【資安日報】2022年10月25日，巴基斯坦組織遭駭客SideWinder發動後門程式攻擊、蘋果修補已被用於攻擊的iOS零時差漏洞

巴基斯坦組織遭到駭客SideWinder鎖定，並透過後門程式來發動攻擊，不過，駭客並非直接攻擊特定的組織，而是入侵當地政府機關的網站，來做為散布後門程式的管道。

攻擊者假借提供漏洞的概念性驗證程式為由，將惡意程式上傳至程式碼儲存庫GitHub散布的情況，不時有事故傳出，但這樣的情況究竟有多嚴重？根據荷蘭萊登大學的分析，他們找到了近5千個遭到濫用的儲存庫。

蘋果發布iOS 16.1與iPadOS 16，但值得留意的是，當中修補了已出現攻擊行動的漏洞CVE-2022-42827，使用者應儘速套用更新程式。

【攻擊與威脅】

資安業者Zscaler揭露駭客組織SideWinder的攻擊行動，該組織約自今年9月入侵巴基斯坦國家電力監管局（NERPA）網站，用來散布後門程式WarHawk。駭客上傳了ISO映像檔，內容包含了Windows捷徑檔、PDF檔案，以及加料的瑞昱驅動程式安裝程式（RtlAudioDriver.exe）或公用程式MSbuild.exe。

一旦受害者執行捷徑檔，將會同時開啟PDF檔案與可執行檔，後者將會於受害電腦植入WarHawk。此後門程式包含滲透測試工具Cobalt Strike的惡意模組，並會檢查是否在巴基斯坦時區，然後將自己的處理程序，以，注入到記事本處理程序執行。

荷蘭萊登大學進階電腦科學研究所（LIACS）指出，GitHub上的概念性驗證（PoC）攻擊程式，平均每10個就有一個是惡意軟體。研究人員透過IP位址、可執行檔分析等手法，針對47,313個存放PoC檔案的儲存庫進行分析，結果發現，4,893個為惡意程式，其中大部分宣稱是2019至2021年漏洞的PoC工具。而這些被散布的惡意程式類型也相當廣泛，包含了RAT木馬程式、滲透測試工具Cobalt Strike等。研究人員已向GitHub通報，但這些儲存庫目前尚未完全移除。

資安業者Check Point公布對於今年第3季網路釣魚態勢的觀察，在駭客偏好冒用的品牌當中，最多的是物流業者DHL（22%），其次則是微軟（16%），LinkedIn則占11%。研究人員指出，有別於今年上半LinkedIn占據半數（第1季52%、第2季45%），DHL一舉成為第3季攻擊者的最愛，很有可能與佯稱包裹無法送達的網釣攻擊氾濫有關。

攻擊者為了規避資安系統的偵測，很可能利用密碼保護的壓縮檔來打包作案工具，但這種手法需要受害者互動，如今駭客運用了更為複雜的方式來進行。資安業者Trustwave揭露近期的殭屍網路Emotet攻擊行動，駭客假借發票的名義寄送釣魚郵件，並挾帶RAR自解壓縮檔，而這個檔案內有另一個以密碼保護的RAR自解壓縮檔、批次檔，以及做為誘餌的圖片或PDF文件檔案。

一旦受害者開啟此自解壓縮檔，該檔案就會執行內部的批次檔，來解壓縮第二個以密碼保護的自解壓縮檔案，進而在受害電腦植入Emotet，或是挖礦程式CoinMiner、木馬程式QuasarRAT等。

資安業者McAfee揭露廣告點擊詐騙程式的攻擊行動，該詐騙程式埋藏於16款App並上架於Google Play市集，這些App的功能相當廣泛，包含了手電筒、QR Code掃描工具、相機、單位轉換程式等，總共被下載逾2千萬次。一旦使用者安裝這些App，手機就會發出HTTP請求，下載遠端配置組態，繼而註冊Firebase雲端通訊（FCM）接收程式。

研究人員指出，駭客這麼做的目的，是為了掩飾手機被用於廣告詐騙，在使用者不知情的狀況下耗用大量頻寬及電力，模仿使用者存取特定網站來為駭客製造廣告收入。Google獲報後已下架上述16款App。

資安研究團隊MalwareHunterTeam先後於9月上旬、10月上旬發現勒索軟體TommyLeaks、SchoolBoys的攻擊行動，但根據資安新聞網站Bleeping Computer的調查，這兩個勒索軟體背後的駭客其實是同一組人馬，且SchoolBoys是透過打造而成。但為何駭客會使用兩個不同名稱的勒索軟體犯案？研究人員表示原因仍不得而知。

【漏洞與修補】

蘋果於10月24日發布iOS 16.1與iPadOS 16，總共修補了20個漏洞，其中的越界寫入漏洞CVE-2022-42827已出現遭到攻擊者積極利用的情況，此為今年蘋果修補的第9個零時差漏洞。該漏洞發生的原因與軟體界外寫入資料有關，一旦駭客利用該漏洞，就有可能以核心的權限執行任意程式碼。受影響的設備包含了iPhone 8以上機種、歷代iPad Pro、第3至5代iPad Air、第5代以上的iPad，以及第5代iPad mini。

【其他資安新聞】

近期資安日報

https://www.ithome.com.tw/news/153807