【資安日報】2022年10月20日，中國駭客APT41利用Spyder Loader後門埋伏香港政府、微軟伺服器配置錯誤導致客戶資料外洩

香港政府也是中國駭客APT41監控的對象！由於駭客利用特定的後門程式發動攻擊，研究人員針對此後門程式與手法進行比對，此為該組織大規模網路間諜行動的其中一環。

駭客打造的後門程式竟出現了幾乎無法被偵測出來有害的情況！有人透過提供職缺申請表的名義散布此惡意軟體，較為罕見的是後門程式會將自己登錄為作業系統更新程序，而能規避偵測。

微軟因其中一臺伺服器配置不當，使得超過6.5萬家企業客戶資料也隨之曝光，很有可能是有史以來最嚴重的B2B資料外洩事故。

【攻擊與威脅】

中國駭客APT41利用惡意軟體Spyder Loader埋伏香港政府超過一年

資安業者賽門鐵克揭露中國駭客組織APT41（亦稱Winnti）的攻擊行動，專門針對香港的政府機關而來，駭客利用名為Spyder Loader的後門程式，在受害組織的網路活動一年以上。研究人員根據上述的惡意軟體進行分析，認為這次發現為今年5月揭露網路間諜行動Operation CuckooBees的一部分。

中國駭客DiceyF鎖定東南亞的網路賭場部署惡意框架

資安業者卡巴斯基揭露名為DiceyF的中國駭客組織，該組織自2021年11月，針對東南亞的網路賭場部署惡意框架GamePlayerFramework，該框架由另一款惡意軟體PuppetLoader改寫而成，具備下載惡意酬載、啟動惡意軟體、遠端存取功能、鍵盤側錄等能力，一旦成功入侵受害電腦，此框架就會每20秒向C2伺服器發送訊號，而C2一次可發出多達15個命令，且下載到此惡意框架的外掛元件都不會儲存到磁碟，使得受害者檢測更加困難。

研究人員發現幾乎不可能偵測的PowerShell後門程式

資安業者SafeBreach揭露一支Windows後門程式，此軟體為PowerShell指令碼，並具備自我偽裝機制，幾乎「無法偵測」，可能有百名使用者受害。這支後門程式被包裝在Word檔案Apply Form.docm，假借提供LinkedIn申請表單的名義，透過精準釣魚攻擊散布，檔案來自約旦，但不確定攻擊者的身分。研究人員指出，此惡意文件包含巨集，觸發後會下載指令碼，並將此指令碼註冊成Windows Update排程工作，藉此避過資安系統的偵測。攻擊者主要目的是竊取受害電腦資料，其次才是列舉AD用戶、RDP帳號。

微軟伺服器配置錯誤導致大規模外洩！逾6.5萬家企業資料因此曝險

錯誤設定的問題過往總是出在雲端服務用戶身上，如今竟然連專業的雲端業者自己也出現這類問題！資安業者SOCRadar於10月19日披露，他們偵測到Azure Blob Storage的配置錯誤，導致111個國家、逾6.5萬家企業的資料外洩，很可能是史上最嚴重的B2B資料外洩事件。這起事故完全是因為一臺伺服器的錯誤配置造成，該伺服器內含多臺SQL Server資料庫與各式檔案，總計約有2.4 TB的資料量，日期介於2017年至2022年的8月。研究人員在9月24日通報，微軟也證實此事，但強調非安全漏洞，獲報後已修復相關配置。

【攻擊與威脅】

美國針對研華、日立能源工控系統發布資安通告

美國網路安全暨基礎設施安全局（CISA）於10月18日，針對研華軟體管理平臺R-SeeNet、日立能源（Hitachi Energy）資產效能管理軟體APM Edge等2項工業控制系統的漏洞提出警告。與R-SeeNet相關的部分，是CVSS風險評分6.5分的路徑穿越漏洞CVE-2022-3385，以及CVSS風險評分達9.8分的記憶體堆疊溢位漏洞CVE-2022-3386、CVE-2022-3387，一旦遭到利用，攻擊者可遠端刪除系統資料或執行程式碼（因此這些弱點也是RCE漏洞）。CISA針對APM Edge的部分，則是公告了30個漏洞，最嚴重的為8.2分，若是遭到利用，有可能導致該系統無法存取。