【資安日報】4月24日，美國、歐洲組織遭到惡意軟體EvilExtractor攻擊，駭客不只從瀏覽器Cookie竊密，還會加密檔案

駭客在惡意軟體整合不同領域的功能可說是越來越常見，例如，最近研究人員揭露惡意軟體EvilExtractor，攻擊者不只將它用於竊取受害電腦的資料，也將其用於加密檔案，並向受害者勒索。

網路電話系統製造商3CX傳出供應鏈攻擊的情況，日前傳出該公司遭駭的原因，是還有另一個軟體供應鏈攻擊引起，而且，研究人員表示還有其他組織受害。現在有另一家資安業者證實這樣的說法，並指出至少有4個關鍵基礎設施（CI）遭受相關攻擊。

【攻擊與威脅】

資安業者Fortinet揭露惡意軟體EvilExtractor的攻擊行動，駭客先是假借帳號確認請求為由寄送釣魚郵件，附件為gzip壓縮檔案，壓縮檔內容含有看起來像PDF文件的檔案，但實際為Python可執行檔案。

一旦受害者執行此可執行檔，將會啟動PyInstaller程式並執行惡意程式載入工具，透過Base64編碼的PowerShell指令碼啟動EvilExtractor。此惡意程式首度執行的時候，會先檢查系統的時間與主機名稱，來確認是否在虛擬電腦環境，若為真實電腦系統，該惡意程式才會繼續執行，下載3個額外的模組，用途是從瀏覽器的Cookie收集上網記錄及帳密資料，以及側錄鍵盤輸入的資料、控制視訊鏡頭及截取影像的能力。

此外，該惡意程式也具備加密檔案的勒索軟體功能Kodex Ransomware，此功能利用7-Zip將電腦的檔案轉換為受到密碼保護的壓縮檔，並索討價值1千美元的比特幣。

資安業者Secureworks揭露近期惡意軟體載入器Bumblebee的攻擊行動，駭客透過Google廣告，引誘使用者從釣魚網站下載思科AnyConnect Secure Mobility用戶端軟體，一旦使用者依照指示下載並執行此安裝程式，電腦就會被植入Bumblebee，為了避免讓使用者察覺異狀，該安裝程式亦會部署真正的AnyConnect Secure Mobility軟體。

研究人員在其中一起攻擊行動裡，看到攻擊者在成功入侵後的3個小時，開始在受害組織內部網路進行橫向移動，進而部署滲透測試工具Cobalt Strike、遠端桌面連線工具AnyDesk及DameWare、網路掃描工具、AD資料庫轉存工具、Kerberos帳密資料挖掘程式等。

資安業者Heimdal揭露針對北歐銀行用戶而來的釣魚簡訊（Smishing）攻擊行動，他們在4月20日，看到尚未確定身分的APT駭客組織發動攻擊，駭客發送簡訊，宣稱使用者必須更新手機上的數位身分驗證服務MitID的應用程式，否則有可能影響北歐銀行的App運作。一旦使用者點選簡訊裡的URL進行更新，就有可能上當。

資安業者McAfee從去年8月，追蹤名為Fakecalls的安卓惡意程式，其中1個版本濫用了韓國應用程式開發商的簽章，發出此簽章的公司業務遍及IT、電玩、行動支付、廣告等領域。不過，大部分的Fakecalls都是偽裝成銀行應用程式，目的很有可能是要騙走用戶的存款。

研究人員分析此惡意程式，發現駭客不只透過加殼來迴避分析，當他們解密後，看到攻擊者又從HTML檔案取得安卓套件（APK檔案）的資訊，讓研究人員難以調查。

一旦使用者執行上述惡意程式，此軟體就會要求安裝另一個App的訊息，若依照當中的指示進行之後，能讓惡意程式存取存放於特定資料夾的APK檔案introduction.html，並要求使用者開放9項存取權限，像是麥克風、電話記錄、地理位置、簡訊等。

感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑？ 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的

3月底網路電話系統製造商3CX傳出供應鏈攻擊，日前有資安業者發現源頭還有另一個X_Trader軟體供應鏈的事故，並指出在3CX之外還有其他組織也可能受到影響，但究竟有那些受害組織？

資安業者賽門鐵克指出，他們至少發現有4個關鍵基礎設施（CI）遭到攻擊，其中有2個是能源領域（美國、歐洲各有1個），另外2個是金融產業的組織。研究人員透露駭客入侵受害組織的手法，先是利用帶有數位簽章的安裝程式散布，然後於受害電腦部署後門程式。

【資安產業動態】

去年11月GitHub測試名為Private Vulnerability Reporting的漏洞通報功能，目的是讓資安研究員更容易向維護團隊通報儲存庫的弱點，該公司於4月19日正式開放上述功能，專案管理者可在儲存庫設定的程式碼安全與分析（Code Security and Analysis）項目啟用。

此外，GitHub也一併提供了儲存庫資安通告的API，以便資安研究員能將相同的漏洞資訊通報多個儲存庫。自上述功能開放測試，已有逾3千個組織、18萬個儲存庫試用上述功能。

【其他新聞】

近期資安日報

https://www.ithome.com.tw/news/156542