【資安日報】4月18日，駭客組織Conti與FIN7成員另起爐灶，打造惡意軟體Domino來散布竊資軟體

曾遭到圍剿而銷聲匿跡的駭客組織，待風頭一過東山再起的情況再度傳出，而且還是不同組織之間的合作。例如，最近IBM的研究人員發現，前駭客組織Conti及FIN7的成員聯手開發了惡意程式Domino，並用於收集受害電腦的系統資訊，以便進行後續的攻擊行動。

針對網頁瀏覽器而來的竊資軟體攻擊，也同樣值得我們留意──資安業者Uptycs揭露俄羅斯駭客流傳的竊資軟體Zaraza Bot，並指出該惡意程式能針對38款瀏覽器的使用者組態檔案進行解密，進而竊取存放的各式帳密資料。

除了竊資軟體的攻擊行動，駭客散布惡意程式的手法也變得更加複雜，例如，研究人員發現，有人同時運用惡意PDF檔案及Windows指令碼來散布惡意軟體QBot，若收件者為了要檢視PDF文件內容而未及早察覺有異，即有可能依照指示執行指令碼而中標。

【攻擊與威脅】

IBM旗下的威脅情報團隊X-Force揭露名為Domino的惡意軟體，他們在追蹤利用Dave Loader惡意程式載入器的攻擊行動裡，發現駭客從2023年2月下旬，投放過往沒有記錄的惡意軟體，研究人員將其命名為Domino。

該惡意程式由Domino Backdoor、Domino Loader等兩個元件組成，前者會收集受害電腦的系統資訊，將其回傳攻擊者的C2伺服器之後，再將Domino Loader下載至使用者電腦；而Domino Loader則被用於部署竊資軟體Nemesis Project，在部分攻擊行動裡，駭客還會植入Cobalt Strike來維持在受害電腦運作。

究竟這場攻擊行動的幕後主使身分為何？根據程式碼的比對，研究人員推測是前勒索軟體駭客組織Conti，以及FIN7成員所為。

資安業者Uptycs揭露名為Zaraza Bot的竊資軟體，駭客透過俄羅斯駭客的Telegram頻道吸引用戶上門，此竊資軟體以C#打造而成，主要的攻擊目標是網頁瀏覽器，範圍包含了Chrome、Edge、Firefox、Brave、Vivaldi、Opera、Yandex等38款軟體。

研究人員指出，該竊資軟體鎖定上述瀏覽器的特定配置檔案下手，並能解開瀏覽器存放帳號密碼預設使用的兩種加密格式，再將這些資訊回傳攻擊者的Telegram頻道，讓駭客掌握受害者儲存於瀏覽器的帳密資料。此外，Zaraza Bot也具備截取螢幕畫面的能力。

資安研究團隊Cryptolaemus近日看到惡意軟體QBot新的攻擊行動，駭客先是透過釣魚郵件來挾帶PDF檔案，為了降低收信人戒心，這封信的內容是以回覆其他信件的形式打造。

一旦收信人開啟附件的PDF檔案，就會顯示此文件包含受到保護的內容，要求按下開啟按鈕。然而收信人照做，電腦就會下載含有Windows指令碼的ZIP檔案。若是收信人執行這個指令碼，攻擊者就會透過PowerShell指令碼在受害電腦部署QBot。

研究人員Kostas提出警告，駭客開始在攻擊行動裡濫用名為Action1的遠端管理平臺（RMM），並指出駭客可藉此得知受害組織網路環境裡的電腦詳細資訊，如作業系統版本、硬體配置、安裝的應用程式，以及尚未安裝的更新程式等，進而找到能夠滲透的管道。

資安新聞網站Bleeping Computer進一步追查，發現至少有3起勒索軟體攻擊行動裡，駭客利用了Action1來入侵受害組織。針對該遠端管理系統被用於攻擊行動的情況，Action1表示，他們去年開始利用人工智慧系統來檢測異常使用行為，來遏止這類惡意用途。然而，該公司顯然仍有很大進步空間，因為若真能有效攔阻，研究人員應該很難有機會發現這項工具遭濫用。

新聞網站Cyberwarzone揭露新的網路釣魚攻擊手法，駭客鎖定需要透過微軟Teams來查看薪資單的人士下手，他們設置貌似能以微軟帳號登入的釣魚網站，企圖竊取他們的微軟帳號資料。

感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑？ 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的

比較特別的是，為了騙取受害者信任，在他們存取這個釣魚網站的時候，駭客還裝模作樣地設置了reCAPTCHA的真人操作驗證機制，企圖阻止資安掃描機制，使其無法將其辨識為釣魚網頁。

資安業者Cyble揭露名為Chameleon的安卓惡意軟體，駭客將其偽裝成澳洲政府經營的加密貨幣交易所CoinSpot、波蘭銀行IKO的App，鎖定澳洲及波蘭使用者而來。

值得留意的是，駭客為了回避研究人員的分析，此惡意程式會先檢查目標裝置是否被奪走root最高權限、除錯模式是否啟用，若無上述功能開啟的情況，此惡意軟體才會向請求受害者開放Android輔助功能的權限，進而停用Google PlayProtect、防止使用者移除，並藉此擴張可運用的權限。

生產自動櫃員機（ATM）聞名的製造商NCR於4月12日，傳出旗下資料中心發生異常的情況，並於15日表示是勒索軟體攻擊所致，部分使用雲端PoS系統Aloha服務的飯店用戶受到影響，該公司進一步調查發現，另一款針對零售業提供的PoS系統Counterpoint也可能受到波及。不過，他們強調沒有客戶的系統或是網路受到影響。

而對於攻擊者的身分，研究人員Dominic Alvieri於4月14日發現，勒索軟體BlackCat（Alphv）聲稱成功入侵NCR，並表示取得該公司用戶環境的帳密資料，但很快就移除網站上的相關資訊。資安新聞網站SecurityWeek推測，很有可能雙方已經展開交涉。

資安新聞網站Cybernews的研究人員發現，汽車製造商Volvo的巴西經銷商Dimas Volvo在網站上曝露敏感資料，其中研究人員認為影響最嚴重的部分，是PHP網頁應用程式框架Laravel的金鑰，因為該金鑰可被用於解開加密的使用者Cookie，進而得知該經銷商用戶的帳密資料及連線階段（Session）ID，並挾持他們的帳號。

此外，該網站也曝露此經銷商的MySQL與Redis資料庫的主機IP位址、連接埠、帳號及密碼，而有可能讓更多人取得該公司的使用者資料。研究人員通報Dimas Volvo與Volvo總部，上述情況已獲得處理。

【其他新聞】

近期資安日報

https://www.ithome.com.tw/news/156455