【資安日報】2022年12月16日，向量圖檔SVG被駭客用於偷渡惡意軟體QBot、臉書貼文被用於網釣攻擊鏈

駭客利用PNG、JPG、GIF等圖片檔案挾帶惡意軟體的手法，不時有事故傳出，但現在有研究人員發現，駭客開始運用SVG格式的向量圖片檔案做為媒介。與前述幾種檔案格式有所不同，SVG採用XML語言為基礎並支援嵌入JavaScript，而使得駭客更容易透過惡意JavaScript指令碼發動攻擊。

竊取臉書帳號的攻擊行動近期越來越頻繁，然而最近有新的手法出現，不僅幾可亂真，也能騙過大多數資安系統的檢查。研究人員揭露濫用臉書貼文的網釣攻擊，這些貼文號稱是臉書的技術支援中心，並誘導受害者到釣魚網站。

Mozilla基金會近期推出Firefox 108、Thunderbird 102.6，美國CISA提出警告，該基金會甫修補的漏洞已出現攻擊行動，使用者應儘速更新。

【攻擊與威脅】

思科的研究人員揭露惡意軟體QBot新的散布途徑，駭客利用向量圖檔SVG，並透過HTML挾持（HTML Smuggling）的手法來傳送這款惡意程式。駭客先是透過竊得的電子郵件，以回覆信件的型式進行釣魚攻擊，並挾帶HTML為附件，一旦收信人開啟該附件檔案，此HTML檔案將會載入SVG圖片，並執行此圖片裡面的JavaScript程式碼，建立惡意ZIP檔案，並向使用者顯示儲存檔案的對話框，收信人依照指示開啟壓縮檔案後，電腦便有可能感染感染QBot。

研究人員指出，與過往使用PNG、JPG圖片挾帶惡意程式有所不同的是，SVG是採用XML語言開發的向量圖檔，內含的HTML指令碼標籤會被視為合法功能，再加上QBot最終是在受害電腦上組裝，而能逃過網路安全系統的偵測。

資安業者Trustwave揭露新型態的臉書帳號釣魚攻擊手法Meta-Phish，駭客假借臉書客服的名義寄送釣魚郵件，聲稱收信人的臉書帳號部分功能遭到停用，原因是收信人發布的貼文違反臉書廣告服務條款，若不依照指示處理，帳號將在48小時被刪除。

一旦收信人照做，駭客會將其引至臉書使用者Page Support的貼文，並要求收信人點選貼文裡的URL填寫表單，一旦提交對方所要求的資料，駭客會透過Telegram機器人收集相關內容，進而接管此人的臉書帳號。此外，研究人員提到，為了確認收信人是否上鉤，駭客也濫用Google Analytics來追蹤進度。

資安業者與聯手，揭露大規模濫用開源套件庫的攻擊行動，有人在NuGet、NPM、PyPI套件庫上傳了144,294個惡意套件，並透過90個網域架設6.5萬個釣魚網站，目的是對開發者進行網釣攻擊。這些套件疑似透過自動化產生，因為，所有的套件發布者ID存在共通的命名規則，而且這些帳號上傳的套件數量幾乎相同。

開發者一旦安裝這些套件，將會被引導到各式各樣的釣魚網站，包含提供冒牌App、獎勵問卷、贈送禮物卡，有些人則被導向全球速賣通（AliExpress）的推薦連結。上述逾14萬個惡意套件，上傳到NuGet的最多，為136,258個；其次是PyPI的7,894個、NPM的212個。

資安業者Mandiant揭露自2022年5月出現的攻擊行動，名為UNC4166的駭客組織假借提供Windows 10的安裝光碟映像檔，在俄語與烏克蘭語Torrent共享網站上散布，一旦使用者依照指示安裝此作業系統，電腦就有可能被植入Stowaway、Beacon、Sparepart等後門程式，以便駭客能竊取電腦機密與檔案，並提供能對受害電腦持續存取的管道。

研究人員指出，從利用Windows作業系統安裝檔案來散布惡意軟體的手段，看似針對一般民眾而來，但攻擊者會分析受害電腦、確定電腦隸屬烏克蘭政府，之後才會對其發動進一步攻擊。

資安業者卡巴斯基在調查惡意軟體Deathstalker的過程裡，發現了自2020年開始行動的變種，此惡意軟體鎖定中東律師事務所的Windows、Mac電腦發動攻擊，並在2021年達到高峰。比較特別的是，駭客濫用YouTube、WordPress.com等多個雲端服務做為Dead-Drop Resolver（DDR），讓Deathstalker成功入侵受害電腦後，破解駭客埋下的訊息而能與C2中繼站連結。

架站教學網站Website Planet資安團隊與研究人員Jeremiah Fowler聯手，發現沒有密碼保護的資料庫，內含9,098,506筆交易記錄與個人資料（PII），包括購買人姓名、付款人姓名、部分信用卡卡號、到期日、電子郵件信箱、驗證碼等。經調查後，資安人員得知該資料庫所有者的身分：總部位於美國加州的Cornerstone支付系統，該公司獲報後，已採取保護措施。

全臺戶政資料外洩事件延燒，立委要求政府儘速對民眾說明

根據，有人在駭客論壇兜售全臺戶政資料，並強調是最新的版本而非舊資料，並標榜內有許多政要的詳細戶藉資料。，研判並非戶政司網站流出，駭客持有的是舊資料。但這樣的說明，難以解釋前述新聞媒體比對後，外洩資料符合民眾現況的情形。

對此，有立委在審查預算時，要求政府要進一步說明此事。，要求政府必須向全國人民說明個人資料被侵害的情況，以及已採取的因應措施。，指出國安局在調查報告裡坦承全臺戶政資料遭販賣的情況，而非內政部宣稱是2020年流出的舊資料，國安局發現這次外洩的資料已用於多起詐騙事件，政府應該要再進一步釐清狀況。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

【漏洞與修補】

12月13日Mozilla基金會發布Firefox 108、Firefox ESR 102.6、Thunderbird 102.6，當中修補了高風險漏洞CVE-2022-46878，這項漏洞是該基金會的開發人與模糊測試團隊發現，若不進行修補或緩解，將會導致記憶體中斷，而使得攻擊者有可能藉此執行任意程式碼。另一個同時出現在上述瀏覽器與收信軟體的高風險漏洞，還有CVE-2022-46872，攻擊者一旦成功利用，就有機會讀取任意檔案，不過，此漏洞只有Linux使用者受到影響。

，已有駭客將這次Mozilla修補的漏洞用於攻擊行動，並挾持受害電腦。

12月13日，西門子、施耐德電機發布本月例行修補公告，總共修補超過140個漏洞。其中，西門子發出20則資安通告，提出約140個漏洞的緩解措施，這些漏洞有超過半數與Scalance X-200RNA工控交換器產品線有關，超過80個存在於這些交換器採用的OpenSSL、OpenSSH程式庫元件，本次修補的漏洞涵蓋期間橫跨2013年至2019年，同時，他們也修補OpenSSL嚴重漏洞CVE-2022-3602。

同日施耐德電機也修補了6個漏洞，當中有4個存在於不斷電系統APC Easy UPS的監控軟體，其中的CVE-2022-42970、CVE-2022-42971的CVSS風險層級達到了9.8分。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/154770