【資安日報】4月24日，美國、歐洲組織遭到惡意軟體EvilExtractor攻擊，駭客不只從瀏覽器Cookie竊密，還會加密檔案

駭客在惡意軟體整合不同領域的功能可說是越來越常見，例如，最近研究人員揭露惡意軟體EvilExtractor，攻擊者不只將它用於竊取受害電腦的資料，也將其用於加密檔案，並向受害者勒索。

網路電話系統製造商3CX傳出供應鏈攻擊的情況，日前傳出該公司遭駭的原因，是還有另一個軟體供應鏈攻擊引起，而且，研究人員表示還有其他組織受害。現在有另一家資安業者證實這樣的說法，並指出至少有4個關鍵基礎設施（CI）遭受相關攻擊。

【攻擊與威脅】

美國與歐洲組織遭到惡意軟體EvilExtractor攻擊

資安業者Fortinet揭露惡意軟體EvilExtractor的攻擊行動，駭客先是假借帳號確認請求為由寄送釣魚郵件，附件為gzip壓縮檔案，壓縮檔內容含有看起來像PDF文件的檔案，但實際為Python可執行檔案。

一旦受害者執行此可執行檔，將會啟動PyInstaller程式並執行惡意程式載入工具，透過Base64編碼的PowerShell指令碼啟動EvilExtractor。此惡意程式首度執行的時候，會先檢查系統的時間與主機名稱，來確認是否在虛擬電腦環境，若為真實電腦系統，該惡意程式才會繼續執行，下載3個額外的模組，用途是從瀏覽器的Cookie收集上網記錄及帳密資料，以及側錄鍵盤輸入的資料、控制視訊鏡頭及截取影像的能力。

此外，該惡意程式也具備加密檔案的勒索軟體功能Kodex Ransomware，此功能利用7-Zip將電腦的檔案轉換為受到密碼保護的壓縮檔，並索討價值1千美元的比特幣。

駭客組織利用Google廣告散布BumbleBee

資安業者Secureworks揭露近期惡意軟體載入器Bumblebee的攻擊行動，駭客透過Google廣告，引誘使用者從釣魚網站下載思科AnyConnect Secure Mobility用戶端軟體，一旦使用者依照指示下載並執行此安裝程式，電腦就會被植入Bumblebee，為了避免讓使用者察覺異狀，該安裝程式亦會部署真正的AnyConnect Secure Mobility軟體。

研究人員在其中一起攻擊行動裡，看到攻擊者在成功入侵後的3個小時，開始在受害組織內部網路進行橫向移動，進而部署滲透測試工具Cobalt Strike、遠端桌面連線工具AnyDesk及DameWare、網路掃描工具、AD資料庫轉存工具、Kerberos帳密資料挖掘程式等。

北歐銀行用戶遭到網釣簡訊鎖定

資安業者Heimdal揭露針對北歐銀行用戶而來的釣魚簡訊（Smishing）攻擊行動，他們在4月20日，看到尚未確定身分的APT駭客組織發動攻擊，駭客發送簡訊，宣稱使用者必須更新手機上的數位身分驗證服務MitID的應用程式，否則有可能影響北歐銀行的App運作。一旦使用者點選簡訊裡的URL進行更新，就有可能上當。

安卓木馬Fakecalls濫用合法簽章迴避檢測

資安業者McAfee從去年8月，追蹤名為Fakecalls的安卓惡意程式，其中1個版本濫用了韓國應用程式開發商的簽章，發出此簽章的公司業務遍及IT、電玩、行動支付、廣告等領域。不過，大部分的Fakecalls都是偽裝成銀行應用程式，目的很有可能是要騙走用戶的存款。

研究人員分析此惡意程式，發現駭客不只透過加殼來迴避分析，當他們解密後，看到攻擊者又從HTML檔案取得安卓套件（APK檔案）的資訊，讓研究人員難以調查。

一旦使用者執行上述惡意程式，此軟體就會要求安裝另一個App的訊息，若依照當中的指示進行之後，能讓惡意程式存取存放於特定資料夾的APK檔案introduction.html，並要求使用者開放9項存取權限，像是麥克風、電話記錄、地理位置、簡訊等。

美國、歐洲關鍵基礎設施也傳出受到網路電話系統供應商3CX供應連攻擊波及

3月底網路電話系統製造商3CX傳出供應鏈攻擊，日前有資安業者發現源頭還有另一個X_Trader軟體供應鏈的事故，並指出在3CX之外還有其他組織也可能受到影響，但究竟有那些受害組織？

資安業者賽門鐵克指出，他們至少發現有4個關鍵基礎設施（CI）遭到攻擊，其中有2個是能源領域（美國、歐洲各有1個），另外2個是金融產業的組織。研究人員透露駭客入侵受害組織的手法，先是利用帶有數位簽章的安裝程式散布，然後於受害電腦部署後門程式。

【資安產業動態】

供資安人員通報GitHub儲存庫漏洞的功能正式上線

去年11月GitHub測試名為Private Vulnerability Reporting的漏洞通報功能，目的是讓資安研究員更容易向維護團隊通報儲存庫的弱點，該公司於4月19日正式開放上述功能，專案管理者可在儲存庫設定的程式碼安全與分析（Code Security and Analysis）項目啟用。

此外，GitHub也一併提供了儲存庫資安通告的API，以便資安研究員能將相同的漏洞資訊通報多個儲存庫。自上述功能開放測試，已有逾3千個組織、18萬個儲存庫試用上述功能。

【其他新聞】

Google Cloud平臺存在漏洞GhostToken，恐導致用戶帳號遭到挾持

阿里雲PostgreSQL資料庫出現2個重大漏洞

Kubernetes的API被用於植入後門程式

惡意軟體代打服務Faceless向網路罪犯出售匿名身分

思科修補工控系統的重大漏洞

近期資安日報

【4月21日】 久未發布軟體更新的網站平臺外掛可能淪為防禦破口，一支WordPress外掛慘遭濫用，被人用於植入後門程式

【4月20日】 Oracle發布2023年第2季例行更新，修補433個漏洞

【4月19日】 駭客挾持YouTube頻道散布竊資軟體Aurora，過程中利用惡意程式載入工具迴避資安系統偵測