【資安日報】8月25日，北韓駭客Lazarus鎖定歐洲、美國組織，利用Zoho ManageEngine服務臺系統漏洞發動攻擊

北韓駭客Lazarus近期的動作頻頻，不時傳出對於臨近的韓國，以及位於地球另一端的歐洲國家發動攻擊，而最近研究人員揭露的新一波攻擊行動，是針對IT服務臺系統Zoho ManageEngine ServiceDesk而來。值得留意的是，駭客在漏洞公布的數天後，就將其用於攻擊行動，而讓尚未修補的企業組織措手不及。

另一方面，研究人員發現駭客也改良了作案工具，使得在上述攻擊行動出現的惡意軟體行蹤更難察覺。

【攻擊與威脅】

思科威脅情報團隊Talos發現，北韓駭客組織Lazarus鎖定IT服務臺系統Zoho ManageEngine ServiceDesk而來，他們利用重大漏洞CVE-2022-47966（CVSS風險評分為9.8）發動攻擊，目標是歐洲及美國的網際網路基礎設施供應商、醫療保健機構。

研究人員在今年初看到駭客入侵歐洲網際網路基礎設施供應商，並成功於受害組織部署惡意程式QuiteRAT，後續他們調查駭客的基礎設施，發現這個攻擊團體同時打造另一款惡意程式CollectionRAT。

分析它們的特性之後，研究人員指出，QuiteRAT可能是MagicRAT的改良版本，功能大致相同但程式碼較為精簡，且縮減使用的Qt程式庫，使得本體從18 MB降為4 MB；CollectionRAT則是從EarlyRAT衍生而來，其特色是整併了Microsoft Foundation Class（MFC）程式庫，而能動態解密並執行程式碼，進而迴避資安系統偵測。

資料來源

1. 
2. 

資安業者Secureworks揭露名為Whiffy Recon的惡意程式，他們發現建置殭屍網路Smoke Loader的駭客，約自8月8日開始向感染病毒的電腦投放此Wi-Fi掃描工具，藉由電腦附近的Wi-Fi節點，並將相關資料透過Google的地理位置追蹤API進行定位。

一旦電腦被植入Whiffy Recon，就會先偵測是否存在名為WLANSVC的服務，然後透過機器人程式向C2伺服器註冊，接著每分鐘執行一次Wi-Fi無線網路的掃描，濫用Windows作業系統的WLAN API收集所需資料，並向Google的地理位置定位API發送HTTPS POST請求，提供Wi-Fi節點的資料。待Google回傳對應的坐標位置後，該惡意程式會向C2回傳受害電腦的無線網路與地理位置資訊。

資安業者Malwarebytes揭露新一波的惡意軟體DarkGate攻擊行動，駭客透過惡意廣告及搜尋引擎最佳化中毒（SEO Poisoning）手法，假借提供網管工具Advanced IP Scanner的名義來散布DarkGate。

一旦使用者從駭客的網站下載安裝程式並執行，就有可能在安安前述的網管工具過程中，電腦也被植入惡意程式。研究人員後來又看到數起DarkGate的攻擊行動，其共通點是駭客所提供的安裝程式當中，皆包含了Autoit指令碼，並將惡意酬載進行混淆處理而能迴避防毒軟體偵測。

資安業者ESET揭露名為Telekopye的Telegram機器人，駭客將其用於發動自動化的網路釣魚攻擊，透過範本檔案產生釣魚網頁，然後寄送URL給目標使用者。

研究人員找到多個版本的Telekopye，駭客很可能從2015年就開始使用這套機器人工具，捏造eBay、BlaBlaCar 、YULA、OLX的購物網頁，一旦使用者上鉤，在駭客的付款網頁上輸入信用卡或借記卡的資料，此機器人就會將其用來洗劫被害人，然後透過加密貨幣洗錢，最終統籌贓款。另一種釣魚手法則是鎖定賣家而來，說服他們必須支付押金才能收到貨款來行騙。

屏東借錢。感應門神,推薦沙發修理,老師傅的專業手工!測試專家告訴你如何好好使用示波器。大阪包車好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!屏東借款！如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享！專業客製化禮物、贈品設計，辦公用品常見【L夾】搖身一變大受好評!日本包車台灣護照代辦申辦工作天及價錢!空壓機合理價格為您解決工作中需要。貨櫃屋，結合生活理念、發揮無限的創意及時尚的設計。三個月單次觀光泰國簽證需準備哪些資料?竹北床墊推薦！總是為了廚餘煩惱嗎？雅高環保提供最適用的廚餘機，滿足多樣需求。沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的?為什麼辦理台胞證需要護照正本?屏東軍公教借款各家評價及利息一覽表。東京包車。三洋服務站全台據點。

資安業者Barracuda於5月20日派送更新程式，遠端修補郵件安全閘道ESG的重大漏洞CVE-2023-2868（CVSS風險評為10分），後來在6月7日呼籲用戶更換設備，現在美國政府也提出類似的看法。

美國聯邦調查局（FBI）於8月23日發布資安通告，指出由於迄今中國駭客積極利用上述漏洞發動攻擊，再加上Barracuda提供的更新程式無法助緩解已遭到攻擊的系統，他們呼籲用戶應儘速隔離並更換所有受到影響的ESG系統，並掃描網路環境是否出現遭到入侵的跡象。

【漏洞與修補】

資安業者Tenalbe在Rockwell Automation的精簡用戶端設備管理系統ThinManager上，發現CVE-2023-2914、CVE-2023-2915、CVE-2023-2917，CVSS風險評分介於7.5至9.8。這些漏洞出現在遠端桌面連線（RDP）伺服器的管理元件ThinServer上，由於未進行正確的輸入驗證，而可能導致該系統發生記憶體整數溢位，或是造成路徑穿越的情形，攻擊者有可能藉此來發動阻斷服務攻擊，或是利用系統權限刪除任意檔案，或是上傳檔案到部署ThinServer的磁碟。

研究人員指出，利用這些漏洞必備條件是存取目標伺服器所在的網路環境，之後就有機會完全控制ThinServer。由於這套系統通常被用於監控OT環境的人機介面（HMI），攻擊者很有可能藉著漏洞入侵HMI，甚至進一步攻擊網路環境裡其他的設備。對此，美國網路安全暨基礎設施安全局（CISA）於8月22日發出警告，呼籲企業組織應儘速套用緩解措施。

資料來源

1. 
2. 

【其他新聞】

近期資安日報

https://www.ithome.com.tw/news/158448