【資安日報】2022年5月20日，日經新聞遭到勒索軟體攻擊、北韓駭客Lazarus鎖定VMware遠距工作平臺下手

在今天的資安新聞裡，有不少與勒索軟體攻擊有關。其中，最引起各界關注的消息，應該就屬日本大型媒體日經新聞公布遭到勒索軟體的事故。

而在去年底揭露的Log4Shell漏洞，這幾個月陸續有駭客鎖定了存在相關漏洞的VMware遠距工作平臺發起攻擊行動，而最近北韓駭客Lazarus也利用這樣的管道攻擊南韓組織。

駭客發動網路釣魚攻擊的手法現在可說是越來越細膩了，最近研究人員發現，有人結合了線上客服聊天機器人（Chatbot）的手法，讓受害人更難察覺異狀。

【攻擊與威脅】

日經新聞遭到勒索軟體攻擊

勒索軟體駭客攻擊的對象，近期也盯上了東亞新聞媒體。日經新聞於5月19日公布，他們新加坡辦公室的一臺伺服器主機，於5月13日遭到勒索軟體攻擊，該公司當日察覺異狀後已關關此伺服器，並採取相關回應措施。該公司表示他們正在了解攻擊的情況與受害範圍，並指出遇害的伺服器有可能存放客戶的資料，但目前尚未發現資料外洩的跡象。

北韓駭客Lazarus鎖定南韓組織的VMware遠距工作平臺Log4Shell漏洞下手

又是針對VMware遠距工作平臺的Log4Shell漏洞下手的攻擊行動。資安業者AhnLab指出，北韓駭客Lazarus於今年4月，鎖定南韓組織的遠距工作平臺VMware Horizon下手，針對尚未修補Log4Shell漏洞的Tomcat元件入侵，植入後門程式NukeSped，並在受害組織裡進行間諜工作，如截取螢幕畫面、側錄輸入內容、存取敏感檔案等，與過往NukeSped不同之處在於，研究人員看到2個新模組，可用於轉存USB儲存裝置的資料，以及提供存取視訊鏡頭的能力。

駭客透過上述後門程式在受害組織站穩腳跟後，便進一步投放竊密軟體，偷取瀏覽器（Chrome、Firefox、IE、Naver Whale）與收信軟體（Outlook、Outlook Express、Windows Live Mail）的帳號資料，以及辦公室軟體（微軟Office、Hancom 2010）近期使用的檔案名稱。研究人員呼籲VMware Horizon用戶應儘速修補相關漏洞。

駭客利用客服機器人進行網路釣魚，竊取信用卡資料

利用釣魚郵件發動網路釣魚攻擊的情況算是相當常見，但現在有人結合了線上客服的手法，讓受害人放下戒心。資安業者Trustwave指出，他們看到駭客假冒物流業者DHL的名義，寄送包裹無法送達的通知訊息，並要求受害者依照指示處理。一旦收信人照辦就會下載PDF檔案，該文件內含指向釣魚網站的連結，受害者點選後便會被引導到與客服聊天機器人（Chatbot）的對話框。這個機器人會表明包裹上的標籤已經遭到破壞，而無法寄送，要求重新提供公司或住家地址、姓名、電話號碼，並告知對方要刷卡支付額外的運費。收信人若是照做，信用卡的資料就有可能遭側錄。

為了取信對方，這個客服機器人的對話內容還會包含無法寄送的包裹圖片，以及在刷卡的過程裡，還會要求輸入手機簡訊的驗證碼，讓受害者以為真有其事。由於駭客納入許多實際網站運用的機制，而很難分辨真假，研究人員提出警告，使用者若是收到相關的寄送通知，應另外開啟物流公司的網頁查詢，而非直接透過信件提供的連結回覆。

鎖定Linux主機的殭屍網路XorDDoS近半年攻擊次數增2.5倍

殭屍網路鎖定Linux主機而來的情況，最近逐漸增加。微軟在5月19日提出警告，他們在最近半年裡，發現XorDDoS的攻擊行動次數較先前增加了254%。這個殭屍網路病毒主要透過SSH連線暴力破解的方式，入侵執行Linux作業系統的設備，攻擊者利用Shell指令碼來嘗試各種可能的帳密組合，一旦成功存取，就有可能將XorDDoS的ELF檔案投放到設備上執行。

這個殭屍網路除了被用於發動DDoS攻擊，駭客還會拿來部署蠕蟲程式，以便維持受害設備的存取權限，而且還有可能投放其他惡意軟體──研究人員看到部分受感染的裝置，隨後被植入了Tsunami後門程式，以及挖礦軟體XMRig。

勒索軟體Chaos破壞受害電腦檔案，並表達力挺俄羅斯的訴求

自烏克蘭戰爭開打以來，許多駭客組織表態支持的對象，而最近又有勒索軟體組織藉由攻擊行動表達政治訴求。資安業者Fortinet指出，他們近期發現勒索軟體Chaos的攻擊行動，該勒索軟體在執行後會先盤點所有磁碟機上的檔案，估算檔案大小、進行分類，對於大部分的檔案，會產生20字元長度的密碼，並使用AES-256-CBC加鹽的演算法進行加密，而對於大於2,117,152位元的檔案，則是寫入隨機資料破壞，但另一部分引起研究人員注意的是，這些檔案加密後的副檔名變成了f**kazov，azov很可能指的是烏克蘭國民警衛隊的特種作戰部隊「亞速營」。

而在加密檔案後，駭客也透過名為stop_propaganda.txt的檔案留下勒索訊息，但這個訊息與過往的攻擊事故相當不同：他們呼籲停止烏克蘭戰爭，大家不值得為像小丑一樣的烏克蘭總統澤倫斯基而死，並要求受害者閱讀特定網站了解真相。內容完全沒有提及贖金，也沒有聯絡攻擊者的管道。受害者難以復原電腦上的資料。

航空液壓設備製造商傳出遭勒索軟體Conti攻擊

勒索軟體Conti攻擊航空產業的事故再添一樁。根據資安新聞網站Bleeping Computer的報導，專精航空液壓設備的派克漢尼汾（Parker Hannifin）於5月16日證實，他們在3月11日至14日，遭到未經授權存取內部資訊系統的攻擊行動，經過調查後於5月12日向資料可能遭到外洩的人士發出電子郵件通知，並承諾提供兩年的身分竊盜保險。

關於攻擊者的身分來歷，駭客組織Conti於4月1日表明是他們所為，並於4月20日公布竊得的419 GB資料，該新聞網站認為，駭客有可能取得機密程度極高的設計圖，有可能讓取得相關資料的競爭對手能夠應用。

威聯通針對近期出現的勒索軟體DeadBolt攻擊行動提出警告

勒索軟體針對NAS設備下手的情況，最近又有攻擊行動出現。臺廠威聯通（QNAP）於5月19日發出警告，他們的產品資安事件應變團隊（QNAP PSIRT）偵測到勒索軟體DeadBolt的攻擊行動，鎖定執行QTS作業系統4.3.6版與4.4.1版的NAS設備，根據他們的調查，主要受到影響的設備為TS-x51、TS-x53產品線的機種。他們呼籲用戶要儘可能使用最新版本的QTS作業系統，並避免將NAS曝露於網際網路。

【漏洞與修補】

研究人員發現可濫用iPhone低耗電模式的漏洞

遺失的iPhone手機即使電源遭到關閉，還是能透過Find My功能定位，這與蘋果導入了名為低耗電模式（Low Power Mode，LPM）的機制有關，但有研究人員發現當中存在可被濫用的弱點，甚至有可能讓攻擊者在即將斷電的設備上執行惡意軟體。

德國達姆施塔特工業大學（Technical University of Darmstadt）的研究人員在針對iOS 15作業系統進行研究後發現，近期iPhone手機的藍牙、NFC、超寬頻（UWB）無線通訊，即使在關機的狀態下仍然能夠運作24小時，研究人員指出，這是因為LPM是透過硬體的元件來運作，例如，Find My功能要透過Always-on Processor（AOP）晶片執行，因此，LPM很有可能遭到攻擊者濫用。

他們透過逆向工程的方式發現，這類晶片沒有透過數位簽章的機制保護，而有可能讓惡意軟體入侵iPhone後，在LPM模式下持續運作，或是讓攻擊者察覺LPM模式相關晶片的弱點後入侵手機。研究人員認為，蘋果應該加入新的開關元件來切斷電源，來防範相關的弱點被用於攻擊行動。