【資安日報】2022年12月21日，駭客利用新手法OWASSRF入侵Exchange、烏克蘭軍事情報系統遭駭客鎖定

針對資安業者在9月底揭露ProxyNotShell漏洞，微軟雖然提供了修補程式與緩解措施，但現在傳出這些做法已被駭客繞過！資安業者CrowdStrike發現駭客運用了名為OWASSRF的手法來攻擊Exchange，並指出有別於原本駭客濫用自動探索（Autodiscover）來觸發ProxyNotShell，這次濫用的是該系統的網頁版郵件管理介面OWA來達成目的。

駭客利用竊密程式來偷取各式資料的情況可說是相當氾濫，而這樣的工具也可能被用於攻擊軍事系統──烏克蘭電腦緊急應變小組（CERT-UA）揭露針對軍事情報系統而來的竊密軟體攻擊，駭客佯稱更新電腦憑證的名義來下手，企圖盜取軍人電腦裡的相關帳密資料。

現今熱門的AI機器人ChatGPT能力強大，但很有可能成為駭客濫用的目標！有研究人員進行實際驗證，利用該機器人打造釣魚郵件及惡意附件，藉此警告這樣的工具有可能遭到濫用。

【攻擊與威脅】

資安業者CrowdStrike調查勒索軟體Play的攻擊行動裡，發現駭客利用新的手法OWASSRF來攻擊Exchange，進而繞過微軟為ProxyNotShell漏洞（CVE-2022-41080和CVE-2022-41082）的緩解措施，濫用網頁版郵件管理介面Outlook Web Access（OWA）來遠端執行任意程式碼（RCE）。在成功入侵受害組織後，駭客便利用遠端存取工具Plink、AnyDesk來維持存取的管道，並於Exchange上採取反制取證的手法，來隱匿攻擊行動。

該公司根據研究人員Dray Agha發現駭客的概念性驗證（PoC）工具進行分析，認為駭客利用的漏洞，很可能也與微軟今年11月修補的CVE-2022-41080有所關連。

烏克蘭電腦緊急應變小組（CERT-UA）於12月19日提出警告，該國用於進行軍事情資收集的管理系統Delta遭到鎖定，駭客對操作該系統的軍事人員發送釣魚郵件，聲稱使用者必須更新憑證才能繼續使用此情資系統，並在附上安裝說明的PDF檔案，內有下載憑證的URL，一旦收信人依照指示操作，電腦就有可能被植入竊密軟體StealDeal，以及FTP檔案竊密工具FateGrab。

CERT-UA指出，為了降低收信人戒心，駭客所提供的憑證部署工具，具有看似正常的安裝流程──先是產生數個DLL程式庫檔案，然後啟動ais.exe執行「安裝」，而這些作案工具駭客濫用VMProtect軟體保護機制加殼，使得防毒軟體難以偵測。

資安業者ReversingLabs揭露惡意PyPI套件攻擊行動SentinelSneak，駭客疑似假借提供資安業者SentinelOne軟體開發套件（SDK）名義，自12月11日至13日，陸續在PyPI套件庫發行一款名為SentinelOne的惡意Python套件，總共被下載超過1千次。

研究人員進一步分析指出，此套件內含SentinelOne用戶端安裝程式與後門程式，但為了回避偵測，程式庫的相關惡意功能不會在此套件部署時就觸發，而是在編譯程式碼的過程才會啟動。該後門程式將會收集開發者在電腦上執行的Shell命令記錄，這些命令很有可能包含了SSH金鑰、Git、K8s、AWS服務的帳密。

資安業者Phylum在11月初，揭露濫用PyPI套件庫散布W4SP竊密程式的攻擊行動，但如今手法出現了變化。研究人員最近發現駭客於PyPI平臺發布一批惡意套件，這些套件被用於散布Satan Stealer、ANGEL Stealer、Leaf $tealer、@skid STEALER、Fade Stealer等竊密軟體，但進一步比對後，上述皆為W4SP的變種，駭客只是將W4SP的名稱換掉。

而對於攻擊者的身分，研究人員表示仍有待進一步調查，但這些駭客似乎在仿效W4SP的攻擊手法，他們研判並非11月初事件的那批駭客所為，而是另有其人。

席捲全球的聊天AI機器人ChatGPT具備創作、翻譯、編寫程式碼的能力，但水能載舟亦能覆舟，駭客也有可能將其用於攻擊行動。資安業者Check Point揭露了濫用ChatGPT的攻擊手法，他們先是要求ChatGPT冒充一家公司，再反覆訓練產生含有惡意Excel檔案的釣魚郵件，以及替Excel檔案製作攻擊所需的惡意VBA程式碼。

經過這番訓練過程，研究人員便能藉此聊天機器人產生帶有惡意Excel檔案的釣魚郵件，一旦收信人上鉤，駭客就能在電腦部署反向Shell及對應的程式碼，進而控制受害電腦。研究人員認為，這樣的AI機器人將有可能改變網路威脅態勢。

中國電動車業者蔚來於12月20日發出聲明，表示他們遭到勒索，對方聲稱握有該公司的內部資料，要求支付價值225萬美元的比特幣，來換取資料不被公開。該公司初步調查後得知，遭竊資料為2021年8月以前中國的使用者與車輛銷售資料，並向監管機關通報。不過，該公司並未透露有多少人士遭到這起資料外洩事故影響。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

12月上旬立委召開記者會呼籲政府應積極說明全臺戶政資料外洩處理狀況，當時也提到同個駭客論壇上，有人兜售2800萬筆勞保資料。對此，勞動部勞工保險局於19日做出說明，經過比對後，駭客的資料與他們持有的內容、特徵、格式並不相符，研判並非勞保局資料庫的資料，相關調查單位初步排除該網站資料是勞保局的資料檔。此外，他們的資料庫也沒有遭到攻擊的記錄，勞保局研判無資料外洩情事。

【漏洞與修補】

微軟安全威脅情報小組（Microsoft Security Threat Intelligence）揭露向蘋果通報的macOS漏洞Achilles（CVE-2022-42821），一旦遭到利用，攻擊者就能繞過該作業系統的應用程式檢測機制Gatekeeper，進而於受害電腦執行惡意程式，影響2017年以後生產的所有Mac電腦。蘋果獲報後發布macOS Ventura 13、macOS Monterey 12.6.2、macOS Big Sur 11.7.2修補。

研究人員警告，對於濫用Achilles的攻擊，macOS Ventura用於保護高風險人士的封閉模式（Lockdown Mode），並無法抵禦此類手法，使用者應儘速安裝相關更新因應。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/154819