等。

但駭客為何會採取免費提供Ginzo Stealer的策略？研究人員認為很有可能是為了培養未來的買家，而且，在其他攻擊者使用Ginzo Stealer的時候，也會將竊得的資料同時回傳給提供此竊密軟體的駭客組織。

駭客偏好從DeFi平臺盜取加密貨幣

駭客竊取加密貨幣的管道，從過往主要針對加密貨幣交易所下手，演變至今已將目標轉向去中心化（DeFi）平臺。資安業者Chainalysis近期公布他們對於加密貨幣犯罪的調查報告，駭客在2021年總共偷取價值32億美元的加密貨幣，但在2022年第1季，駭客已經竊得13億美元，而且幾乎（97%）都是來自DeFi平臺。為何駭客會特別針對這類平臺而來？研究人員認為，主要與這類平臺採取開放原始碼的開發模式有關，駭客經由原始碼來找尋可利用的漏洞而較能得逞；其次，則是這類平臺上維護各類加密貨幣的定價機制不穩定，而讓駭客有機會發動閃電貸款（Flash Loan）攻擊。

研究人員認為，DeFi平臺業者可能需要透過更嚴格的程式碼審查，並採取較為嚴格的安全防護機制來防堵上述攻擊行為。

多名網友PTT帳號被盜，疑似採用與其他網站服務相同的密碼，或使用不安全連線所致

臺灣大型電子佈告欄批踢踢實業坊（PTT）自4月19日起，有多名網友在ID_Problem看板發文表示無法登入，帳號疑似遭到挾持。批踢踢實業坊於22日凌晨3時在粉絲專頁做出說明，表示這些使用者無法存取自己帳號的原因，很可能是與其他網站共用密碼而遭外洩，或是過去曾使用不安全的連線方式所致。批踢踢實業坊已連繫警方，並提供異常登入相關資訊供警方調查，並指出目前沒有發現密碼被暴力破解的狀況。

【漏洞與修補】

高通與聯發科手機處理器晶片使用存在漏洞的聲音解碼器，恐波及三分之二安卓用戶

蘋果研發的無失真聲音壓縮格式ALAC，於2011年開放相關原始碼，而使得其他廠牌的裝置也能支援這類格式，但蘋果在發布之後，未曾針對這些公開的原始碼進行維護，而使得導入這些原始碼的裝置曝露於危險。資安業者Check Point指出，高通與聯發科在行動裝置晶片裡，就採用了這些老舊的原始碼支援播放ALAC檔案，攻擊者一旦利用相關漏洞，將能透過錯誤格式的聲音檔案，在行動裝置上發動RCE攻擊，恐有三分之二的安卓裝置受到波及。

經研究人員通報後，高通與聯發科皆於2021年12月予以修補，前者將上述漏洞登記為CVE-2021-30351，後者則是以CVE-2021-0674與CVE-2021-0675列管。

威聯通公告部分NAS機種可能存在Apache HTTP伺服器漏洞，並提出緩解措施

Apache基金會於3月中旬，發布網頁伺服器軟體HTTP Server的2.4.53版，修補數個漏洞，最近有NAS業者公布旗下產品受到影響的情況。威聯通於4月20日發出資安通告指出，Apache於2.4.53版網頁伺服器軟體裡總共修補了4個漏洞：CVE-2022-22719、CVE-2022-22720、CVE-2022-22721、CVE-2022-23943，該公司的NAS設備主要是受到CVE-2022-22721與CVE-2022-23943影響，前者影響執行32位元版系統的設備，後者則與啟用mod_sed的Apache HTTP Server有關。

該公司表示，他們仍在針對漏洞的影響範圍進一步調查，並儘快提供更新軟體，但用戶可先透過調整相關設定來緩解漏洞帶來的風險。例如，該公司建議將LimitXMLRequestBody的參數調回預設的1M，來緩解CVE-2022-22721；而針對CVE-2022-23943，他們建議停用mod_sed模組來因應。

思科資安解決方案的管理遠端存取機制存在漏洞，恐被攻擊者竊取管理員帳密

思科於4月20日發布3.3.2版的Umbrella的虛擬應用設備（Virtual Appliance），主要是修補SSH連線身分驗證漏洞CVE-2022-20773，這項漏洞與Umbrella系統本身的靜態SSH主機金鑰有關，一旦攻擊者加以利用，就有可能在Umbrella虛擬應用設備的SSH連線過程進行中間人（MitM）攻擊，進而取得管理員帳密、竄改配置，或是讓攻擊者重新讀取此虛擬應用設備，CVSS風險層級為7.5分。不過，該公司也強調，採用預設配置的Umbrella虛擬應用設備因沒有啟用SSH服務，不受上述漏洞波及。