【資安日報】2022年7月29日，駭客竊取SQL Server與MySQL伺服器網路頻寬牟利、臺廠Moxa修補工控裝置伺服器設備零時差漏洞

駭客針對受害電腦什麼都能偷！而其中最常見的是竊取機密文件，或是濫用電腦的運算能力，進行挖礦攻擊或是組成殭屍網路。但攻擊者很有可能針對受害電腦的網路頻寬下手。最近有資安業者發現SQL Server、MySQL等資料庫主機遭植入代理伺服器軟體（Proxyware）的攻擊行動，駭客藉此將伺服器的頻寬提供給相關服務的業者獲利。而這已並非此種攻擊手法第一次出現，在去年8月，思科就發現濫用名為Honeygain的代理伺服器軟體攻擊行動。

微軟封鎖來自網路的Office巨集的防護策略，近期也導致駭客的攻擊手法出現變化。資安業者發現，駭客藉由光碟映像檔或是壓縮檔的方式，來打包惡意文件檔案，來突破上述微軟的封鎖，進而成功發動攻擊。他們也呼籲使用者要留意這種新型態的攻擊手法。

臺廠四零四科技於6月上旬，針對旗下的設備伺服器NPort 5100系列修補零時差漏洞，最近通報漏洞的資安業者公布這些漏洞可能會造成的危害，並呼籲用戶應儘速安裝新版韌體。

【攻擊與威脅】

駭客竊取SQL Server、MySQL伺服器的網路頻寬，將其出售牟利

駭客從受害電腦竊取的東西，不只是機密檔案、電腦運算能力，就連網路頻寬也能偷來賺錢，其手法是暗中植入代理伺服器軟體（Proxyware），將受害電腦的流量供他人使用，如今也針對企業的資料庫系統下手。資安業者AhnLab發現近日有人鎖定SQL Server、MySQL等資料庫主機，透過廣告軟體（如Neoreklami）來植入Peer2Profit或IPRoyal代理伺服器軟體。

其中比較值得留意的是，駭客在濫用IPRoyal的服務牟利時，他們會較為偏好使用CLI版本的用戶端程式，透過命令列的方式來部署，使得受害組織難以察覺遭到攻擊的跡象。

因應微軟封鎖來自網路的Office巨集，駭客使用ISO映像檔、RAR壓縮檔打包惡意文件

為了防堵駭客利用Office惡意巨集發動攻擊，微軟自6月開始，針對來自網路上的Office檔案，直接封鎖巨集的功能，但道高一尺魔高一丈，駭客已設法突破這樣的保護措施。

資安業者Proofpoint發現，微軟從去年10月開始宣布要採取相關措施後，有越來越多駭客在發動網路釣魚攻擊的時候，將惡意文件檔案進行包裝，他們會使用ISO、IMG光碟映像檔，或是RAR壓縮檔來挾帶這類文件檔案，使得這些惡意文件檔案不會被加上來自於網路的標記（Mark-of-the-Web，MOTW），而能突破微軟的防護機制，駭客仍然可以引誘受害者啟用巨集來達成目的。

研究人員指出，另一個受到許多駭客採用的手法，則是使用LNK捷徑檔案來執行惡意軟體，自去年10月至今，相關的攻擊行動數量成長近17倍（1675%）。

機器學習模型有可能會被騙過而影響資安系統的偵測能力！研究人員透過人工智慧對抗性攻擊，導致資安防護系統產生大量誤報

近年來為了加速找出資安威脅並做出回應，資安防護系統採用機器學習與深度學習的情況越來越普遍，但有研究人員提出警告，駭客有可能操弄機器學習的機制，進而繞過資安防護系統。

美國要塞軍校（The Citadel）的研究人員指出，他們發現攻擊者有可能藉由特製的假資料，來針對採用深度學習模型的網路入侵偵測系統下手，發動對抗性攻擊（Adversarial Attack），以愚弄神經網路進而改變此網路防護系統的行為。

這些研究人員主要聚焦於DNS放大攻擊手法，並訓練一個專門識別此種攻擊的深度神經網路（準確度達98%）模型來進行實驗，結果在使用TextAttack和Elastic-Net Attack兩種對抗性攻擊手法後，上述透過深度神經網路打造的網路威脅檢測系統的準確性顯著下降，並產生大量誤報和漏報。研究人員計畫日後針對實際運作的網路入侵偵測系統進行相關檢測。

【漏洞與修補】

臺廠Moxa修補工控裝置伺服器設備的零時差漏洞

資安業者En Garde Security提出警告，臺灣工控網路通訊業者四零四科技（Moxa）旗下的NPort 5100系列設備伺服器，存在兩個零時差漏洞CVE-2022-2043、CVE-2022-2044，CVSS風險評分為7.5與8.2分，一旦遭到利用，攻擊者很可能藉由越界寫入的手法，或是改變記憶體數值，導致此裝置出現無法回應的狀態。

四零四科技在3月獲報後，於6月上旬予以修補，並表示這些漏洞只存在於2.10版韌體。美國網路安全暨基礎設施安全局（CISA）也於7月26日發布資安通告，呼籲用戶應儘速部署新版韌體。

【其他資安新聞】

惡意NPM套件攻擊行動LofyLife在受害電腦植入竊密軟體，目標是Discord用戶的Token

藝術組織電子報管理系統WordFly遭勒索軟體攻擊，2週後相關服務仍未復原

辦公室軟體LibreOffice修補可能會遭到暴力破解主金鑰的漏洞

近期資安日報

【2022年7月28日】網路傭兵Knotweed利用CSRSS零時差漏洞發動攻擊、阿里雲OSS儲存桶被用於散布惡意軟體及挖礦

【2022年7月27日】駭客意圖透過IIS伺服器延伸套件在Exchange植入後門、研究人員揭露Node.js原型污染漏洞

【2022年7月26日】駭客以程式語言Rust打造竊密軟體、中國駭客使用UEFI惡意軟體CosmicStrand發動攻擊