资安一周第169期：技嘉惊传二度遭勒索软件骇客攻击。车灯大厂帝宝遭遇资安事件

10/21-10/27必看资安新闻

 

＃资料外泄  ＃高科技产业

勒索软件AvosLocker攻击技嘉，声称取得该公司与多家厂商的保密协议

以个人电脑和服务器等产品著名的技嘉科技，在8月初遭到勒索软件RansomEXX攻击之后，近期又有勒索软件骇客宣称，攻陷该公司并取得机密文件。根据资安新闻网站PrivacySharks、Tarnkappe、Threatpost的报导，勒索软件骇客组织AvosLocker于10月20日，在暗网的网站上发布消息，宣称他们从技嘉的网络下载机密文件，其中包含与资安业者Barracuda Networks的保密协议（NDA）。不过，究竟他们取得多少档案，以及发动勒索软件攻击加密档案与否，这个骇客组织并未透露有关细节。

但除了有关营业机密的资料，这次外泄的资料也有多种个资，包含了员工的薪资、使用者的帐密、以及合作人员的合约，甚至是求职者的履历等。详全文

图片来源：Tarnkappe

 

＃网络攻击  ＃汽车产业

车灯大厂帝宝遭遇资安事件，台湾厂区部分服务器受影响

车灯制造公司帝宝工业遭遇资安事件，10月18日，该公司于证交所发布重大讯息，指出厂区有部分服务器遭受病毒攻击，该公司已通报-执法部门，而受到影响的内部资讯系统，也陆续回复运作。

帝宝工业财务部经理兼发言人吕理丰表示，这次遭受攻击的服务器，位于台湾厂区，只影响该厂区的一小部分，且是不重要的系统。至于本次资安事故是否为勒索软件攻击？吕理丰并未多谈，仅表示相关资讯可以参考他们发布的重大讯息。详全文

 

＃软件供应链攻击  ＃Npm

热门Npm套件UAParser.js遭植入恶意程式

不时传出有热门Npm套件遭到窜改的情况，而引起各界关注。例如，UAParser.js的作者Faisal Salman在10月22日证实，他的Npm账号疑似遭到骇客挟持，发布3个植入恶意程式的UAParser.js。对此，母公司GitHub，以及美国网络安全及基础设施安全局，皆提出警告，呼吁受影响的使用者应该尽速更新软件。

这3个被植入恶意程式的套件版本为0.7.29、0.8.0、1.0.0。资安业者Sonatype指出，这些恶意套件会在受害系统植入挖矿程式XMRig，并且窃取各式凭证。详全文

图片来源：Faisal Salman

 

＃钓鱼邮件攻击  ＃零点字元

骇客利用看不到的字元混淆钓鱼邮件，让邮件安全系统与用户难以察觉异状

为了能快速发动攻击，骇客也有可能会利用其他人的工具，拼凑后纳入新的手法再拿来运用。例如，微软揭露一起自2020年底开始网络钓鱼攻击，骇客使用名为TodayZoo的攻击套件，为了避免使用者察觉异状，他们使用了零点字元（Zero-point Font）的混淆手法，并透过假造的Microsoft 365登入网页，来骗取使用者帐密。详全文

 

＃Rootkit  ＃WHQL

恶意程式FiveSys利用微软签章伪装成合法驱动程式，窃取用户线上游戏帐密及金钱

为了让使用者以为是合法的驱动程式，而不疑有他安装到电脑上，攻击者在恶意程式加入微软WHQL签章，来获取受害者的信任。例如，资安业者Bitdefender揭露名为FiveSys的恶意程式，锁定中国网络游戏玩家下手，将网络流量重新导向代理服务器窃取帐密资料，并劫持付款。攻击者如何取得WHQL签章目前仍不得而知，但微软获报后已否决该恶意程式的签章。详全文

 

＃勒索软件攻击  ＃资安就业环境

金融骇客组织FIN7以资安公司的名义招兵买马，并以渗透测试的名义发动勒索软件攻击

骇客为了寻求廉价的打手来从事网络攻击，他们宣称是提供渗透测试服务的资安公司，设立几可乱真的网站并开出职缺，但实际上，骇客打算借助这些不知情的IT专家，执行侦察与部署恶意软件的工作。资安业者Gemini Advisory在10月21日，揭露俄罗斯金融骇客组织FIN7近期的攻击行动，该组织宣称是名为“Bastion Secure”英国资安公司并发布求才讯息，目的是要发动勒索软件攻击。详全文

图片来源：Gemini Advisory

 

＃Wildcard  ＃ALPACA

提防ALPACA跨协定攻击手法，美国NSA呼吁应正视万用字元TLS凭证风险

资安研究员于今年6月，揭露名为ALPACA（Application Layer Protocols Allowing Cross-Protocol Attacks）的网络攻击手法，攻击者一旦滥用，便能借由TLS协定的弱点，将HTTPS流量重新导向至另一个IP地址，进而窃取受害电脑的机密资讯。

对此，美国国家安全局（NSA）特别于10月7日提出警告，要网站管理者重新检视万用字元凭证（Wildcard Certificate）的使用范围，来降低网站被攻击者用于发动ALPACA攻击的风险。详全文

 

＃钓鱼邮件攻击  ＃宏攻击  ＃金融业

MirrorBlast攻击行动锁定金融服务组织，透过Excel宏发动攻击

资安业者Morphisec揭露名为MirrorBlast的攻击行动，攻击者使用极为轻量化的恶意Excel宏，并借由钓鱼邮件来进行散布，目标是美国、加拿大、香港，以及欧洲等地的金融服务组织。详全文

 

＃后门程式攻击

恶意程式BazaLoader瞒过微软，利用Office 365、OneDrive做为攻击平台

以钓鱼邮件散布，并结合客服人员指示受害者操作的后门程式BazaLoader，过往微软曾揭露骇客将此软件存放于Google Drive，但近期有研究人员指出，攻击者也运用Office 365和OneDrive，做为此恶意软件的下载点，呼吁微软要积极移除恶意档案。详全文

 

＃APT攻击  ＃电信业者  ＃Linux

国家级骇客UNC1945入侵全球13家电信业者

美国资安业者CrowdStrike揭露，国家级骇客UNC1945（又名LightBasin）从2016年起，就开始利用客制化的工具，持续锁定电信业者的Linux与Solaris服务器展开攻击，进行长期的间谍活动，从2019年迄今，全球至少有13家电信业者受害。详全文

 

 

更多资安动态

●微软宣布无偿协助全球NGO防范国家级骇客攻击
●美国宣称联手多国歼灭勒索软件骇客组织REvil
●逾四分之一恶意JavaScript采用混淆躲避侦测