【資安日報】2022年12月29日，NFT投資人遭北韓駭客鎖定、研究人員揭露由動作感知器竊聽安卓手機的手法EarSpy

北韓駭客鎖定加密貨幣發動攻擊的情況不時傳出，最近有組織將目標轉向非同質化代幣（NFT）投資者身上。有資安業者在9月初發現大規模釣魚攻擊，這些駭客使用近200個網域來兜售惡意NFT，並在知名市集上架，而使得投資人可能降低警覺而受騙。

手機的揚聲器及動作感知器經過多年的發展，功能日益強大，但這也可能成為攻擊者監聽手機用戶的管道！有5所美國大學的研究人員揭露名為EarSpy的攻擊手法，就是利用動作感知器來收集揚聲器振動的頻率，來得知受害者通訊的對象特徵。

駭客投放Google廣告，以提供知名應用程式的名義來散布惡意軟體，但為何這些惡意廣告能躲過Google的審核機制？有資安業者指出，原因是駭客利用無攻擊特徵的masquerAds網域來上架廣告。

【攻擊與威脅】

NFT投資人遭北韓駭客鎖定，發動大規模網釣攻擊

區塊鏈資安業者SlowMist揭露北韓APT駭客組織的大規模網釣攻擊行動，他們在9月初看到有人鎖定非同質化代幣（NFT）投資者進行網路釣魚攻擊，隨後有研究人員Phantom X發現，這可能是北韓駭客組織所為，駭客聲稱利用196個網域，對以太坊（ETH）與Solana幣投資人下手，鑄造惡意NFT。

該資安業者進一步調查後得知，這些駭客在知名的NFT市集OpenSea、X2Y2、Rarible兜售上述的NFT，使用的惡意網域名稱則有近500個。SlowMist表示，駭客其中一個釣魚網址就竊得1,055個NFT，得手36.5萬美元。

研究人員揭露由動作感知器監控安卓手機的手法EarSpy

美國德克薩斯州A&M大學、紐澤西理工學院、天普大學、戴頓大學、羅格斯大學的研究人員聯手，公布名為EarSpy的攻擊手法，他們利用安卓手機的動作感知器，來截取手機揚聲器通話時的振動，進而識別來電者的性別與身分，甚至能判斷通話是否為私密。

此研究團隊使用OnePlus 7T和OnePlus 9兩款手機來實驗，並利用名為Physics Toolbox Sensor Suite的應用程式來截取加速器的資料，結果發現，這些資料經機器學習分析後，約能正確識別一些特徵，例如：針對性別識別的準確率達98%、來電者的身分也高達92%，至於識別通話內容說出的數字為56%。研究人員認為，隨著手機揚聲器與動作感知器功能日益增強，駭客也有機會藉此盜取部分的通話資訊。

駭客佯稱提供知名應用程式，濫用Google廣告散布竊密軟體

12月中旬FBI才警告濫用Google廣告來散布惡意軟體的手法，最近，資安業者Guardio揭露駭客組織Vermux的攻擊行動，指出他們大量使用位於俄羅斯的masquerAds網域，假借提供Grammarly、Malwarebytes、Afterburner等應用程式的名義，投放Google廣告，先引導使用者到無害的masquerAds網站，再重新導向至惡意網站來散布竊密軟體（Infostealer）。目標主要是美國民眾，企圖濫用受害電腦的顯示晶片運算資源，或竊取加密貨幣錢包。

研究人員指出，駭客利用masquerAds網站通過Google的審核機制，使用者不會看到這些網站就被重新導向。此外，為了規避受害電腦防毒軟體偵測，駭客會用知名檔案共享服務或程式碼代管服務，如：BitBucket、GitHub、Dropbox、OneDrive，也會將惡意軟體埋藏於合法應用程式的安裝檔案，並且頻繁小幅更動惡意軟體的程式碼。

駭客假借提供加密貨幣錢包BitKeep的安卓App，得手800萬美元

根據資安新聞網站Bleeping Computer的報導，去中心化金融（DeFi）加密貨幣錢包BitKeep的用戶遭到鎖定，有多名用戶在駭客觸發無須進行身分驗證的交易後，他們的錢包在聖誕節被洗劫一空。

對此，BitKeep在Telegram頻道證實此事，並指出這些受害者很可能從外部網站下載了安卓版BitKeep應用程式，下載到被植入惡意程式碼的APK檔案，而導致加密貨幣遭竊。根據區塊鏈資安業者PeckShield的調查，約有800萬美元的加密貨幣遭竊，其中又以泰達幣（USDT）達540萬美元最多。

北韓駭客組織假冒日本投顧來散布惡意程式

資安業者卡巴斯基揭露北韓駭客組織BlueNoroff近期的攻擊行動，他們在今年9月開始，看到該組織採用更多攻擊工具來散布惡意軟體。駭客利用逾70個網域，假冒日本投顧公司與銀行，主要目標疑似是當地的金融機構。

駭客使用了特製的Visual Basic程式碼、BAT批次檔案，以及惡意程式下載器，企圖繞過Windows檢查檔案是否來自網路（MoTW）的機制，然後於受害電腦以寄生攻擊（LoLBins）的手法植入惡意程式。此外，這些駭客也會運用ISO光碟映像檔與VHD虛擬磁碟檔來挾帶惡意程式。在此之前，這些駭客

針對劍橋分析事件的集體訴訟，Meta打算拿出7.25億美元和解

臉書（現Meta）於2018年傳出放任人格測驗App收集用戶個資，並將相關資料提供英國資料分析公司劍橋分析（Cambridge Analytica），用以發送政治廣告，共有8,700萬筆資料遭外洩。同年3月有臉書用戶集體向美國北加州地方法院控告，最近判決結果出爐，Meta決定拿出7.25億美元進行和解，這是美國賠償金額最高的隱私集體官司，亦為該公司賠償金額最高的集體官司。

【其他資安新聞】

證券交易所要求券商遵守資安規範，半年內再犯最重可罰400萬元

加密貨幣交易所FTX宣布破產數小時後遭駭，美國檢察官著手調查

美國路易斯安那州大型醫院遭勒索軟體攻擊，27萬病人資料外洩

電信業者Intrado傳出遭到勒索軟體Royal攻擊

數千臺Citrix伺服器存在重大漏洞

近期資安日報

【2022年12月28日】 GuLoader惡意軟體下載器又有新Shellcode規避偵測技術；台積電在年底前設置資安長一職

【2022年12月27日】 逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

【2022年12月26日】 容器驗證系統的弱點可被用於上傳惡意映像檔、WordPress禮物卡外掛程式重大漏洞出現攻擊行動