【資安日報】2022年12月27日，逾4億筆推特用戶資料出現於駭客論壇、竊密軟體RisePro疑透過惡意軟體下載器PrivateLoader散布

推特於今年1月修補的漏洞，駭客在尚未修補之前運用的情況恐怕遠超過先前研究人員的發現！近日有人在駭客論壇兜售超過4億筆的推特用戶資料，與先前公布的資料不同之處在於，這次的資料量極為龐大，而且，賣家向推特喊話，要該公司把資料贖回。

美國電信業者Comcast Xfinity的用戶帳號遭竊的情況也相當值得留意，駭客疑似發動帳號填充攻擊，然後使用特製的動態密碼（OTP）繞過工具，而能成功挾持部分用戶的帳號，之後駭客還會對其他雲端服務下手，利用相同的帳密企圖入侵。

我們之前介紹過惡意軟體散布服務Pay-per-install，業者透過惡意軟體下載器PrivateLoader來散布客戶的惡意程式，最近有兩家資安業者發現名為RisePro的竊密軟體就以這種方式發動攻擊，且至少有2千臺電腦受害。

【攻擊與威脅】

駭客在去年利用推特漏洞竊取用戶個資料，影響範圍很可能再度擴大。根據資安新聞網站Bleeping Computer的報導，有人在12月23日於駭客論壇BreachForums上以2萬美元的價格，兜售4億筆推特用戶資料，並提供37個名人的資料讓買家比對（後來又再提供了1千筆資料）。

賣家警告推特執行長馬斯克，若不把資料買回去的話，很可能要面臨GDPR的巨額罰款。賣家表示，假如推特沒有買走這些資料，他們將會以6萬美元的價格賣給多個買家。而對於資料來源，賣家表示就是透過今年1月推特修補的漏洞取得。

威脅情報業者Hudson Rock指出，他們比對駭客提供的資料，研判應為真實資料，但無法確認駭客是否真的擁有如此龐大的資料庫。

根據資安新聞網站Bleeping Computer的報導，約自12月19日開始，有許多美國電信業者Comcast Xfinity的用戶收到通知信，告知他們的帳號資料出現更動的情況，隨後用戶便發現無法存取並向該電信業者通報，才得知自己的帳號遭到入侵，而且，駭客在用戶資料裡新增了YOPmail的電子郵件信箱。值得留意的是，受害者幾乎都啟用了雙因素驗證，但攻擊者卻能成功入侵並竄改密碼。

有不具名的研究人員向該新聞網站透露，此起事故很可能是帳號填充（Credential Stuffing）攻擊，一旦駭客成功存取該帳號，並收到雙因素驗證的請求，他們就會採用專屬的動態密碼（OTP）繞過工具，向Xfinity網站發出通過相關驗證的偽造訊息。有部分使用者發現，駭客在挾持他們Xfinity帳號後，便利用帳密資料嘗試存取DropBox、Evernote、Coinbase等雲端服務或加密貨幣交易所的帳號。

資安業者Palo Alto Networks揭露俄羅斯駭客組織Gamaredon（亦稱Trident Ursa）在8月底的入侵行動，駭客鎖定北大西洋公約組織（NATO）的大型煉油廠下手，所幸沒有成功。研究人員指出，這些駭客原本針對烏克蘭而來，並在釣魚郵件使用烏克蘭語，但後來他們看到該組織開始寄送英文版的釣魚郵件，原因是將攻擊範圍擴及北約國家。

研究人員也發現兩種附件型態的釣魚郵件，一種是透過內含RAR壓縮檔的HTML附件進行，一旦收信人依照指示點選壓縮檔裡的LNK檔案，駭客就會從惡意URL下載並執行HTA檔案、VBScript指令碼，進而對受害電腦進行遠端控制；另一種則是利用看似無害的Word檔案附件，收信人開啟後該文件會從遠端下載惡意範本檔案，此範本內含惡意巨集，目的是用來執行VBScript酬載。

資安業者Flashpoint、Sekoia先後針對竊密軟體RisePro揭露細節，駭客亦採用了Pay-per-install（PPI）服務下手，藉由PrivateLoader惡意軟體下載器散布，假借軟體破解與金鑰產生器的名義散布此竊密軟體。

Flashpoint指出，他們在12月13日看到有人將此竊密軟體偷到的2千餘組機密資料，在地下市集Russian Market進行兜售，根據對該竊密軟體的分析，研究人員認為RisePro是由另一款竊密軟體Vidar發展而來。

Sekoia則發現，RisePro與PrivateLoader的程式碼有30%相似，研判有可能是PrivateLoader的開發者打造了RisePro，或是兩個惡意軟體的開發者存在密切合作的關係。

根據紐約時報的報導，短影片社交平臺抖音（TikTok）的母公司字節跳動（ByteDance）於12月22日證實，母公司與美國分公司的4名員工，曾存取美國記者的個資而遭到解僱。該公司是在內部稽核的過程裡，發現有內部員工洩密，而存取BuzzFeed、金融時報的記者個資，包含了記者的IP位址與通訊記錄。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

新聞網站The Verge取得該公司內部信件，抖音法務長Erich Andersen向員工公布此事，並指出稽核與風險部門將重整；另有字節跳動執行長梁汝波，抖音執行長周受資也對此向員工發出信件說明。

【漏洞與修補】

思科研究人員揭露內容管理平臺Ghost的漏洞，其中最嚴重的是身分驗證繞過漏洞CVE-2022-41654，該漏洞可讓不具特權身分的使用者竄改電子報設定，發出未經授權的通知，而且能影響整個網站的所有使用者，CVSS風險層級達到9.6分。研究人員提出警告，由於該內容管理平臺預設允許管理者在電子報注入JavaScript，使得攻擊者能利用上述漏洞編輯電子報，並能建立管理者帳號。

研究人員公布的另一個漏洞是用戶枚舉漏洞CVE-2022-41697，駭客一旦利用，就有機會取得該網站所有使用者的電子郵件信箱，然後用於釣魚攻擊，CVSS風險層級為5.3分。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/154908