【資安日報】2022年8月16日，2,300萬AT&T用戶資料流入暗網、俄羅斯駭客聲稱竊得美國航太製造商洛克希德·馬丁員工個資

電信業者AT&T有超過2千萬筆用戶個資流入暗網，但讓人意外的是，該公司獲報後表示，他們近期沒有遭到攻擊的跡象，這些資料應該是來自一家信貸機構。

俄羅斯駭客Killnet近期不斷對試圖協助烏克蘭的國家，發動DDoS攻擊，義大利、立陶宛、拉脫維亞等國都傳出事故。而最近這些駭客宣稱，他們在攻擊美國航太製造商洛克希德·馬丁（Lockheed Martin）的過程裡，也一併竊得該公司的員工資料，但研究人員對這樣的說法持保留態度。

駭客上傳惡意PyPI套件的情況再度出現，而這次攻擊事故與過往有所不同，攻擊者植入的Linux挖礦程式，是在記憶體內（In Memory）執行，這樣的做法在Linux惡意程式算是相當少見。

【攻擊與威脅】

2,300萬AT&T用戶資料流入暗網，但該公司聲稱可能是信貸業者遭駭而外洩相關資料

資安業者Hold Security於8月4日，從暗網論壇取得1.6 GB的壓縮檔案，內有3.6 GB的大型檔案，經過分析，此檔案內含28,511,318筆資料，當中包含使用者的全名、手機號碼、室內電話號碼、住址、出生日期、社會安全碼（SSN）等，共約有2,300萬個SSN、2,280萬個電子郵件信箱，駭客以20萬美元的價格起標。根據這些資料的特徵，研究人員認為資料很可能來自AT&T。

AT&T聲稱，該公司的系統尚無遭到入侵及資料外洩的跡象，並向資安新聞網站Recorded Future表示，這些資料疑似來自於先前信貸機構資料外洩的事件。即便如此，難道AT&T對於合作廠商的資安沒有監督的責任嗎？

美國航太製造商洛克希德·馬丁遭DDoS攻擊，俄羅斯駭客Killnet聲稱竊得員工個資

8月1日，美國航太製造商洛克希德·馬丁（Lockheed Martin）傳出遭到DDoS攻擊，俄羅斯駭客組織Killnet聲稱是他們所為，但最近傳出這些駭客疑似握有該公司部分內部資料。根據新聞網站Newsweek的報導，Killnet於8月11日在Telegram群組上傳一段影片，並聲稱是洛克希德·馬丁員工的個資。

經資安業者Searchlight Security威脅情報分析師Louise Ferrett解析，這些資料確實是該公司員工的資料，但研究人員認為，駭客未必真正成功入侵，他們公布的很有可能之前流出的舊資料。針對這些資料的洩露，洛克希德·馬丁並未說明。

微軟封鎖俄羅斯駭客Seaborgium網釣攻擊帳號

微軟於8月15日宣布破壞俄羅斯駭客組織Seaborgium的網路釣魚行動，該組織持續鎖定特定的組織及個人發動網釣攻擊，特別是北約國家，以竊取這些個人或組織員工的憑證，進而長期竊取與蒐集資料，並利用這些資料來發動資訊戰。微軟關閉遭到駭客濫用的微軟服務帳號，包括LinkedIn、OneDrive，以及電子郵件等。

資安業者賽門鐵克發現自7月15日開始，俄羅斯駭客組織Shuckworm（亦稱Gamaredon、Armageddon）散布竊密軟體（Info Stealer）的攻擊行動，他們看到受害電腦先是下載7-Zip自解壓縮檔，隨後MSHTA程式下載了XML檔案，並植入多個PowerShell竊密程式。研究人員指出，駭客疑似濫用VCD、H264、ASC等副檔名來偽裝惡意程式，並透過遠端桌面連線應用程式Ammyy Admin或AnyDesk來存取受害電腦。由於攻擊行動仍持續當中，研究人員也提供入侵指標（IoC）供組織防範。