【資安日報】2022年8月23日，駭客針對俄羅斯控制的克里米亞發動認知戰、惡意軟體Escanor攔截OTP動態密碼資訊攻擊網銀用戶

烏克蘭戰爭開打迄今已達半年，在美國及歐洲多個國家聲援烏克蘭下，近期局勢似乎開始翻轉。其中，烏克蘭開始針對俄羅斯占領的克里米亞半島進行軍事行動，而最近他們更進一步駭入當地電視臺，播放烏克蘭總統澤倫斯基的演講，向當地民眾信心喊話。

研究人員揭露惡意軟體Escanor的攻擊行動，但值得留意的是，雖然駭客同時提供電腦版與行動裝置版本的惡意軟體，但攻擊者有傾向使用手機版本來發動攻擊的趨勢。

鎖定開發者的惡意套件攻擊日益頻繁，上週有240個惡意套件在短短2天上架到PyPI與NPM！研究人員呼籲開發者要提高警覺。

【攻擊與威脅】

烏克蘭駭客針對俄羅斯控制的克里米亞發動認知戰，入侵電視臺播放澤倫斯基演講

俄羅斯占領的克里米亞半島，近期出現數起疑為烏克蘭軍隊發起的攻擊行動後，烏克蘭駭客也開始對當地民眾進行認知戰。根據烏克蘭國家通訊社（Ukrinform）報導，烏克蘭戰略傳播室AFU StratCom宣稱他們入侵克里米亞電視臺頻道，播放澤倫斯基的演講，以及烏克蘭國旗和克里米亞國旗飄揚的畫面，意圖向當地民眾喊話──克里米亞是烏克蘭的領土。

惡意軟體Escanor同時鎖定PC和手機下手，攔截OTP動態密碼資訊攻擊網銀用戶

資安業者Resecurity揭露名為Escanor的RAT木馬程式，駭客提供了電腦版與手機版本，並在暗網與Telegram頻道上兜售。此木馬程式具備隱藏式虛擬網路連線（HVNC）模組，攻擊者透過惡意Office文件與PDF檔案來散布Escanor。

研究人員指出，攻擊者尤其積極使用行動版本Escanor，攔截OTP動態密碼資訊來攻擊網路銀行的使用者，並可能會收集受害者的GPS坐標、鍵盤輸入的資料，以及瀏覽裝置內的檔案並進行竊取。根據駭客所使用的網域名稱，研究人員認為Escanor很可能出自中東地區的駭客組織APT-C-23。

逾200個NPM及PyPI套件被用於挖礦攻擊

資安業者Sonatype於8月19日指出，有人自17日開始上傳55個惡意PyPI套件，一旦受害者安裝這些套件，Linux電腦就會被植入挖礦軟體XMRig。

隨後，研究人員又發現了186個惡意NPM套件，這些套件的主要共通處，就在於駭客使用了相同的URL下載惡意Bash指令碼，PyPI、NPM網站獲報後很快就下架了這些惡意套件。

勒索軟體LockBit聲稱反遭資安業者Entrust癱瘓網站

勒索軟體駭客LockBit聲稱在6月攻擊資安業者Entrust，但最近網站遭到DDoS攻擊，而認為可能是Entrust的報復行動。這些駭客在8月21日向資安團隊VX-Underground透露網站遭到DDoS攻擊，且被要求刪除從Entrust竊得的資料，不過此事並未得到Entrust的證實。

思科研究人員指出，此次攻擊流量來自上千臺伺服器、每秒發出400次請求。資安新聞網站Bleeping Computer指出，駭客為了進行報復，打算將偷來的資料透過BitTorrent散布。

駭客偏好挾持記事本程式來進行挖礦

微軟近期針對挖礦攻擊公布調查的結果，指出駭客使用多種手法來迫使目標裝置挖掘加密貨幣，當中最常見的做法，是利用處於灰色地帶的潛藏危害應用程式（PUA）；而為了規避偵測，這些人越來越偏好濫用可執行檔案進行寄生攻擊（LOLBins），其中有高達85%是運用記事本（notepad.exe），其次是檔案總管（explorer.exe）。

研究人員揭露其中一起散布挖礦軟體Mehcrypt的攻擊行動，指出駭客過程中濫用記事本處理程序來向C2連線，並透過處理程序中空化的攻擊手法（Process Hollowing），將挖礦程式碼載入此處理程序執行。

代理伺服器恐被濫用於帳號填充攻擊

美國聯邦調查局（FBI）於8月18日發出安全公告，警告攻擊者可能會在帳密填充攻擊（Credential Stuffing Attack）的過程中，濫用代理伺服器（Proxy）或配置檔，進而自動化及隱匿攻擊的蹤跡。FBI指出，駭客也可能會鎖定手機App，由於這種軟體的安全性不若網頁應用程式嚴謹，駭客會利用專屬的配置檔，並透過代理伺服器發動帳密填充攻擊。對此FBI呼籲企業與網站管理者應採用多因素驗證，並監控相關攻擊工具的使用者代理（User Agent）字串。

【漏洞與修補】

ChromeOS的記憶體中斷漏洞恐導致阻斷服務攻擊

微軟公布他們通報的ChromeOS重大漏洞CVE-2022-2587，一旦遭到利用，攻擊者可竄改聲音檔案的中繼資料（Metadata），並引誘使用者播放，就有可能觸發漏洞，而導致阻斷服務（DoS）或是RCE攻擊，且無論是透過網頁瀏覽器播放，還是使用已配對的藍牙裝置都會受到影響。此漏洞的CVSS風險評分為9.8分，存在於該作業系統的音訊伺服器元件（CRAS）。Google獲報後於6月發布ChromeOS 102.0.5005.125予以修補。

【其他資安新聞】

HITCON PEACE 2022提供多項資安技術入門、交流與求職活動

中國軍校網站遭駭，部分圖片被換成民主才能戰勝獨裁的訊息

網路間諜公司NSO Group執行長下臺，並將裁員百人

用於工控設備USB隨身碟上出現的惡意軟體，逾8成會破壞ICS系統

研究人員揭露Linux核心漏洞DirtyCred

近期資安日報

【2022年8月22日】  總統親臨台灣駭客年會HITCON PEACE 2022、俄羅斯駭客APT29濫用Azure服務發動攻擊

【2022年8月19日】  中國駭客Winnti將Cobalt Strike拆解以規避偵測、使用惡意軟體Bumblebee的駭客企圖挾持組織AD

【2022年8月18日】  駭客即將突破Android 13安全防護機制、勒索軟體BlackByte 2.0網站提供新的付費項目