【资安日报】2021年11月10日最新消息

在本日的资安新闻中，欧洲与美国皆对勒索软件骇客的制裁有新的动作：前者逮捕2名勒索软件REvil嫌犯，后者则是制裁骇客惯用的加密货币交易所Chatex，来防堵骇客借此洗钱。

而除了勒索软件的消息之余，我们也看到APT攻击事件的揭露，以及人权捍卫者被监控的情况。此外，TeamTNT蠕虫利用容器挖矿的情况，也相当值得留意。

针对漏洞的揭露，与医疗器材有关的Nucleus:13漏洞，在研究人员发布的资讯里特别提到，他们将协助设备厂商进行确认，由此可见这组漏洞影响的范围很可能极为广泛。

【攻击与威胁】

欧洲刑警组织逮捕5名REvil勒索软件骇客

欧洲刑警组织宣布，在跨国合作的GoldDust执法行动下，罗马尼亚警方于11月4日，逮捕2名操作勒索软件REvil（Sodinokibi）的骇客，他们感染5千台电脑，并取得50万欧元赎金。该单位自今年2月以来，总共逮捕5名勒索软件骇客，其中3人与REvil有关，2人与GandGrab有关（REvil是GandGrab的后继者）。

针对勒索软件骇客惯用的加密货币交易所Chatex，美国查封财产

美国财政部于11月8日宣布，他们对于加密货币交易所Chatex实施制裁，禁止美国人与该交易所交易，并封锁Chatex的财产，原因是美国打算封锁勒索软件骇客洗钱的管道。该单位针对Chatex进行调查发现，逾半数的交易与非法行为有关。

骇客运用SolarWinds Serv-U漏洞入侵，在受害组织的电脑植入勒索软件Clop

SolarWinds甫于7月修补的Serv-U漏洞CVE-2021-35211，已被骇客用于勒索软件攻击！资安业者NCC Group发现最近的勒索软件Clop攻击显著增加，这个现象与攻击者TA505大肆利用上述的Serv-U漏洞有关。研究人员呼吁用户应更新Serv-U至15.2.3 HF2以上的版本。

伊朗骇客Lyceum锁定电信业者与ISP下手

资安业者Accenture指出，他们在7月至10月之间，看到伊朗骇客组织Lyceum（又名Hexane、Spirlin），针对以色列、摩洛哥、突尼斯、沙特阿拉伯的ISP和电信业者，以及非洲外交部发动攻击。

Pegasus间谍软件被用于监控社运人士！巴基斯坦人权捍卫者装置遭到监控

国际人权组织Front Line Defenders于11月8日指出，他们在6名巴勒斯坦人权捍卫者的手机上，找到以色列骇客公司制作的Pegasus间谍软件。而他们会调查此事的原因，是巴勒斯坦人权组织Al Haq在10月16日，怀疑其中1名驻耶路撒冷人员的装置可能感染了Pegasus，Front Line Defenders获报后着手调查发现确有此事，且还有另外5人的手机也遭到感染。

TeamTNT蠕虫透过遭骇的Docker Hub账号挖矿

趋势科技在2021年10月，观察到攻击者锁定曝露Docker REST API，且缺乏充分组态配置的Docker服务器下手，下载恶意容器映像档，并执行恶意指令码来挖取门罗币。

英国大型钓鱼用品零售业者的购物网站遭骇，用户被导向色情网站

购物网站遭骇，攻击者意图将用户导向色情网站，借此让受害企业丢脸，并借此勒索。英国大型钓鱼用品零售业者Angling Direct发布声明表示，他们的购物网站在11月5日遭到攻击，网站遭到窜改，会将用户引导到成人网站PornHub，骇客亦入侵其推特账号发文，宣称该公司已被卖给PornHub。

VoIP龙头Bandwidth因DDoS攻击蒙受1,200万美元损失

大型VoIP业者Bandwidth公布第3季财报，指出该公司收入为1.31亿美元，但他们也针对最近一次的DDoS攻击发布新闻稿指出，粗估这起事故会让他们损失900万至1,200万美元。

近一年勒索软件已成最大危害，Sophos指出勒索软件的营运模式将模更组化与一致

对于未来一年的资安威胁趋势，Sophos在11月9日发布的“Sophos 2022 Threat Report”，指出勒索软件已成为近一年内所有恶意攻击最大宗，并指出现有网络威胁将不断适应环境以分发与递送勒索软件，其他值得重视的威胁，还包括Cobalt Strike被滥用的情势增加，AI带来的新变化，行动恶意程式的难以抵挡，基础设施恐持续受到攻击。

本周165反诈骗公布的受理解除分期诈骗名单，假冒秀泰影城案件数本周第一多，大新书局也疑资料外泄

秀泰影城资料外泄严重，在三周前就有少数受害人报案，上周已经成为165反诈骗的解除分期诈骗受理案件第二多，本周跃升第一，刑事局日前也特别发出提醒。此外，大新书局新入榜就排案件第二多也受关注。

Fortinet公布勒索软件最新调查，资料外泄是普遍企业认为最大影响，并强调零信任需受重视

对于勒索软件的危害，Fortinet在9月28日已发布The 2021 Ransomware Survey Report，近日他们再根据相关资料，摘录要点新发布2021勒索软件威胁报告，指出勒索软件攻击对企业造成的影响，以资料遗失最严重，且骇客在亚太地区利用RDP攻击的比率，远高于北美与其他地区。另外也强调企业需广泛采用零信任网络存取，但现今只有不到四成受访企业采用

过去两年遭勒索软件攻击的企业，有4成付赎金了事

电子邮件安全业者Mimecast近期发布一份对资安人员的调查，统计结果指出，透过邮件发动的勒索软件，有超过半数是利用邮件附档，比使用钓鱼连结导向恶意网站下载的的方式多。而且，近两年内，有4受害企业付赎金，2成5的CXO因此下台。

【漏洞与修补】

研究人员发现Nucleus的TCP/IP堆叠存在13个漏洞，影响医疗设备

资安业者Forcescout与Medigate联手，在Nucleus的TCP/IP堆叠中，发现了13个新的漏洞，一旦遭到滥用，攻击者可远端执行任意程式码（RCE)、阻断服务（DoS），或是泄露装置资料，这些漏洞被称为Nucleus:13。由于Nucleus被用于重大安全装置，如麻醉机、病人监控装置等医疗设备，研究人员将协助设备厂商找出受影响的产品。

微软呼吁IT人员尽速修补Exchange Server重大漏洞

针对甫修补的Exchange Server重大漏洞CVE-2021-42321，微软向IT人员提出警告，要尽快修补这项漏洞。这项漏洞波及Exchange 2016及2019版，一旦被利用，攻击者就有可能发动远端执行程式码（RCE）攻击。这项漏洞影响本地建置版本与混合模式的Exchange Server，Exchange Online不受影响。

微软发布11月例行性安全更新，修补55个漏洞中，有两个漏洞已遭骇客成功利用需特别注意

在微软本月Patch Tuesday中，共修补55个安全漏洞，其中出现在Excel的CVE-2021-42292漏洞，以及出现在本地端Exchange Server的CVE-2021-42321，企业修补急迫性最高。而在受关注的重大漏洞方面，则有存在于VMBus的CVE-2021-26443漏洞，以及RDP服务器的CVE-2021-38666 漏洞，需特别留意。