【資安日報】2022年9月26日，微軟SQL Server遭到勒索軟體Fargo鎖定、駭客假冒CI/CD平臺竊取開發者GitHub帳號

勒索軟體駭客鎖定特定的應用系統，做為入侵受害企業的管道，這樣的現象越來越頻繁。例如，有資安業者指出，名為Fargo的勒索軟體針對微軟SQL Server而來，駭客看上的就是這種資料庫系統可能沒有及時修補，或是使用弱密碼，而容易對其發動攻擊。

開發者遭到鎖定的情況近期也相當氾濫，但現在有人同時針對兩種系統的用戶發動攻擊。有人自9月中旬針對採用持續開發及持續整合平臺CircleCI、程式碼代管平臺GitHub的用戶發動釣魚郵件攻擊，並要求收信人透過CircleCI帳號存取GitHub，進而竊取受害者的程式碼。

協作平臺Atlassian Confluence的重大漏洞CVE-2022-26134再度遭駭客利用！研究人員發現將Confluence伺服器用於挖礦的攻擊行動，值得留意的是，這次駭客也運用了Linux漏洞PwnKit部署挖礦程式。

【攻擊與威脅】

微軟SQL Server被勒索軟體Fargo盯上！駭客疑似針對弱密碼與尚未修補的漏洞發動攻擊

資安業者AhnLab發現勒索軟體Fargo（亦稱Mallox）鎖定微軟SQL伺服器的攻擊行動，駭客先是透過命令提示字元（CMD）與PowerShell，來執行此資料庫的處理程序，下載由.NET編譯而成的惡意程式，進而在主機上植入更多作案工具。上述的惡意程式亦會產生BAT批次檔並於暫存資料夾執行，來關閉特定的處理程序及服務。接著，勒索軟體Fargo藉由注入名為AppLaunch.exe的應用程式執行，並加密主機的檔案。

研究人員認為，駭客很可能是針對SQL伺服器進行暴力破解攻擊，或是利用尚未修補的漏洞下手，得以入侵受害組織，他們呼籲企業應使用高強度的密碼，並更新SQL伺服器軟體等措施，來防堵相關攻擊。

盜取開發者的GitHub帳號有新手法，攻擊者鎖定CI/CD平臺下手

持續開發及持續整合平臺CircleCI提出警告，有人自9月15日開始，假冒CircleCI的名義發動釣魚郵件攻擊，宣稱該公司更新服務合約，收信人必須依照指示，透過CircleCI的帳號來登入程式碼代管平臺GitHub，才能繼續使用相關服務，一旦依照指示操作就有可能受害。CircleCI指出，駭客使用的網域是circle-ci[.]com（較合法網域多了破折號），要用戶提高警覺。

事隔數日，GitHub也於22日提出警告，表示相關攻擊行動仍持續發生，並表示駭客一旦得逞，就有可能迅速透過VPN下載程式碼儲存庫的所有內容。經調查後該公司已為受到影響的使用者重設密碼，並移除駭客設置的帳密。

Atlassian Confluence重大漏洞再度遭到利用！駭客將其搭配PwnKit發動挖礦攻擊

研究人員於6月發現鎖定協作平臺Atlassian Confluence的零時差漏洞CVE-2022-26134（CVSS風險評分為9.8分）攻擊行動，Atlassian也很快就予以修補，但事隔3個月，最近又有駭客看上這項漏洞並將其用於攻擊行動。

資安業者趨勢科技指出，他們偵測到鎖定此協作平臺的攻擊行動，駭客針對尚未修補漏洞的主機下手，進而濫用Java處理程序竄改環境變數、防火牆政策，然後透過Wget或Curl並搭配PwnKit漏洞（CVE-2021-4034），於受害主機部署挖礦軟體。研究人員認為，駭客很有可能將CVE-2022-26134用於其他攻擊行動，呼籲IT人員應儘速安裝修補程式。

攻擊Uber的駭客可能另有其人，有研究人員指出英國警方逮捕的青少年涉嫌發動相關攻擊

9月23日，英國警方宣布逮捕一名居住於牛津郡的17歲青少年，原因是他涉嫌從事駭客行為，這名青少年涉及兩項電腦不當使用的罪名，並符合兩種無法交保的條件而遭到起訴。

根據資安研究團隊VX Underground掌握的資訊，這名青少年就是攻擊車輛共乘媒合平臺Uber、電玩業者Rockstar的駭客。根據Uber的調查，攻擊者的身分是駭客組織Lapsus$，但這名駭客是否為該組織的成員？英國警方並未說明。

澳洲大型電信業者Optus遭駭，逾900萬客戶資料外洩

澳洲第二大電信業者Optus於9月22日遭到網路攻擊，並表明駭客的目標是該公司客戶資料。根據華爾街日報、衛報的報導，最嚴重的情況可能是當地所有客戶（約970萬至980萬人）資料遭到外洩。Optus指出，可能外流的資料包括客戶姓名、生日、電話號碼、電子郵件信箱，但密碼與付款資料不受影響，行動網路與家用網路的服務都未遭到波及。

【漏洞與修補】

Sophos修補已遭利用的防火牆RCE漏洞

資安業者Sophos於9月23日發布資安通告，指出旗下的防火牆解決方案存在程式碼注入漏洞CVE-2022-3236，這項漏洞出現在使用者入口網站與網站伺服器管理控制面板（Webadmin），一旦遭到利用攻擊者就能執行遠端程式碼（RCE）。該公司發布18.5 MR5、19.0 MR2，以及19.5 GA版防火牆軟體予以修補，並指出已有部分南亞組織遭到攻擊，他們已通報這些受害組織。

尚未修補的端點裝置管理系統漏洞遭到公開，微軟緊急提供更新程式

微軟於9月20日，針對端點裝置管理系統Endpoint Configuration Manager（原System Center Configuration Manager，SCCM）發布額外更新KB15498768，主要是修補CVE-2022-37972，CVSS風險評分為7.5分，影響2103至2207版，並表示漏洞細節已被公開，但尚未發現遭到利用的跡象，呼籲用戶要儘速修補。

究竟在修補的過程中，相關的漏洞細節是如何外流？微軟並未進一步說明。