【資安日報】2022年9月2日，上千個iOS應用程式曝露系統服務者的AWS帳密、駭客以藍勾勾驗證引誘Instagram用戶發動網釣攻擊

帳密寫死（Hard-coded）在軟體的程式碼內，一旦有人將其反組譯，就能用來存取系統服務業者的內部系統。有研究人員發現近2千個內含AWS帳密資料App，然而出乎許多人意料的是，絕大多數都是iOS應用程式。

過往駭客針對臉書的藍勾勾機制來騙取臉書用戶帳號的情況，現在也在Instagram的用戶上演！有資安業者揭露針對Instagram的釣魚郵件攻擊行動，一天最多有上千封這類攻擊郵件。

勒索軟體BianLian的危害有擴大的趨勢！繼資安業者Cyble揭露此勒索軟體後，另一家資安業者也公布他們的發現，並提供較為完整的攻擊鏈。

【攻擊與威脅】

上千個iOS、Android應用程式曝露系統服務者的AWS帳密

開發人員將特定雲端服務帳密資料寫死在應用程式的程式碼中，一旦有人將其反組譯，就有可能任意存取、破壞系統服務業者的雲端服務帳號。根據資安業者賽門鐵克的調查，有1,859個App內含開發者的AWS帳密資料、Token，而可能導致系統業者或是用戶曝險，但值得注意的是，上述軟體大部分都是適用於iOS裝置的App，僅有37個是安卓App。

研究人員發現，有77%（約1,430個）內含的Token，可讓攻擊者直接存取AWS虛擬私有雲服務，亦有47%（約874個）的Token可被用於存取已上線服務的AWS S3相關檔案。

算準許多人想當網紅，駭客以藍勾勾驗證為誘餌，鎖定Instagram用戶發動網釣攻擊

臉書、Instagram都有驗證徽章機制，也就是所謂的「藍勾勾」，擁有此標章，代表此帳號服務業者確認為真實的名人或是企業所有，但這樣的機制也變成駭客向用戶發動攻擊的誘餌。資安業者Vade發現有人針對Instagram用戶發動釣魚郵件攻擊，信件內容宣稱用戶符合擁有驗證徽章的資格，要求進行驗證，一旦收信人照做，Instagram帳號就有可能遭到挾持。

這起攻擊行動很可能在7月22日開始，當天達到超過1千封釣魚信的規模。研究人員認為，這樣的規模代表駭客可能是採取針對性攻擊。

勒索軟體BianLian透過Exchange伺服器、SonicWall的VPN入侵受害組織

自7月出現的勒索軟體BianLian（音近似「變臉」），在8月底有資安業者揭露其罕見的加密檔案手法後，資安業者Redacted提出新的發現──使用此勒索軟體的駭客，主要入侵受害組織的管道，包含針對含有ProxyShell漏洞的Exchange伺服器，或是SonicWall的VPN系統，一旦成功進入受害組織的內部環境，駭客廣泛使用寄生攻擊（LoL）手法進行偵察和橫向移動。研究人員指出，從成功入侵到加密檔案，駭客很可能會埋伏長達6個星期。

而在9月1日，這些駭客聲稱已有20個組織受害，該組織網站使用標籤（Tag）將受害組織分門別類，這樣的做法在駭客的網站上並不常見。

智利證實政府機關遭勒索軟體攻擊，部分服務被迫中斷

智利電腦緊急應變小組（CSIRT）發布資安通告，指出當地政府機關於8月25日遭到勒索軟體攻擊，駭客針對Windows伺服器與VMware ESXi伺服器下手，將事件記錄檔案LOG、可執行檔EXE、程式庫DLL，以及多種ESXi檔案（vmdk、vmsn、vmem等）進行加密，導致該國政府機構的營運受到影響。

而對於攻擊來源，智利電腦緊急應變小組認為有可能與勒索軟體RedAlert或是Conti有所關連，威脅情報分析師Germán Fernández表示，這很可能是過往未曾出現的勒索軟體駭客組織所為。

蒙特內哥羅遭勒索軟體攻擊攻擊，美國出手協助

根據新聞網站Balkan Insight的報導，位於南歐的蒙特內哥羅遭遭到一系列的網路攻擊，該國政府的資安負責人Dusan Polovic指出，有10個單位、150臺電腦遭到危害，駭客向他們勒索一千萬美元。

對此，也傳出美國聯邦調查局派出團隊前往當地協助調查。雖然勒索軟體Cuba宣稱是他們發起的攻擊行動，並公布竊得的資料，但蒙特內哥羅政府於8月31日表示，Cuba公布的都是公開資料，且這些機關的系統於21日就已恢復正常。

【漏洞與修補】

Chrome剪貼薄功能存在漏洞，恐被用於竊密

資安研究Jeff Johnson指出，網頁瀏覽器Chrome存在剪貼簿的漏洞，起因是Chrome在104版要求使用者輸入的API出現異常，一旦惡意網站開發者利用這種臭蟲，就有可能在使用者瀏覽網頁的過程，暗中將特定內容寫入受害電腦的剪貼簿，像是惡意網址，或是加密貨幣錢包等。研究人員亦製作網站來提供概念性驗證。

Chromium開發社群約於6月就察覺此漏洞，但似乎尚未得到修補──剛推出的105版也存在同樣的弱點。研究人員強調，雖然他針對Chrome進行調查，但相關弱點也可能存在於Firefox、Safari上。

【其他資安新聞】

研究人員揭露WatchGuard防火牆數個漏洞

俄羅斯串流影音平臺證實資料外洩，750萬用戶受到波及

網路遊戲Neopets遭駭調查結果出爐，攻擊者入侵IT系統時間長達一年半

近期資安日報

【2022年9月1日】  思科遭駭勒索軟體駭客Evil Corp和Conti疑參與攻擊、研究人員揭露Linux核心漏洞DirtyCred

【2022年8月31日】  惡意Chrome擴充套件竊取受害者上網資料、駭客入侵受害電腦一個月後才部署挖礦軟體

【2022年8月30日】  駭客以測試遊戲為幌子散布竊密軟體、美國警告台達電子ICS軟體漏洞已被用於攻擊行動