【资安日报】2021年11月17日

欧洲刑警组织在今年的年初，围剿Emotet僵尸网络的基础设施，但这个僵尸网络近期再度出现活动，可说是本日最重大的资安新闻。比较特别的是，研究人员发现，骇客重新让Emotet复活的方式，竟是透过另一个僵尸网络TrickBot的基础架构。

在DDoS攻击的态势来说，近期规模达到2 Tbps等级的事故，上个月微软才揭露Azure用户于8月遭到2.4 Tbps的攻击，而最近Cloudflare也拦截到近2 Tbps的攻击，并表明流量来自僵尸网络。这是继该公司揭露每秒发出1,700万次连线请求的DDoS攻击事故之后，另一起由僵尸网络大军发动的大规模DDoS攻击。

而在漏洞揭露的部分，又以知名Node.js套件管理器Npm的漏洞修补为受瞩目，因为，他们终于将日前多个套件遭不明人士用来发布恶意版本的漏洞予以修补。

【攻击与威胁】

恶意软件Emotet卷土重来，透过TrickBot基础设施重建僵尸网络

今年年初，由欧洲刑警组织与欧洲司法组织联手，接管了Emotet的基础设施，并逮捕2名成员，但最近，研究人员看到Emotet再度活动的迹象。资安业者GData、Advanced Intelligence，以及资安研究团队Cryptolaemus指出，他们看到攻击者透过TrickBot恶意软件在受害装置上，植入Emotet的载入器，经调查后发现，Emotet背后的骇客透过TrickBot现有的基础设施，重新建置Emotet的僵尸网络。

僵尸网络Mirai发动近2 Tbps的DDoS攻击

CDN服务业者Cloudflare于11月13日指出，他们缓解了一波DDoS攻击，流量最高达到接近2 Tbps，该公司宣称，这是他们看到最大流量的攻击事故，攻击来自约15,000个物联网设备与尚未修补的GitLab主机，这些装置上执行了Mirai的变体病毒，且利用DNS放大与UDP洪水攻击等手法，进行DDoS攻击。

安卓木马SharkBot锁定欧洲银行用户而来

提供网络诈骗防治解决方案的Cleafy指出，他们在10月底发现新的安卓木马程式SharkBot，一旦受害手机安装了SharkBot，攻击者将会透过系统的辅助服务，来掌控用户的银行资讯，且窃取帐密与信用卡资料，此外，该木马程式亦具备拦截银行发送的SMS简讯的能力。根据僵尸网络的架构，Cleafy认为，该僵尸网络可能锁定的目标，是英国、意大利，以及美国的银行与加密货币交易所。

钓鱼邮件攻击锁定125个TikTok名人账号下手

邮件安全业者Abnormal Security指出，他们看到攻击者在10月2日及11月1日，总共向超过125个名人或是企业，发送钓鱼邮件，疑似锁定TikTok用户而来。信件的内容宣称，用户疑似上传侵权影片，必须依照指示回复，否则TikTok账号将在48小时内删除。一旦依照指示回信，攻击者就会要求透过WhatsApp进行对话，借此绕过TikTok的双因素验证，进而挟持受害者的账号。

骇客利用HTTP标头偷渡手法攻击AWS

资安业者Intruder指出，他们看到一种新的攻击手法，锁定HTTP请求的标头（Header），来偷渡恶意请求，这种做法被称为HTTP标头偷渡（HTTP Header Smuggling），骇客的攻击目标，主要是AWS的API闸道。研究人员将上述发现通报AWS，该公司也进行处理，但研究人员进一步测试发现，他仍然可以使用相同手法发动攻击，从而导致容易被利用的快取中毒问题。

阿里云ECS设备被用于挖掘加密货币

趋势科技于11月15日揭露，他们发现多组骇客锁定阿里云的Elastic Compute Service（ECS）下手，挟持这些虚拟设备进行挖矿。研究人员指出，攻击者不只移除阿里巴巴内建的安全代理程式，并借由建立防火墙的规则，封锁来自阿里巴巴网域的封包。此外，攻击者也滥用自动延展机制，来增加挖矿所需的算力。

近300个WordPress网站遭骇，攻击者宣称加密档案并索讨赎金

资安业者Sucuri自11月12日起，发现约有291个WordPress网站遭到入侵，攻击者窜改网站并宣称网站遭到加密，要求网站管理者限时支付0.1个比特币（约6,030.38美元）来恢复网站运作。但研究人员指出，这些网站实际上并未遭到加密，勒索讯息的网页是被攻击者植入的插件产生。

全国高中小个资这五年持续遭盗取贩售，台南地检署在11月17日公布，逮捕幕后3名主嫌

这起事件的侦办，台南市调查处是在7月接获检举，历经两个月调查，先是掌握到贩售个资的陈男IP地址，首波搜索后查到幕后主嫌47岁蔡男，他亦是知名补习班数学老师。调查结果显示，蔡男自2015年开始组团犯罪，与具资讯背景的36岁柴男，以及具骇客知识的27岁张男合作，非法取得750万笔个资，几乎涵盖全国高中、国中、国小学生，包含校名、年级与班级、姓名、身份证号、住址、电话，还有父母姓名与职业，以每笔个资10元至20元转售其他补习班。警方并呼吁，补教业招生勿透过不明管道取得学生家长个资，以免受罚。

【漏洞与修补】

Npm修补他人能冒名发布新版套件的漏洞

知名Node.js套件管理器Npm近期修补了2个漏洞，其中1个可让他人在未经充分授权的情况下，以开发者的名义发布新版Npm套件。这项漏洞发生的原因，是Npm注册表与多个微服务之间，身份验证查核与资料验证不当所致。此外，有鉴于日前UA-Parser.js、COA、Rc等多个套件遭到挟持，Npm也预告，将于2022年第一季要求开发者启用双因素验证（2FA）。

Lantronix无线芯片模组存在近20个漏洞，恐被用于执行任意程式码

思科在Lantronix的嵌入式无线芯片模组PremierWave 2050里，发现19个漏洞，这些漏洞与网页管理界面有关。其中，有12个漏洞能让攻击者透过内存缓冲区溢位等方式，来把持网页管理界面，进而执行任意程式码；6个为目录穿越漏洞，以及1个本地档案包含（Local File Inclusion，LFI）漏洞。

 

【资安产业动态】

全球将通力合作提升网络安全，供应链将会有一致的安全标准

南德认证检测公司（TÜV SÜD）于11月16日，发布2022年的资安预测，他们认为，网络攻击会走向有人提供有关工具的服务型态“网络犯罪即服务（Cybercrime as a Service）”，使得资安威胁加剧，但在此同时，全球对于资安的意识抬头，各国会寻求合作，共同制订网络安全标准，而且，资安也会成为消费者选购连网设备的重要考量。再者，在软件开发供应链中，同样会出现统一的资安标准。

 

【近期资安日报】

2021年11月16日

2021年11月15日

2021年11月12日