【資安日報】2022年5月26日，勒索軟體Cheerscrypt鎖定VMware ESXi而來、工業自動化系統OAS重大漏洞恐造成服務停擺

自去年有不少勒索軟體駭客開始打造可攻擊VMware ESXi虛擬化平臺的工具，這陣子又有新的勒索軟體投入攻擊這類系統的行列。但有所不同的是，這次駭客加密檔案的手法似乎較為複雜，且會特別檢查檔案的存取權限再下手。

駭客在竊得大筆企業客戶資料後，過了一段時間開始有人透過加密通訊軟體Telegram的頻道，散布給其他人士。最近有研究人員發現，駭客透過Telegram頻道來散布美高梅度假村（MGM Resorts）在2年前遭竊的住房資料，估計可能至少有3千萬房客受到影響。

在資安漏洞的消息中，物聯網與工控設備的資料自動化處理平臺存在的資安風險，很可能會導致用戶資訊外洩，或是相關系統面臨服務阻斷的情況。研究人員在自動化系統Open Automation Software Platform上發現8個漏洞，而值得相關產業的組織特別留意，並儘速更新軟體。

【攻擊與威脅】

Linux勒索軟體Cheerscrypt鎖定VMware ESXi而來

勒索軟體駭客組織LockBit、Hive、RansomEXX等，這兩年紛紛投入Linux版勒索軟體開發，且主要目標就是鎖定組織的虛擬化平臺VMware ESXi，最近有新的勒索軟體也加入行列，同時攻擊手法出現了變化。

趨勢科技揭露名為Cheerscrypt的勒索軟體，駭客在成功入侵VMware ESXi伺服器後，下達要加密檔案的資料夾路徑，該勒索軟體便會先執行ESXCLI命令來終止所有正在運作的虛擬機器（VM），並在加密檔案之前，先為這些檔案加入.cheer的副檔名，這種先更動檔案名稱再加密的做法算是相當少見，但為何駭客要這麼做？研究人員認為，駭客的目的是為了確認能夠擁有足夠的權限，存取即將要加密的檔案。再者，該勒索軟體也在加密所有檔案後，找出事件記錄（Log）檔案與ESXi相關的檔案（VMDK、VMEM、VSWP、VMSN），並留下勒索訊息，向受害組織索討贖金。

值得留意的是，在檔案加密的過程裡，駭客透過一組公鑰與私錀，來產生私鑰，並透過Sosemanuk串流加密法製造密鑰（Secret Key），並在遭到加密的檔案嵌入公鑰，然後刪除受害系統上的私鑰，一旦受害者想要恢復檔案，就要向駭客取得前述的私鑰才有機會進行解鎖。

後門程式BPFDoor利用Solaris漏洞取得root權限

數名資安人員在5月上旬，揭露專門鎖定Linux、Solaris主機的後門程式BPFDoor，駭客運用此後門程式長達5年未被發現，最近有資安業者公布更多細節。資安業者CrowdStrike表示，他們從2019年開始針對電信業者的攻擊行動進行追蹤，也發現駭客組織Red Menshen（亦稱DecisiveArchitect）利用BPFDoor（亦稱JustForFun）的攻擊行動，並指出駭客如何掌控執行Solaris作業系統的主機。

研究人員指出，駭客在成功入侵Solaris作業系統後，就會利用存在於XScreenSaver元件的漏洞CVE-2019-3010，來取得root權限，這項漏洞存在於Solaris 11版作業系統，CVSS風險層級為8.8分，駭客很有可能連續使用了長達3年之久，且會在投放BPFDoor後利用此漏洞，然後透過LD_PRELOAD環境變數，在受害主機上進行命令列欺騙攻擊。

到了今年4月，這些駭客調整了攻擊手法，也在Linux主機上濫用相同的變數，同時透過處理程序/sbin/agetty將BPFDoor載入。除上述發現之外，研究人員也指出，駭客在初期的入侵階段也會攻擊Windows電腦，但他們沒有發現駭客對這些電腦植入惡意軟體。

美高梅度假村外洩1.4億筆資料出現在Telegram頻道供人下載

駭客透過加密通訊軟體Telegram的頻道，來洩露竊得資料的情況，有可能讓許多人能夠進行濫用。例如，美高梅度假村（MGM Resorts）於2020年上半傳出資料外洩，駭客在地下市集以2,900美元的價格，出售逾1.42億筆住宿資料，但最近這些資料傳出有人透過即時通訊軟體免費散布。

VPN服務介紹網站vpnMentor的資安研究人員於5月22日表示，他們看到駭客在Telegram的頻道裡，免費提供上述外洩的資料，這些資料的檔案大小約8.7 GB，共有142,479,938筆住房記錄，至少有3千萬房客受到波及。這些資料的內容，包含了2017年以前的資料，內有房客全名、生日、地址、電子郵件信箱、電話號碼等。

不過，上述事故並非駭客首度透過Telegram公布竊得的資料，在今年5月上旬，有人透過Telegram頻道散布2,100萬名VPN用戶的個資，這些服務包含了SuperVPN、GeckoVPN，以及ChatVPN。

劫富濟貧？以慈善之名道德勒索被攻擊者？勒索軟體GoodWill要求受害者向貧民捐輸，以換取解密金鑰

勒索軟體駭客往往要求受害者支付贖金，以換取解密金鑰，但也有駭客要求對方從事公益活動來換取。資安業者CloudSEK指出，他們在今年3月發現名為GoodWill的勒索軟體攻擊行動，而這些駭客最引起研究人員注意的地方，在於提供受害者解密金錀的條件，他們要求對方必須依照指示幫助窮人，然後在臉書、Instagram、WhatsApp等社群網站上公開發布相關訊息。

這3件事分別是為無家可歸的人士提供新衣服、帶5個貧窮的兒童到速食店（達美樂、必勝客、肯德基擇一）飽餐一頓，以及為需要緊急醫療的窮人支付相關費用。受害者完成上述要求後，還必須在社群網站上發布訊息，表明自己因為遭到勒索軟體GoodWill攻擊後，依照駭客的要求成為願意幫忙他人的人士。如此一來，駭客就有可能會提供給他們可復原檔案的解密金錀。

根據研究人員的調查，駭客很可能來自印度，GoodWill疑似修改自土耳其開發者的勒索軟體HiddenTear，入侵受害電腦後會休眠722.45秒來干擾端點防護系統的分析，並使用AES演算法加密檔案，此外，該勒索軟體還會檢查受害電腦的地理位置。

【漏洞與修補】

物聯網與工控設備資料自動化處理平臺OAS重大漏洞恐造成資訊洩露、服務停擺

資料自動化排程及處理系統的資安威脅，有可能洩露組織的機敏資料，甚至讓攻擊者遠端執行任意命令。思科威脅情報團隊Talos指出，他們在自動化系統Open Automation Software Platform（OAS Platform）上，找到8個漏洞，當中包含了重大漏洞CVE-2022-26833與CVE-2022-26082，這兩個漏洞的CVSS風險評分達到9.4分、9.1分。攻擊者一旦利用這些漏洞，就有可能在未經身分驗證的情況下使用REST API，或是能執行任意程式碼。

其餘的6個漏洞，部分可讓攻擊者透過偽造的網路請求，發動阻斷服務（DoS）攻擊，有的則能讓攻擊者取得資料夾清單，甚至能截取使用者帳密列表，而也有漏洞可被攻擊者用於從外部竄改組態，建立新的群組與使用者帳號。

上述漏洞OAS獲報後，已發布OAS Platform 16.00.0112版予以修補，研究人員呼籲用戶應儘速安裝新版程式。

Zoom修補可讓攻擊者任意傳送訊息的漏洞

隨著遠距工作成為常態，視訊會議系統一旦出現漏洞，有可能讓他人可以隨意向用戶發送訊息。Zoom於5月17日發布用戶端軟體5.10.0版，這個版本修補了Google研究人員通報的4項漏洞，影響電腦版（Windows、macOS、Linux）與行動裝置（Android、iOS）用戶。

這些漏洞個別的CVSS風險層級為5.9分至8.1分，但研究人員指出，駭客一旦串連上述4個漏洞，就有可能發動XMPP Stanza Smuggling的攻擊行動，進而以發送XMPP訊息的方式，從遠端伺服器下載並部署惡意程式到對方裝置上，而且過程中無須受害者執行任何操作。Zoom呼籲用戶儘速更新軟體修補上述漏洞。