【資安日報】2022年9月27日，中國駭客TA413利用後門程式Lowzero攻擊圖博人士、Zoom用戶成駭客散布惡意程式的攻擊目標

又是針對圖博人士的攻擊行動！有研究人員發現中國資助的駭客組織TA413發動的攻擊行動，這些駭客入侵受害組織的管道，先後運用了Sophos防火牆漏洞、MSDT元件漏洞Follina，並使用後門程式Lowzero進行網路間諜行動。在此之前，也有名為RedAlpha的中國駭客組織鎖定圖博社群而來。

下載視訊會議軟體也要當心！資安業者揭露駭客以架設冒牌Zoom網站的方式，向受害者散布竊密軟體。這樣的情況，先前也有針對加密通訊軟體Telegram用戶的攻擊事故。

【攻擊與威脅】

中國駭客TA413利用後門程式Lowzero攻擊圖博人士

資安新聞網站Recorded Future揭露中國駭客組織TA413鎖定圖博組織與人士的攻擊行動，駭客利用Sophos防火牆重大RCE漏洞CVE-2022-1040，以及MSDT元件漏洞Follina（CVE-2022-30190）入侵受害組織，進而於電腦植入後門程式Lowzero。

研究人員指出，有鑑於這些駭客在利用上述漏洞的期間，仍舊不時使用名為Royal Road的惡意RTF檔案產生器（該產生器利用微軟方程式編輯器2017至2018年的漏洞）發動攻擊，再加上他們發現至少有3組中國政府資助的駭客組織利用上述的Sophos防火牆漏洞，研究人員認為，這些駭客很可能透過相同管道取得多種作案工具。

開啟網址連結下載Zoom視訊會議軟體要小心！駭客下手透過冒牌網站散布竊密程式

資安業者Cyble提出警告，視訊會議系統Zoom的用戶遭到鎖定，駭客架設冒牌的Zoom網站並引誘使用者下載應用程式，且這些網站所使用的網域都有zoom字串，如：zoom-download[.]host、zoomus[.]tech，而難以判斷真偽。

研究人員指出，一旦受害者點選網站上的連結，將會下載存放於GitHub的壓縮檔Zoom.zip，經執行後就會在電腦上植入竊密軟體Vidar。研究人員呼籲用戶下載Zoom安裝程式之前應提高警覺。

DeFi業者開發的NPM套件被植入竊密軟體

9月23日，原名為WhiteSource的開源程式碼安全業者Mend，發現去中心化（DeFi）平臺dYdX所持有的NPM帳號，上傳了數個套件的新版本，但這些套件都含有惡意程式碼，一旦用戶安裝，電腦就會被植入竊密軟體。

究竟駭客如何竄改這些套件？研究人員推測，有可能透過其他攻擊事件偷到該公司的NPM帳密而得逞，並認為此起事故是供應鏈攻擊。

駭客組織Metador鎖定中東與非洲的電信業者、ISP、大專院校發動攻擊

資安業者SentinelOne揭露名為Metador的駭客組織，該組織主要的攻擊範圍是中東與非洲，並針對電信業者、ISP、大專院校下手，這些駭客在攻擊的過程中會繞過受害組織的資安系統，並透過寄生攻擊（LOLBins）的方式，濫用Microsoft Console Debugger（CDB.EXE），將惡意軟體框架直接部署於記憶體內，目的是進行長期的間諜行動。研究人員總共發現兩款惡意軟體框架metaMain、Mafalda，也有鎖定Linux主機的惡意軟體。

至於攻擊者的來源，該公司表示駭客使用英文和西班牙語，且實力雄厚，而能發展極為複雜的攻擊工具，但他們難以判斷攻擊者的身分。

中科院技師下載軍事機密，並在被逮捕前刪除相關資料

國家中山科學研究院傳出洩露軍事機密，卻因為檔案遭到刪除而無法判斷受害情形。根據聯合新聞網、公視、自由時報等媒體的報導，中科院系統發展中心彭姓技術師涉嫌於2018年，複製機密資料於個人資料夾，內容包含國家機密事務人員名冊、無人登月機、雄三飛彈性能提升報告等，中科院隔年6月察覺此事祭出停權處分，但彭男仍在中科院服務至2020年底才離職。

這起重大洩密案件原本由臺灣高等檢察署調查，卻因為彭男後來在2020年偷用同事帳號刪除相關資料，而無法認定竊取的資料是否涉及機密，最後由桃園地檢署以刪除公務電腦電磁紀錄罪起訴，一審判刑8個月。中科院也發布新聞稿證實此事，表示尊重司法判決，並承諾加強相關機密的保護措施。

【漏洞與修補】

DNS軟體BIND存在漏洞，恐被用於DoS攻擊

網際網路系統協會（ISC）於9月21日發布資安通告，他們針對旗下的DNS軟體Berkeley Internet Name Domain（BIND）修補6個漏洞，這些漏洞都有可能被用於遠端攻擊。該協會指出其中有4個漏洞為高風險層級，且會導致服務阻斷（DoS），這些漏洞是CVE-2022-2906、CVE-2022-3080、CVE-2022-38177，以及CVE-2022-38178。

ISC發布BIND 9.16.33、9.18.7、9.19.5來修補上述漏洞。美國網路安全暨基礎設施安全局（CISA）也提出呼籲，DNS伺服器管理者要儘速檢視上述高風險漏洞的資安通告，並採取緩解措施。

【其他資安新聞】

伊朗駭客以銀行點數獎勵為幌子，針對印度安卓手機用戶散布惡意軟體

研究人員於Google及蘋果App市集上發現逾80款詐騙程式

竊密軟體Erbium假借遊戲破解或作弊工具散布

近期資安日報

【2022年9月26日】  微軟SQL Server遭到勒索軟體Fargo鎖定、駭客假冒CI/CD平臺竊取開發者GitHub帳號

【2022年9月23日】  勒索軟體BlackCat鎖定備份系統竊取資料、存在15年的Python漏洞恐影響35萬個開源專案

【2022年9月22日】  駭客以LinkedIn的付費版功能散布惡意連結、勒索軟體LockBit的製作工具遭到外洩