【資安日報】2022年9月16日，加拿大電信業者BTS傳出遭勒索軟體Hive攻擊、電腦版Teams應用程式以明文儲存用戶身分驗證資料

針對電信業者而來的網路攻擊，大多是DDoS攻擊或網路間諜行動，但最近發生在加拿大電信業者的資安事故，有資安新聞網站指出，很可能是勒索軟體攻擊。

研究人員針對協作平臺Teams的用戶提出警告，他們找到電腦版應用程式的漏洞，攻擊者可用來盜用微軟帳號。由於微軟很可能不會立即修補，研究人員呼籲用戶最好先改用網頁版Teams來降低風險。

駭客針對電玩遊戲玩家的攻擊行動有越來越複雜的現象！有研究人員發現透過YouTube頻道的攻擊行動，駭客不只進行竊密及挖礦攻擊，還濫用受害者的YouTube帳號來上傳影片來誘騙其他玩家。

【攻擊與威脅】

加拿大電信業者BTS傳出遭勒索軟體Hive攻擊

根據資安新聞網站Bleeping Computer的報導，勒索軟體駭客組織Hive聲稱在8月20日，入侵加拿大電信業者Bell Technical Solutions（BTS）的系統並加密檔案。

而對於BTS實際的情況如何，也成為外界關心的焦點。但目前該公司的網站無法存取，而BTS的母公司Bell Canada於9月7日發出公告，證實BTS遭到網路攻擊，未獲授權的人士存取了部分經銷商、員工的資料，以及預約技術人員服務的企業、個人客戶的聯絡資料，但不包含客戶的信用卡或銀行帳戶等財務資料。Bell Canada要BTS客戶留意可能會衍生的網路釣魚攻擊，並通知受到影響的客戶。該集團表示，其他客戶不受影響。

但對於這起事故是否就是勒索軟體攻擊？Bell Canada、BTS並未進一步說明。

電腦版Teams應用程式以明文儲存用戶身分驗證資料，恐讓攻擊者盜用帳戶

資安業者Vectra發現，微軟協作平臺Teams的電腦版應用程式存在嚴重漏洞，一旦遭到利用，攻擊者可存取使用者通過身分驗證的Token，而能在無須通過雙因素驗證的情況下掌控受害者的微軟帳號，Windows、macOS、Linux版的應用程式都存在相關風險。

研究人員指出，這項漏洞與Teams透過應用程式框架Electron開發有關，此框架的預設組態並未啟用加密機制，也沒有對應用程式運用的資料夾提供保護措施，研究人員在觀察Teams刪除用戶帳號的過程，找到帶有明文資料的LDB檔案，從而發現上述漏洞。

微軟獲報後進一步了解情況，認為此漏洞的嚴重程度尚未達到需要立即處理的情況，而暫時沒有打算修補。對此，研究人員呼籲，用戶最好改用瀏覽器執行網頁版Teams來避免相關風險。

駭客鎖定遊戲玩家，透過YouTube頻道散布竊密軟體，並將受害電腦用於挖礦，還挾持其YouTube帳號向更多玩家發動攻擊

電玩遊戲的玩家遭到駭客鎖定，近半年已出現數起攻擊行動，如今有駭客濫用YouTube來引誘玩家上當。卡巴斯基發現有人鎖定逾20款熱門遊戲的玩家，在YouTube頻道以提供作弊工具或破解檔案的名義，來散布惡意軟體。這些熱門的遊戲包含了CrossFire、FIFA 22、Final Fantasy XIV等。

玩家一旦依照影片指示操作，將會下載RAR自解壓縮檔，內容包含了竊密軟體RedLine，以及挖礦軟體等，不只竊取玩家的瀏覽器資料，也看上這些電腦往往會安裝獨立顯示卡，而將其用於挖礦，此外，為了埋藏惡意軟體行蹤，駭客也濫用NirCmd來隱藏上述軟體的視窗。

值得留意的是，上述壓縮檔內含的軟體，還會挾持受害者的YouTube帳號，並濫用網頁瀏覽器的API上傳前述的影片，向其他玩家行騙，因此YouTube站方恐難以清除這種用來散布惡意軟體的影片。

駭客假冒日本國稅局發動網釣攻擊，恐嚇民眾欠稅將查封財產

駭客針對稅務的名義進行網釣攻擊，多半是以退稅引誘受害人上勾，但在日本出現了恐嚇手法的攻擊行動。資安業者揭露假冒日本國稅局的釣魚網站，駭客以彈出式訊息顯示警告訊息，佯稱瀏覽網站的使用者尚未繳納所得稅，必須在指定期限補繳，否則名下的不動產、汽車將會遭到扣押，而薪資也會被凍結。一旦受害者依照指示操作，對方就會要求以虛擬信用卡V-Preca付款，進而在送出資料的同時側錄信用卡資料。

但駭客不光針對電腦使用者發動攻擊，也透過網釣簡訊對行動裝置用戶下手──他們看到假借國稅局名義寄送的簡訊，假如iPhone用戶照做，駭客會引導到國稅局釣魚網站，要求受害者支付4萬日元所得稅；若是Android用戶點選簡訊連結，手機則會被引導到電信業者AU冒牌網站下載惡意程式。

Edge瀏覽器預設首頁的入口網站遭到鎖定，駭客 投放惡意廣告 發動網釣攻擊

駭客透過網頁廣告來發動釣魚攻擊的手法，最常見的應該是在Google搜尋引擎上的排名最佳化（SEO）廣告，但現在有人將目標轉移到Windows內建瀏覽器的預設首頁上。資安業者Malwarebytes揭露針對微軟Edge瀏覽器釣魚廣告攻擊，駭客買下「我的訂閱內容（My Feed）」頁面的廣告區塊來投放惡意廣告，引導用戶到冒牌網站，或是技術支援詐騙網站。

比較特別的是，在使用者點選連結的過程中，攻擊者的指令碼會先過濾目標，才引導到釣魚網站；而這些網站多半建置於雲端服務業者DigitalOcean，使得企業網路防護系統難以防堵。

巴基斯坦駭客組織GhostSec聲稱攻陷以色列境內55臺PLC設備

資安業者Otorio在9月4日發現，名為GhostSec的巴基斯坦駭客組織透過Telegram頻道宣稱，他們總共入侵了Berghof所製造的可程式化邏輯控制器（PLC），共有55臺設備遭駭，且皆位於以色列。

研究人員進一步調查發現，攻擊者很可能是透過弱密碼成功入侵這些控制器的管理介面，該公司認為，駭客可藉此掌控部分PLC功能，並影響部分的工業生產流程。

【漏洞與修補】

Adobe發布9月例行修補，公告63個漏洞的細節

Adobe於9月13日，針對Adobe Experience Manager、Bridge、InDesign、Photoshop、InCopy、Animate，以及Illustrator發布資安通告，總共修補63個漏洞。其中，與InDesign相關的漏洞最多，有8個重大、10個重要層級的漏洞；再者，存在於PhotoShop的漏洞共有10個，但有9個是重大漏洞。Adobe表示，上述漏洞目前尚未出現被用於攻擊行動的跡象。