【資安日報】2022年11月9日，沙烏地阿拉伯遭駭客組織Justice Blade鎖定、惡意瀏覽器擴充套件Cloud9鎖定Chrome而來

先前SolarWinds鎖定IT業者下手並對政府機關與大型企業攻擊的事件震驚全球，類似資安事故如今又再度出現在中東地區。駭客組織Justice Blade攻擊IT服務業者Smart Link BPO Solutions，目標是沙烏地阿拉伯與海灣阿拉伯國家合作委員會會員國的組織。

這幾天也傳出親巴基斯坦駭客APT-36攻擊印度政府機關，引發關注。攻擊者以提供當地政府推出的雙因素驗證應用程式Kavach來散布後門軟體，但值得留意的是，駭客同時濫用Google廣告而使人上當。

透過瀏覽器惡意擴充套件來發動攻擊的活動，最近又出現。研究人員發現名為Cloud9的惡意套件，Chrome使用者若是不慎安裝，所操作的電腦就有可能遭到控制。

【攻擊與威脅】

沙烏地阿拉伯遭駭客組織Justice Blade鎖定，透過IT服務業者發動供應鏈攻擊

根據資安新聞網站Security Affairs的報導，自稱是Justice Blade的駭客組織公布從IT服務供應商Smart Link BPO Solutions竊得的資料，內內含客戶關係管理系統（CRM）的記錄、個資、電子郵件、合約，以及帳密資料。駭客亦建立Telegram帳號及私人頻道，發送成功入侵的螢幕截圖與影片，此起攻擊很可能是鎖定特定目標的網路入侵活動，導致該公司AD、內部應用程式與服務受到波及。

由於Smart Link BPO Solutions的客戶遍及沙烏地阿拉伯及海灣阿拉伯國家合作委員會（GCC）會員國的政府機關與主要企業，這起事故的後續影響有待觀察。在此之前，資安業者Resecurity曾在地下市集看到Smart Link BPO解決方案的多個帳號資料，他們研判Justice Blade很有可能從這些市集取得相關資料並發動攻擊。

印度政府組織遭APT-36發動攻擊，駭客濫用Google廣告來散布後門程式

資安業者Zscaler揭露親巴基斯坦駭客APT-36（亦稱Transparent Tribe）的攻擊行動，駭客針對印度政府組織而來，假借提供當地政府的雙因素驗證（MFA）工具Kavach，並透過Google搜尋引擎最佳化（SEO）廣告，來散布後門程式LimePad，以竊取電腦資訊。

一旦受害者執行了冒牌的Kavach安裝檔案，此安裝程式會先檢查電腦時區，確認位於印度標準時區（IST）才執行相關攻擊──先下載第二階段的Python指令碼，再執行實際的Kavach安裝程式來降低戒心，然後才經由Python指令碼下載後門程式。研究人員指出，駭客不光是在受害電腦植入後門程式，還設置冒牌的印度國家資訊中心（NIC）網站，來騙取受害者的帳密。

印度國防人員遭到國家級駭客以安卓木馬攻擊

資安業者Cyfirma揭露針對印度國防人員的攻擊行動，駭客約自2021年7月，透過Spymax RAT安卓木馬程式變種發動攻擊，一旦受害者依照指示安裝APK檔案，手機就會出現貌似Adobe Reader的應用程式，此App開啟後，內有與國防人員晉升相關的PDF檔案，藉此降低受害者的戒心。但在這個過程裡，駭客已部署了Spymax RAT進行跟蹤，並取得各式權限。

研究人員指出，有鑑於駭客的目標是國防人員，且目的是竊密，他們推測攻擊者的身分是國家級駭客，但無法確認是那個組織所為。

惡意擴充套件Cloud9鎖定Chrome而來，可讓攻擊者遠端控制受害電腦

資安業者Zimperium揭露名為Cloud9的惡意瀏覽器擴充套件，駭客組織Keksec假借提供Adobe Flash Player軟體更新，或是提供其他應用程式的名義，透過惡意網站散布，針對以Chromium為基礎開發的瀏覽器下手。

一旦使用者依照指示安裝此擴充套件，攻擊者就能進行系統資訊收集，並將電腦的運算能力用於挖礦，或是發動DDoS攻擊等，此外，駭客還能執行外部的JavaScript程式碼，甚至有可能進一步控制整臺電腦。研究人員指出，Cloud9由3個JavaScript程式碼檔案組成，功能與許多RAT相似，但比較特別之處在於，駭客也鎖定Firefox、IE、Edge的特定漏洞而來，企圖藉此自動部署惡意軟體，以便進行更嚴重的破壞。