资安一周第157期：法国发现记者手机遭间谍程式Pegasus入侵。伊朗火车系统攻击事件出现资料抹除程式

7/29-8/4必看资安新闻

 

＃间谍程式  ＃Pegasus

法国发现3名记者手机遭间谍程式Pegasus入侵

7月下旬，国际特赦组织、非营利组织Forbidden Stories与全球17个媒体合作，共同揭露针对间谍程式Pegasus的调查结果，引发各国-的关注。根据卫报的报导，法国网络安全局（ANSSI）依据上述调查报告追查后，结果发现有3名该国记者的手机曾遭到Pegasus入侵。

对此，受害记者担心会波及消息来源。其中一名为France 24电视台资深记者，他的手机曾分别在2019年至2021年，被Pegasus入侵3次。详全文

 

＃网络攻击  ＃交通运输

伊朗火车系统攻击事件发现前所未见的资料抹除程式

今年7月9日，伊朗的铁路系统在7月9日惊传遭到网络攻击，骇客在该国各地的车站，发布火车班次延误或是取消的假消息，导致当地铁路运输大乱。资安业者SentinelOne着手分析发现，骇客使用了前所未见的资料抹除程式Meteor。

SentinelOne认为，主导此次攻击的骇客，很可能只是不择手段的佣兵团队，目的只是为了瘫痪受害者的系统，让管理者无法轻易复原。详全文

图片来源：SentinelOne

 

＃漏洞攻击

美、英、澳联手警告，30大漏洞应尽速修补

美国网络安全暨基础架构管理署（CISA）、澳州网络安全中心（ACSC）、英国国家网络安全中心（NCSC），以及美国联邦调查局（FBI），于7月28日联手提出警告，一些近年来揭露的重大漏洞，在2020年至2021年期间，仍遭到骇客持续滥用，他们呼吁企业要尽速修补。

这份联合公布的报告指出，2020年有12个最常被攻击的漏洞需优先关注，多数是过去两年内公开的漏洞。而关于上述漏洞，该报告当中也列出技术细节的描述，以及原厂修补的连结资讯，并统整缓解方式、IoC与侦测方法。详全文

图片来源：美国网络安全暨基础架构管理署

 

＃漏洞揭露  ＃NLTM

Windows Server用户小心！PetitPotam漏洞恐让攻击者挟持AD网域

法国资安研究员Gilles Lionel揭露一个可让攻击者接管AD网域的漏洞，名为PetitPotam。骇客可借由远端档案系统加密（EFSRPC）协定，强制网域控制器向恶意服务器进行NTLM验证，进而取得网域的控制权。关于这个漏洞的运用程度，Gilles Lionel也提供了概念性验证（PoC）攻击程式，并强调光是关闭EFSRPC，还是无法缓解PetitPotam所带来的风险。

这个消息公开之后，目前微软已提出缓解措施，但尚未推出修补程式。详全文

图片来源：Gilles Lionel

 

＃僵尸网络

僵尸网络LemonDuck能力更强，攻击Windows、Linux装置

微软揭露他们调查僵尸网络LemonDuck的结果，并指出该僵尸网络恶意软件不只能攻击Windows电脑，也能对Linux操作系统的环境下手。LemonDuck锁定SMB、Exchange Server、SQL Server、Hadoop、REDIS、RDP服务器，以及其他边缘装置（Edge Devices）下手，并透过钓鱼邮件、Eternal Blue漏洞、USB装置、暴力破解等方式入侵。

值得注意的是，LemonDuck所使用的C2服务器的基础架构，也变得更加多元，而使得该恶意软件能不断更新攻击武器。详全文

 

＃供应链攻击  ＃NPM

锁定NPM套件用户的供应链攻击，攻击者混入合法工具窃取浏览器帐密

恶意软件分析解决方案业者ReversingLabs揭露锁定软件开发者的攻击行动，他们在名为nodejs_net_server的NPM套件里，发现攻击者疑似为了企图窃取开发者浏览器的帐密资料，嵌入了合法工具ChromePass。

这个NPM套件已被近1,300个开发者下载。NPM获报后，已于7月21日将nodejs_net_server，以及同作者另一个疑似测试用的tempdownloadtempfile下架。详全文

 

＃恶意软件攻击  ＃Proxylogon

中国骇客组织滥用Proxylogon漏洞，在Exchange服务器植入木马程式Thor

Palo Alto Networks在7月27日，在部落格上揭露他们于Exchange漏洞“Proxylogon”爆发的时候，新发现的RAT木马程式Thor，而这个恶意程式很可能就是名为PlugX的变种，背后发动攻击的是中国骇客组织Pkplug（亦称Mustang Panda、HoneyMyte）。

研究人员指出，Thor与2020年另一个中国骇客组织RedDelta所使用的PlugX非常相似，但在初始化外挂元件过程中的解密字串（Magic Number）不同。详全文

 

＃勒索软件攻击  ＃解密工具  ＃资安产业动态

No More Ransom网站助勒索软件受害者省下10亿欧元

在2016年7月26日设立的No More Ransom计划，成立满5周年，这个计划借由提供解密工具，替勒索软件受害者省下近10亿欧元，迄今全球已有170个组织加入该专案，提供121种免费解密工具，可用来解密151个家族的勒索软件，此外，该网站支援繁体中文等37种语言。详全文

 

＃资安产业动态  ＃CVE

台湾网通设备业者Zyxel取得CVE编号管理者资格

国内网通设备大厂兆勤科技（Zyxel Networks）宣布，Zyxel取得MITRE通用漏洞揭露计划（CVE）授权，成为CVE Numbering Authority（CNA）成员，将有权限对权责范围内的产品漏洞，也就是Zyxel自家产品的安全性问题，发布CVE漏洞标号。

根据MITRE CNA成员列表所示，全球已有30个国家，共179家机构组织及企业参与这项计划，Zyxel成为台湾现有第4家企业与机构，且是国内上市公司首例。详全文

 

＃网络诈骗

不肖分子诈骗民众个资上传电信平台申办手机门号，上百人受害

台湾疫情升至三级警戒以后，不只是网络个资诈骗事件呈现倍增趋势，各大电信业者推动的线上申办业务，竟也成为不肖份子申办人头门号的捷径。刑事警察局在7月23日宣布侦破网络犯罪事件，逮捕9名嫌犯，其手法是利用民众对于网络诈骗缺乏资安意识，以及各家电信业者线上门号申办业务身份审查机制的不足，之后再借由小额付款买点数、再转售牟利，目前有160人受害，并有单一受害者损失48万元的情形。详全文

 

 

更多资安动态

●苹果修补已遭滥用的漏洞CVE-2021-30807
●防攻击者散布恶意软件，Google Drive加入封锁功能
●沙特阿拉伯国家石油公司惊传资料外泄