駭客組織Lazarus濫用GitHub控制惡意軟體VSingle、婚禮司儀培訓機構的AWS S3儲存桶不設防

北韓駭客組織Lazarus近期鎖定日本的攻擊行動，可說是相當引起研究人員的關注，原因是這些駭客採用了過往相當少見的手法，來提供惡意程式連線C2伺服器IP位址──他們將IP位址存放於特定的GitHub帳號，再讓惡意程式從GitHub取得相關資訊，進而迴避研究人員直接從惡意程式本身找到C2伺服器位址的情況。

這類手法先前已有駭客採用，但他們濫用的是Google Drive、OneDrive等檔案共享服務，而如今駭客轉移目標，濫用程式碼代管服務，由於這種服務也常會有資安人員上傳概念性驗證的攻擊程式碼，使得要防堵駭客濫用的行為可能會變得更加困難。

AWS S3儲存桶配置不當的情況，先前多半是企業與政府機關，在今天的資安新聞裡，這個沒有配置適當防護措施是美國的非營利組織，其主要業務是專門培訓牧師為新人主持結婚典禮。這些曝光的資料多達630 GB，使得結婚的新人、證婚的牧師個資，以及參與婚禮的親友名單都可能讓他人隨意存取。

在6月下旬公布的OpenSSL漏洞CVE-2022-2274，這項漏洞在2個星期後獲得了修補，使用3.0.4版的用戶應儘速更新。

【攻擊與威脅】

北韓駭客組織Lazarus（亦稱Hidden Cobra）從2020年開始，，但近期這些駭客採用了更為隱密的通訊方式，而使得研究人員更難以追查行蹤。

日本電腦緊急應變小組（JPCERT/CC）於7月5日指出，Lazarus改造了他們的後門程式VSingle，研究人員發現其通訊方式出現變化，此惡意軟體本身有3組預設C2伺服器IP位址，但在上述C2伺服器都無法存取的時候，VSingle會先連上GitHub取得新的C2伺服器IP位址，而過程中會隨機從超過10組使用者與儲存庫名稱裡，隨機挑選其中一組來進行連線，來取得新的C2伺服器位址。

研究人員發現，駭客不只繼續發展先前的Windows版VSingle，也開始使用Linux版惡意軟體，而兩者與C2伺服器通訊、執行命令的方法也有所不同──前者濫用作業系統的API，後者則是利用wget來接收並執行駭客下達的命令。JPCERT/CC認為，駭客利用合法伺服器或是雲端服務來藏匿行蹤的情況，不時有事故發生，他們呼籲組織要管制伺服器能存取的外部網路範圍。

又是AWS S3儲存桶配置不當而造成資料曝露的情況，而且還是與許多民眾的終生大事有關。提供架設網站教學的Website Planet於今年4月26日發現，專門培訓婚禮主持人的美國非營利組織American Marriage Ministries（AMM），他們所屬的AWS S3儲存桶，在2018年3月31日至2022年4月的期間，沒有設置密碼或是採取加密等保護措施，使得該單位存放約18.5萬名牧師與1.5萬對夫妻婚禮的資料，任何人都有可能隨意取用。

研究人員看到逾50萬張任命牧師主持婚禮的證書，以及14萬張婚禮的合照照片。該儲存桶總共存放了高達630 GB的資料，研究人員已向AMM與US-CERT通報，但尚未確定這些資料是否已經遭到駭客存取。AMM於5月11日為此儲存桶採取了保護措施，並表示會著手進一步調查。

駭客組織散布惡意NPM套件的手法，已經演變成以自動化的方式進行，甚至能突破NPM上架流程的雙因素驗證（2FA）措施。

資安業者Checkmarx近期發現了1,283個惡意NPM套件，駭客CuteBoi運用了超過1千個帳號來上架這些套件，所有的套件共通點，就是都包含了幾乎與名為eazyminer套件完全相同的程式碼，該套件是挖礦軟體XMRig的JavaScript包裝器，用途是徹底運用受害電腦閒置的運算資源。

研究人員指出，這些套件本身看似無害，但內含的eazyminer程式碼所具備的挖礦能力，需要透過外部的工具呼叫，因此，挖礦軟體不會在這些NPM安裝之後就立刻執行，受害者很有可能沒有發現異狀。

但在NPM已從今年初逐步要求套件開發者使用雙因素驗證機制的情況下，駭客又是如何突破並上架套件呢？研究人員根據CuteBoi建立NPM帳號的網域，推測駭客使用了mail.tm的拋棄式電子郵件服務，並透過REST API建立電子郵件帳號，使他們在自動化攻擊流程能夠通過NPM的雙因素驗證機制。該公司指出，目前仍有上千個惡意NPM套件尚未下架，他們設置了專屬網站（）來隨時更新此攻擊行動的後續發展。

駭客鎖定網路儲存設備NAS發動勒索軟體的情況，似乎有越來越嚴重的趨勢，近期有新的駭客組織也發動相關攻擊。威聯通（QNAP）於7月7日提出警告，指出該公司旗下的NAS設備遭到勒索軟體Checkmate攻擊，此勒索軟體鎖定提供舊版SMB服務（SMB v1）的NAS設備，藉由字典攻擊來進行暴力破解，進而在受害的NAS設備加密檔案，並留下檔名為!CHECKMATE_DECRYPTION_README的勒索訊息。該公司呼籲用戶應停用舊版SMB服務，並使用最新版本的作業系統來防堵相關攻擊。

，此勒索軟體的攻擊行動首度於5月28日出現，受害者需支付1.5萬美元的贖金，才能換到解密金鑰。

研究人員於5月底揭露Windows支援診斷工具（MSDT）漏洞Follina（CVE-2022-30190），已有多起利用此漏洞的攻擊行動出現，現在出現了更為複雜的攻擊手法。

產品缺大量曝光嗎?你需要的是一流包裝設計

窩窩觸角包含自媒體、自有平台及其他國家營銷業務等，多角化經營並具有國際觀的永續理念。

推薦評價好的iphone維修中心

擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢

資安業者Fortinet發現，有人利用惡意Word文件與Follina漏洞，從即時通訊軟體Discord伺服器下載惡意程式Rozena，並藉由圖示與檔案名稱（Word.exe），將其偽裝成Word主程式，同時，為了不讓受害者察覺電腦遭到攻擊，駭客也下載另一個無害的Word檔案。

一旦Rozena被執行，該惡意程式就會透過PowerShell執行Shikata Ga Nai（SGN）編碼加密的Shell Code，進而啟動反向Shell並連線到攻擊者的主機，完成後門的建置。研究人員呼籲使用者應儘速修補Follina漏洞，來防堵相關攻擊行動。

【漏洞與修補】

 在6月下旬有研究人員揭露加密程式庫OpenSSL的漏洞CVE-2022-2274，這項漏洞使得支援AVX512指令集的64位元處理器在解析2048位元RSA私鑰發生錯誤，進而導致記憶體被破壞，攻擊者一旦利用這項漏洞，就有可能發動RCE攻擊，嚴重程度有可能接近2014年出現的Heartbleed。對此，OpenSSL於7月5日發布3.0.5版予以修補，使用3.0.4版的用戶應儘速更新。

【資安防禦措施】

行政院資通安全處於去年8月底，橫向整合跨部會資源，提出資安卓越中心計畫，成立資安卓越中心（CCoE），發展數位應用資安生態系。此計畫由科技部支援資安處辦理，擬定資安前瞻研究、頂尖實戰人才養成、國際合作，以及技術移轉創新育成等發展項目，來規畫並建置資安卓越中心。今天（7月8日）該中心於臺北科技大學發表此建置計畫的成果，除介紹該中心的服務項目，並對於密碼研究、網路威脅防禦、網路資料分析，以及人才培育等工作的推動進行說明。

【其他資安新聞】

近期資安日報

來源鏈接：https://www.ithome.com.tw/news/151858

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。

網頁設計最專業,超強功能平台可客製化

窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機。