【资安日报】2021年11月11日最新消息

图片来源:

Bleeping Computer

在今天的资安新闻中，多家媒体报导立法院在审查行政院2项预算时，列席的行政院资安处长简宏伟透露了现今-单位面临的网络威胁，而这样严峻的现象也引起国外媒体的注意，并把茅头指向中国。

值得留意的还有攻击事故，其中，继昨天VoIP龙头Bandwidth透露，最近他们遭到DDoS攻击的事故，恐面临上千万美元的损失，接着又有另一家VoIP业者Telnyx也遭到DDoS攻击，突显这些业者近期可能接连遭到锁定，而且，骇客有可能借此向他们进行勒索。

【攻击与威胁】

台湾-单位每日遭到500万次攻击与扫描

立法院内政委员会于11月10日，审查行政院的111年度中央-总预算案，以及行政院“办理政策宣导相关之广告汇整表”等2案，行政院秘书长李孟谚、行政院发言人罗秉成，以及行政院资安处长简宏伟等人列席备询。简宏伟表示，-单位平均1天会遭500万次骇客攻击与扫描，对此，他们打算采取主动式防御的策略，将防御阵线向前推，在对方攻击发起时就挡下。

北朝鲜骇客组织Lazarus锁定资安研究员，散布带有木马的IDA Pro破解版本

许多资安研究人员用于逆向工程的IDA Pro软件，因其授权价格昂贵，而让骇客组织有可趁之机。ESET研究人员发现网络流传1个破解版IDA Pro的安装程式，经分析后发现，安装过程会在研究人员电脑植入窃密工具，并研判这是北朝鲜骇客组织Lazarus所为。

Aruba集中控管平台遭骇，起因是存取金钥遭窃

HPE于11月10日表示，旗下的Aruba Central网络设备集中控管平台的金钥遭窃，攻击者在10月9日至27日，借由存取金钥浏览用户的资料。该公司宣称，已掌握攻击者如何取得存取权限，并采取措施防范，并强调HPE内部系统没有受到影响。

VoIP业者Telnyx遭到DDoS攻击

从美国东部时间11月9日晚上11点左右开始，VoIP业者Telnyx传出遭到DDoS攻击，导致所有的网络电话无法使用或是延迟。该公司在遭到攻击之后，将其欧洲、中东、非洲（EMEA），以及亚太区的VoIP基础架构，迁移到Cloudflare的DDoS防护服务Magic Transit，并计划下一步将离峰时段的服务移转到美洲。

钓鱼邮件骇客与TrickBot狼狈为奸，在受害电脑上植入Conti勒索软件

资安业者Cybereason指出，专门以钓鱼邮件挟带恶意软件的骇客组织TA551（亦称Shatak），约从2021年3月开始，与恶名昭彰的僵尸网络骇客TrickBot合作，在受害组织散布TrickBot和BazarBackdoor进行侦察，进行横向移动并窃取机密，然后再部署勒索软件Conti进行破坏。

网络佣兵组织Void Balaur攻击超过3,500个组织与个人

趋势科技揭露名为Void Balaur（又名Rockethack）的网络佣兵，这个组织约从2015年开始活动至今，主要从事网络间谍和资料窃取的工作，并将窃得的资料卖出。最近一年更是针对多个重要目标下手，部分攻击为全球现实世界带来冲击。从该组织开始活动到现在，至少3,500个组织或个人受害，而部分受害者更是反复遭到攻击。

安卓恶意软件锁定Netflix、Instagram、推特用户

资安业者Avast揭露安卓恶意软件MasterFred，这个恶意软件约于6月开始攻击行动，针对波兰和土耳其而来，锁定Netflix、Instagram，以及推特的使用者发动攻击。这个恶意软件的特别之处，在于捆绑了虚假的登入HTML网页来骗取受害者个资，并具备能够连到暗网的Onion.ws闸道（Tor2Web proxy）模组，来传输窃得的资料。

恶意安卓App监控韩国民众

资安业者Zimperium发现有23个看似无害的安卓应用程序，但实际上它们挟带了名为PhoneSpy的间谍软件，这个恶意软件锁定韩国用户而来，不仅会窃取手机里的机密资料，还会接管装置的麦克风与视讯镜头。

【漏洞与修补】

SAP修补商用程式语言开发平台ABAP核心重大漏洞

SAP在11月的例行修补当中，修补了5个漏洞，其中一个是CVSS风险层级高达9.6分的漏洞CVE-2021-40501，这项漏洞存在于ABAP（Advanced Business Application Programming）商用程式语言开发平台的核心，是有关身份验证机制查核的弱点。

台湾金融联防体系示警注意修补Exchange Server漏洞

除了微软刚修补已遭骇客利用Exchange Server的CVE-2021-42321漏洞，微软在4月修补7月公布的另一个CVE-2021-34473漏洞，日前思科指出，发现有骇客锁定相关漏洞，值得关注的是，近日国内联防体系对此两个漏洞示警，并表示台湾企业已侦测到针对CVE-2021-34473漏洞的攻击。