【資安日報】2022年10月5日，電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道向中國用戶散布惡意Tor瀏覽器安裝程式

近期Ubisoft、Rockstar、2K Games等多家遊戲公司遭到網路攻擊，駭客主要的目的，不是竊取玩家的帳號資料，就是鎖定未上市的遊戲開發資料，藉此牟取利益；而針對遊戲廠商發動的DDoS攻擊則較為少見。最近暴雪娛樂的新遊戲「鬥陣特攻2」正式上線，就因為伺服器遭到DDoS攻擊，玩家面臨無法登入遊戲的情況而抱怨連連。

駭客利用YouTube頻道散布惡意程式的做法，之前不少是針對尋求遊戲破解的玩家而來，然而現在出現針對特定國家的攻擊行動──有人打著讓中國使用者能存取暗網的名義，散布帶有惡意程式的Tor瀏覽器。

近期針對開發者的攻擊可說是相當頻繁，駭客主要大多是針對他們使用的套件下手，但假如攻擊目標是套件管理器，很可能影響更為嚴重。研究人員揭露他們發現的PHP套件管理器漏洞，並指出一旦遭到利用，攻擊者就可用於植入惡意軟體。

【攻擊與威脅】

電玩業者暴雪娛樂剛正式上線的遊戲「鬥陣特攻2」出現玩家無法登入的現象，原因是該公司伺服器遭到DDoS攻擊

電玩業者暴雪娛樂的新遊戲「鬥陣特攻2（Overwatch 2）」甫於10月4日正式上線，卻傳出玩家登入時面臨冗長等待的情況。該公司執行長Mike Ybarra表示，原因是他們的伺服器遭到大規模DDoS攻擊，導致大量連線中斷或是不穩定的情形，該公司的團隊正著手處理。

而這起事故並非該公司首度因DDoS攻擊影響新遊戲運作──例如，2019年8月底推出的「魔獸世界經典版（World of Warcraft Classic）」，在9月8日傳出美國伺服器遭DDoS攻擊，而有許多玩家面臨斷線與嚴重延遲的情況。

駭客透過YouTube頻道向中國用戶散布惡意的Tor瀏覽器安裝程式

資安業者卡巴斯基揭露名為的OnionPoison攻擊行動，駭客鎖定中國的使用者，自今年的1月9日，開始透過中文YouTube頻道散布帶有惡意軟體的Tor瀏覽器，使用者一旦點選駭客提供的URL，就會下載74 MB的可執行檔，安裝後電腦就會被植入武器化的程式庫freebl3.dll，這些駭客企圖收集受害者的瀏覽記錄、社群網站帳號、無線網路SSID等資料，來挖掘受害者的真實身分。研究人員在今年3月開始偵測到有電腦受到感染。

但為何駭客會使用這種方法發動攻擊？原因很可能是Tor瀏覽器網站在中國遭到封鎖，中國使用者必須透過其他管道才能取得。

美國政府警告，國防單位遭駭客鎖定，透過惡意軟體CovalentStealer竊取機密

美國網路安全暨基礎設施安全局（CISA）於10月4日提出警告，由國家資助的駭客從2021年1月，利用惡意軟體CovalentStealer及滲透測試工具Impacket，企圖從該國國防工業基地旗下組織竊取敏感資料。

攻擊者疑似透過ProxyLogon漏洞入侵Exchange伺服器，然後搜尋電子郵件信箱的內容，過了1個多月再使用Shell進行偵察，不久後又在Exchange上部署多達17個中國菜刀Web Shell，而為了在受害組織的網路環境建立持久性並進行橫向移動，駭客使用Impacket來達成目的，最終，他們透過CovalentStealer將竊得資料外傳到檔案共用服務OneDrive。

【漏洞與修補】

PHP套件管理器的元件Packagist存在重大漏洞，恐被用於供應鏈攻擊

資安業者SonarSource指出，他們在今年4月，發現PHP套件相依性管理器Composer當中的核心元件Packagist，存在重大漏洞CVE-2022-24828，CVSS風險評分達8.8分，一旦攻擊者利用此漏洞，就能完全控制Packagist，進而左右開發環境所取得的相依套件，在受害電腦部署惡意軟體。

研究人員指出，由於PHP的開發人員使用Composer來管理套件很常見，此漏洞很可能影響範圍甚廣，他們粗估至少有百萬次套件更新請求可能會遭到挾持。開發團隊獲報後已為Composer推出1.10.26、2.2.12、2.3.5版予以修補。

Carlo Gavazzi停車場管理系統存在重大漏洞，攻擊者可取得完整的存取權限

資安業者Claroty發現，義大利工業自動化系統製造商Carlo Gavazzi旗下的CPY停車場管理伺服器系統與UWP 3.0監控閘道當中，總共存在11個漏洞，其中有6個CVSS風險評分高達9.8分，這些漏洞包含了寫死帳密、缺乏身分驗證、目錄穿越漏洞，以及SQL注入漏洞等，而有可能讓攻擊者用來完全控制目標系統。Carlo Gavazzi先後於今年4月及6月，發布修補版本的UWP 3.0及CPY。

【其他資安新聞】

澳洲電信業者Optus證實210萬客戶的身分證字號遭竊

Chrome瀏覽器的應用程式模式被用於網路釣魚攻擊

駭客組織Water Labbu入侵詐騙網站，轉走受害者的加密貨幣錢包

近期資安日報

【2022年10月4日】微軟針對Exchange零時差漏洞提出的緩解措施可被輕易繞過、美國防承包商遭勒索軟體BlackCat攻擊

【2022年10月3日】駭客設置冒牌財星500大企業資安長LinkedIn帳號、前IT人員竄改企業的網域配置遭起訴

【2022年9月30日】微軟Exchange伺服器又有零時差漏洞已被駭客鎖定、基於LNK散布惡意軟體的形式日益升溫