【資安日報】2022年5月30日，惡意軟體EnemyBot針對應用系統重大漏洞下手，駭客鎖定視窗作業系統WSL元件散布Linux惡意軟體

針對上週末到今天的資安新聞，我們認為殭屍網路EnemyBot的攻擊行動相當值得留意，因為，該殭屍網路的攻擊者的目標大幅轉變，從一個月前主要針對多個廠牌的路由器下手，如今轉向企業的應用系統而來，並利用重大漏洞入侵伺服器。

鎖定Linux伺服器的惡意軟體攻擊近期傳出多起事故，但包含Linux子系統WSL的Windows作業系統也可能成為駭客的目標。有資安業者對於有越來越多駭客開發針對WSL的Linux惡意軟體提出警告，並表示多數防毒軟體可能無法察覺這些軟體有害。

行動應用程式框架的漏洞很可能因受到電信業者採用，使得他們用戶的手機用戶曝險。研究人員揭露mce Systems提供的應用程式框架漏洞，並指出採用該框架製作的App若是沒有修補，攻擊者有機會用來控制受害手機。

【攻擊與威脅】

惡意軟體EnemyBot針對VMware、F5 BIG-IP重大漏洞下手

殭屍網路EnemyBot在3月被發現，當時該殭屍網路機器人（Bot）主要鎖定路由器設備而來，如今駭客更進一步針對應用系統的重大漏洞下手。

電信業者AT&T的資安團隊近期找到EnemyBot變種，該殭屍網路病毒共針對24種漏洞下手，但與過往EnmeyBot不同的之處，在於駭客利用的漏洞裡，多半為應用系統的重大漏洞，包含了VMware Workspace ONE漏洞CVE-2022-22954（CVSS風險評分9.8分）、F5 BIG-IP漏洞CVE-2022-1388（CVSS風險評分9.8分）、Java框架Spring漏洞SpringShell，除此之外還有部分是沒有CVE編號的漏洞，這使得IT人員更難防範EnemyBot的威脅。

而對於部署該殭屍網路的攻擊者身分，研究人員指出是Keksec，該組織過往曾散布Tsunami、Gafgyt、DarkHTTP、DarkIRC、Necro等惡意軟體。

駭客鎖定視窗作業系統的WSL元件，散布Linux惡意軟體

最近針對Linux主機而來的攻擊行動不時傳出，但也有人鎖定Windows作業系統提供的Linux子系統（Windows Subsystem for Linux，WSL）而來。資安業者Lumen於去年秋季開始，發現駭客針對WSL下手，迄今已散布逾100種惡意程式。

在這些惡意程式當中，有些特別引起研究人員注意。例如，他們發現以程式語言Python開發的鍵盤側錄工具Keyjeek，攻擊者透過Windows的機碼使其常駐受害電腦，並將收集到的帳密資料回傳到特定的Gmail信箱，研究人員將其上傳到惡意軟體分析平臺VirusTotal，結果60個防毒引擎僅有1個識別有害。

另一個該公司特別提到的惡意程式，則是會從遠端下載Shell Code，並在受害電腦注入與執行，研究人員指出，這種能夠下載惡意程式並完全在記憶體內（In-Memory）執行的工具，很有可能日後駭客會用於投放更為複雜的軟體，如Cobalt Strike或是其他滲透測試框架。再者，研究人員也看到能同時於Windows與Linux作業系統執行的代理程式Lee，攻擊者不只能透過該代理程式上傳或下載檔案，還能執行任意命令。

除此之外，研究人員也發現多個會利用即時通訊軟體Discord的惡意軟體，像是木馬程式DiscordRAT、竊密程式Discord Token Grabber、Discord-Keylogger等，再者，也有濫用加密通訊軟體Telegram木馬程式Telegram-RAT。該公司建議採用WSL的使用者，應透過Sysmon等系統監控工具進行監控，來找出WSL環境是否出現異常。

安卓惡意軟體Ermac 2.0假冒餐點外送平臺App，竊取467個軟體帳密

隨著武漢肺炎疫情延燒，許多人必須居家隔離，透過餐點外送平臺取得三餐所需，有駭客假借這樣的名義來散布惡意軟體。資安業者Cyble、ESET指出，他們看到有人佯稱是Blot Food的餐點外送業者，製作冒牌網站來散布安卓竊密軟體Ermac 2.0，一旦使用者從該網站下載檔案並進行安裝，該冒牌App將會要用戶開放43項權限，進而竊取467種應用程式的帳密，當中包含全球各地的銀行機構、加密貨幣錢包，以及資產管理應用程式。研究人員呼籲用戶，應從從Google Play市集下載App。

勒索軟體駭客REvil疑發動DDoS攻擊

勒索軟體駭客REvil似乎再度發動攻擊，但並非透過加密檔案的方式進行，而是以DDoS攻擊來癱瘓受害組織網路。雲端服務業者Akamai於5月12日接獲客戶通報，他們發現聲稱是REvil的駭客進行DDoS攻擊，駭客要脅受害組織必須移轉指定數量的比特幣（BTC），並暫停特定國家的業務，來換取駭客停止發動DDoS攻擊，駭客揚言若是不從，他們將會讓該組織的全球業務受到衝擊。

研究人員指出，這起DDoS攻擊背後似乎存在政治動機，與REvil的行事風格完全不同，他們認為很有可能是他人假借REvil的名號對受害組織進行勒索。

勒索軟體Clop疑捲土重來，1個月出現21個受害組織

過往惡名昭彰的勒索軟體駭客組織，在沉寂一段時間幾乎沒有活動後，再度大舉發動攻擊的情況，近期時有所聞。例如，資安業者NCC Group揭露他們針對2022年4月勒索軟體攻擊的態勢，當中特別提及勒索軟體Clop（亦稱Cl0p）的攻擊行動，在整個月出現了21個受害組織，主要目標是工業，占45%，其次是IT產業，占27%。

但為何突然出現這麼多攻擊行動？資安新聞網站Bleeping Computer認為，這些駭客很有可能像Conti，目的是避免關閉Clop基礎設施的時候，成員後續受到執行單位追捕，因此，刻意發動這些攻擊來掩人耳目。

【漏洞與修補】

行動應用程式框架存在嚴重漏洞，兩大平臺手機恐曝險

電信業者為了在手機上提供專屬服務，很可能會運用廠商提供的軟體框架，對旗下品牌手機進行客製化，一旦這種框架系統出現漏洞，很可能影響相當廣泛。微軟於5月27日公布在去年9月發現的數個漏洞──CVE-2021-42598、CVE-2021-42599、CVE-2021-42600，以及CVE-2021-42601，這些漏洞存在於mce Systems推出的行動裝置應用程式框架，CVSS風險評分從7.0分至8.9分，一旦攻擊者加以利用，就有可能從這些透過上述行動裝置應用程式框架製作的App，藉由其提供可瀏覽功能（Browsable）的服務，進而在受害裝置植入後門程式並取得控制權，安卓與iOS版應用程式都有可能受到影響。研究人員通報後，mce Systems與相關電信業者已著手修補漏洞，目前尚未出現利用相關漏洞的攻擊行動。