【資安日報】2022年4月26日，勒索軟體Quantum僅耗時4小時攻陷受害目標、法國醫院遭網路攻擊被迫中斷連線

在今天的資安新聞中，勒索軟體的攻擊事故可說是當中較為引起關注的部分。而在其中，竟有駭客花費不到4個小時就將受害組織的整個網路檔案加密，而使得IT人員難以防堵駭客的攻擊行動。

而在勒索軟體攻擊行動裡，駭客用來投放勒索軟體的惡意程式，也扮演了重要的角色。例如，上述事件的攻擊者利用了惡意軟體IcedID，而勒索軟體駭客Conti則是使用了BazarLoader來執行相關任務。但為何資安系統難以發現BazarLoader的攻擊意圖？此惡意軟體利用Windows的API執行，且駭客在程式碼裡運用罕見的混淆手法來埋藏攻擊特徵。

醫療院所遭到網路攻擊，很可能導致大量病人的隱私外洩。而近期有法國醫療集團證實遭到網路攻擊，為了避免災害擴大，他們決定切斷總部與醫院之間的網路連線，而使得部分服務被迫中斷。但值得留意的是，駭客已將竊得的病人資料流入地下市集，後續可能會造成的影響有待觀察。

【攻擊與威脅】

勒索軟體Quantum僅耗時4小時攻陷受害目標

勒索軟體駭客以迅雷不及掩耳的速度，將受害組織網路的檔案進行加密，而讓IT人員難以招架。資安研究團隊The DFIR Report指出，他們在一起使用勒索軟體Quantum的攻擊事故裡，發現駭客成功入侵後只耗費3小時44分，將受害組織網路內的大部分檔案都予以加密。這些駭客起初利用ISO映像檔散布惡意軟體IcedID，初步入侵目標電腦，然後在2個小時後，將Cobalt Strike注入Windows內建的命令列提示字元（CMD.EXE）處理程序，以規避資安系統的偵測。

駭客接下來利用LSASS工具來竊取網域的憑證，進而在內部網路橫向移動，然後，他們繼續與網路內其他伺服器進行RDP連線，駭客一旦完全掌握網域的配置，就開始將C磁碟機設為共用，將勒索軟體酬載複製到所有電腦，並透過WMI或PsExec來散布並觸發勒索軟體病毒。研究人員提供入侵指標（IoC），以及IcedID與Cobalt Strike的C2中繼站IP位址，讓IT人員能加以防範。

巴西里約財政部遭勒索軟體LockBit攻擊

勒索軟體針對南美洲金融中心下手，要脅當地政府機關付錢。根據Recorded Future的報導，巴西里約熱內盧財政部於4月21日遭到勒索軟體LockBit攻擊，該單位於22日證實遭到勒索軟體攻擊，對方要求支付贖金，以換取駭客不公開竊得的資料。巴西里約熱內盧財政部發言人聲稱，對方偷到的資料僅占秘書處的0.05%，但沒有提及這些資料的機密層級。勒索軟體駭客組織LockBit宣稱本次攻擊行動約竊得420 GB資料，要脅對方若是沒有依照指示進行後續處理，將於4月25日公布這些資料。

法國醫院遭網路攻擊，近30 GB內部資料疑似流入地下市集

法國醫療集團GHT Coeur Grand Est於4月25日指出，他們在19日遭到網路攻擊，導致位於維特里勒弗朗索瓦、聖迪濟耶的分院受到影響，該集團為了避免災害擴大，將GHT總部與醫院之間的網路連線暫時切斷，使得線上預約等服務無法使用。該集團表示，駭客疑似設法盜取他們的內部資料，這些資料很有可能會被其他駭客散布。

資安新聞網站Bleeping Computer發現，地下市集網站Industrial Spy疑似出現該集團遭竊的資料，共有28.7 GB。賣家宣稱他們偷到的資料內容，主要是病人的個資，包含了社會安全號碼、護照掃描檔案、電子郵件、電話號碼、付款的銀行帳號資料等，他們因向院方索討130萬美元未果，而決定兜售這些資料。

後門程式BazarLoader利用Windows的API偷渡勒索軟體

勒索軟體駭客組織Conti於3月上旬，利用釣魚郵件散布後門程式BazarLoader，此後門程式透過呼叫Windows的API運作，主要被該組織用於投放勒索軟體，但這個後門程式究竟如何規避各式的偵測機制？近期有資安業者揭露他們研究的結果。資安業者Palo Alto Networks指出，他們最近利用逆向工程工具IDA Pro分析BazarLoader，結果發現，駭客運用了兩種相當少見的手法，而能躲過大部分的資安防護系統偵測。

這些手法中，其中一種是API功能雜湊化（API Function Hashing），混淆惡意軟體呼叫的功能；另一種則是叫做不透明述詞（Opaque Predicate），目的是混淆惡意軟體程式碼的實際運作流程，讓研究人員所使用的靜態分析工具難以解析。該公司也公布他們用來破解駭客手法的IDAPython程式碼，供其他研究人員解析使用上述手法的惡意程式。

竊密軟體Prynt Stealer不只會偷取瀏覽器資料與加密錢包，連遊戲平臺帳號也不放過

竊密軟體具備的功能越來越複雜，甚至還搜刮受害電腦裡的遊戲帳號來獲利。資安業者Cyble最近揭露名為Prynt Stealer的竊密軟體，開發者以每月收取100美元的價格提供給駭客使用。這個竊密軟體可為攻擊者偷取受害電腦的文件、資料庫、程式原始碼等資料（檔案大小不超過5120位元組的檔案）。再者，該竊密軟體也能挖掘瀏覽器、即時通訊軟體、VPN連線程式、加密貨幣錢包、遊戲平臺的組態，以挾持受害者的各式帳號來牟利。此外，Prynt Stealer也具備在受害者想要進行加密貨幣交易時，竄改轉帳的錢包位址，而能將受害者的加密貨幣移轉到駭客的錢包。

【漏洞與修補】

加密貨幣錢包Ever Surf存在漏洞，駭客可用來挾持用戶的錢包

加密貨幣錢包一旦出現漏洞，很有可能讓攻擊者挾持錢包將存款轉走。資安業者Check Point發現，區塊鏈Everscale的網頁版本加密貨幣錢包Ever Surf，存在資安漏洞，攻擊者一旦加以利用，就能解開瀏覽器儲存在本機電腦的私鑰、通關密語（Seed Words），進而控制受害者的加密貨幣錢包。研究人員通報後，Everscale改以提供Ever Surf用戶專用的電腦版應用程式，並停止提供網頁版本的管理介面。

【漏洞與修補】

資安業者Sophos併購新創公司SOC.OS

資安業者Sophos於4月22日宣布，該公司將買下英國新創公司SOC.OS，此公司以雲端服務的型式，提供安全警示調查及自動化解析服務。Sophos在完成併購之後，將借助SOC.OS的技術，為不同規模的組織提供威脅回應代管（Managed Threat Response，MTR）服務、全面偵測與回應（XDR）解決方案，並強化其自動適應的網路安全生態系統（Adaptive Cybersecurity Ecosystem），讓Sophos的MTR、XDR產品能無縫與客戶現有的IT系統進行整合。