【資安日報】2022年7月20日，俄羅斯駭客APT29濫用檔案共享服務規避偵測、間諜軟體CloudMensis鎖定Mac電腦而來

烏克蘭戰爭已經進行快5個月，俄羅斯駭客的網路攻擊行動也持續進行，今天有不少新聞是與俄羅斯駭客的攻擊行動有關。其中，又以駭客組織APT29針對外交使館的攻擊手法相當引人注目，因為這些駭客在過程中利用了兩個檔案共享服務Dropbox、Google Drive，來進行不同階段的攻擊行動。

鎖定Mac電腦的惡意軟體CloudMensis也相當值得留意，駭客濫用了檔案共享服務Dropbox、Yandex、pClould來架設C2，並搭配macOS已知漏洞來發動攻擊。研究人員認為，攻擊者還有可能利用其他漏洞來繞過macOS的防護機制，呼籲用戶要將作業系統升級到最新版本。

駭客組織8220的動作頻頻，而最近有資安業者指出，駭客建置的殭屍網路規模，較一年前增加15倍，研究人員認為，此舉與加密貨幣價格不斷下跌有關，使得駭客要擴大規模來維持營收。

【攻擊與威脅】

為了隱匿攻擊行動，駭客組織濫用檔案共享服務的情況越來越頻繁。資安業者Palo Alto Networks 指出，俄羅斯駭客APT29（亦稱Nobelium、Cozy Bear）今年5月初至6月針對西方外交使團、全球駐外大使館的攻擊行動裡，濫用了Google Drive與Dropbox，散布惡意HTML檔案EnvyScout，並進一步在受害電腦投放Cobalt Strike與其他惡意軟體。研究人員向Google、Dropbox通報，兩家業者已封鎖相關攻擊行動。

在烏克蘭戰爭裡，力挺烏克蘭的人士會想要利用DDoS攻擊工具，來癱瘓俄羅斯的網路，意圖牽制該國的軍事行動。對此，俄羅斯駭客曾經以散布DDoS攻擊工具為由，鎖定聲援烏克蘭人士的電腦植入惡意軟體，而現在駭客也針對這些人士的手機下手。

Google發現俄羅斯駭客組織Turla，近期以提供Cyber Azov安卓手機DDoS攻擊工具的名義，對想要癱瘓俄羅斯網路基礎設施的人士下手。而Turla製作Cyber Azov的模仿對象，很可能就是名為StopWar的安卓App。

中國駭客疑似大肆針對西方國家進行攻擊的情況，最近再度上演。比利時外交部於7月18日控訴，中國政府支持的多個駭客組織：Gallium、APT27、APT30、APT31，鎖定該國的國防部與內政部下手，並要求中國政府出面處理，但除此之外並未對網路攻擊事故進一步說明。對此，中國駐比利時大使館予以否認，認為這是比利時的不實指控。

駭客鎖定Mac電腦開發後門程式，並繞過了macOS作業系統的防護機制來洩露資料。資安業者ESET在今年4月發現名為CloudMensis的惡意軟體，駭客主要將其用於從Mac電腦竊密，此惡意軟體具備截圖螢幕畫面、列出電子郵件與附件內容、列出外接儲存裝置檔案，並能透過Shell命令將資料上傳到雲端檔案共享服務。此外，駭客透過Dropbox、Yandex、pClould等檔案共享服務架設C2，而難以追蹤攻擊來源。

研究人員發現，此惡意程式藉由CoreFoundation漏洞CVE-2020-9934，能繞過macOS的Transparency Consent and Control（TCC）機制，而能在不需使用者授權的情況下，取得螢幕截圖與鍵盤輸入的資料。研究人員指出，雖然CVE-2020-9934已得到修補，但駭客還有可能利用其他漏洞來繞過TCC，呼籲用戶使用最新版本的macOS來降低風險。

駭客鎖定遊戲產業下手的情況，可說是越來越常見。根據新聞網站Motherboard的報導，有駭客公開了4 GB的文件檔案，內容疑似是電玩遊戲Roblox創作者的電子郵件信箱、身分證明文件，以及表單。Roblox向該新聞網站表示，這些資料很可能是因為他們拒絕了駭客的勒索而被公開，他們已尋求外部資安專家進行合作，並強化他們的系統來防堵相關攻擊。而對於Roblox遭到入侵的原因，該公司表示很可能是其中一名員工遭到網路釣魚攻擊所致。

駭客組織8220因日前利用Atlassian Confluence零時差漏洞，來將此種協作平臺伺服器用於挖礦而引起研究人員關注，這個組織架設的殭屍網路規模大幅增長，帶來的威脅可說是更加險峻。資安業者SentinelOne提出警告，他們觀察到駭客組織8220所建置的殭屍網路，規模從去年中旬的2千臺伺服器，現在已控制超過3萬臺伺服器。研究人員指出，駭客很可能是因為加密貨幣價格大幅下跌，為了能保有相同的利潤，而增加殭屍網路挖礦伺服器的數量。

在7月初，自稱ChinaDan的駭客兜售含有10億人民個資的資料庫，並聲稱資料來自上海國家警察，這起事件傳出在媒體報導之前，中國政府和雲端服務業者阿里巴巴早就知情。根據華爾街日報（WSJ）在7月14日的報導，阿里巴巴在媒體揭露之前就得知資料外洩情事，並於7月1日召開內部緊急會議，暫時關閉資料庫檢查相關程式碼，隨後中國監控機構就開始約談該公司的高階主管。

資安業者LeakXI也針對此事公布進一步的調查結果，該公司表示，駭客疑似在6月26日動手偷走資料庫，外洩的資料來源是未受保護的Kibana實例，而使得Elasticsearch叢集採用了預設的使用者名稱及密碼，也沒有其他身分驗證機制來保護資料，而能讓駭客輕易將資料偷走。

想知道最厲害的網頁設計公司嚨底家!

RWD（響應式網頁設計）是透過瀏覽器的解析度來判斷要給使用者看到的樣貌

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站，提高曝光率!

以設計的實用美學觀點，規劃出舒適、美觀的視覺畫面，有效提昇使用者的心理期待，營造出輕鬆、愉悅的網站瀏覽體驗。

【資安防禦措施】

面板大廠群創光電在6月25日，正式加入國際資安事件緊急應變小組論壇（Forum of Incident Response and Security Team，FIRST），是臺灣第12個加入這個聯盟的單位，值得一提的是，該公司是臺灣首家高科技製造業加入FIRST的成員。事實上，近期國際間也不乏高科技製造業加入的例子，像是艾司摩爾（ASML）在2020年12月加入，AMD在2021年7月加入。

【其他資安新聞】

近期資安日報

來源鏈接：https://www.ithome.com.tw/news/152023

網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

透過選單樣式的調整、圖片的縮放比例、文字的放大及段落的排版對應來給使用者最佳的瀏覽體驗，所以不用擔心有手機版網站兩個後台的問題，而視覺效果也是透過我們前端設計師優秀的空間比例設計，不會因為畫面變大變小而影響到整體視覺的美感。

最熱情、專業有口碑的網頁設計公司讓您的網站改頭換面。

想知道最厲害的網頁設計公司嚨底家!

RWD（響應式網頁設計）是透過瀏覽器的解析度來判斷要給使用者看到的樣貌