【资安日报】2021年11月19日

在勒索软件攻击中，恶名昭彰的Conti，发动攻击的情况不时有消息传出，但这个组织究竟向受害者拿到了多少赎金？最近有资安业者揭露他们协同区块链分析公司追踪的结果：光是自今年7月到现在，这个组织就进账超过2,500万美元，且有部分转入“整合钱包”（Consolidation Wallet）。虽然该公司没有说明骇客为何要使用整合钱包，但他们指出，执法单位将比较有机会追回这些赃款。

另一个比较特别的勒索软件攻击事故，是骇客发现自制的勒索软件会被受害组织的防毒软件拦截，改以WinRAR压缩软件来发动攻击，他们将受害电脑的档案打包到受密码保护的RAR压缩档，再向受害者勒索。而这种利用常见的压缩软件发动攻击的手法并非首例，今年4月，锁定威联通NAS的Qlocker勒索软件攻击，实际上就是运用开源压缩软件7-Zip来“加密”档案。

而除了勒索软件攻击的态势之余，新兴攻击手法的揭露也相当值得留意。有资安公司最近揭露了能绕过Windows事件追踪器（ETW）的攻击手法，并指出多家端点侦测与回应（EDR）系统，都会透过这个内建模组来监控电脑的活动，影响范围可能相当广泛，且因为会造成资安系统无法侦测攻击行动，攻击者一旦运用这种手法，也将会难以察觉。

【攻击与威胁】

勒索软件Conti近半年不法所得达2,550万美元

资安业者Prodaft于11月18日发布针对勒索软件Conti的研究报告，该公司与区块链分析公司Elliptic联手进行调查发现，勒索软件骇客组织Conti所持有的113个加密货币钱包，自2021年7月以来，赎金等不法所得进账至少有500个比特币，相当于2,550万美元。其中，攻击者将其中约620美元的比特币分成数笔款项，并存入“整合钱包”（Consolidation Wallet）列管，而对于骇客使用整合钱包的发现，研究人员认为有利于执法单位追讨不法所得。

勒索软件骇客以受密码保护的RAR档案发动攻击

资安业者Sophos在10月下旬，发现新的勒索软件骇客组织Memento Team，但这个组织并非使用勒索软件发动攻击，而是使用广为人知的WinRAR压缩软件，将受害电脑的档案加入被密码保护的RAR压缩档案，然后再将原始档案删除。而这个骇客组织入侵受害组织的管道，疑似是利用VMware vCenter服务器的漏洞CVE-2021-21972。

北朝鲜网络间谍组织TA406锁定多个国家发动攻击

资安业者Proofpoint指出，他们发现北朝鲜-资助的骇客组织TA406，在今年的3月和6月利用不同的恶意软件发动攻击，锁定外交政策专家、记者，以及非-组织（NGO）成员。TA406锁定的国家相当广泛，包括北美、俄罗斯、中国、韩国、日本、德国、法国、英国、南非，以及印度等。除了透过网络钓鱼发动恶意软件攻击，TA406也从事加密货币窃盗。

骇客利用网域前置手法，在缅甸组织植入Cobalt Strike

思科的威胁研究团队Talos于今年9月，发现锁定多个缅甸组织的攻击行动，并在受害组织植入Cobalt Strike。其中，针对缅甸-，攻击者运用了网域前置（Domain Fronting）的手法，借由Cloudflare的CDN，将缅甸-的网域导向攻击者的服务器。

锁定企业进行间谍行动的骇客组织RedCurl，今年已发动4起攻击

威胁情报业者Group-IB针对从事企业间谍行动的骇客组织RedCurl，公布他们追踪的结果。他们发现该组织今年发动4次攻击，其中有2次是锁定1家俄罗斯大型零售业。这2次攻击时间间隔约7个月，RedCurl疑似在第2次攻击前大幅改良攻击手法，从先前使用的批次档和PowerShell指令码进驻受害电脑，转变成使用可执行档，且成功规避防毒软件的侦测，然后在受害组织的网络横向移动。

网络钓鱼攻击利用Glitch服务窃取帐密

资安业者DomainTools揭露一起利用软件专案管理平台Glitch的网钓攻击，攻击者以看似无害的PDF档案做为诱饵，引导受害者存取建置于Glitch的钓鱼网站。这起攻击约自7月30日起开始活动，并利用免费版本Glitch网页只能执行5分钟的限制，让研究人员难以追查行踪。

冒牌Netflix注册系统挟持用户账号

卡巴斯基揭露锁定Netflix影音串流平台用户的网络钓鱼攻击，骇客同时针对想要订阅该平台服务的新用户与现有用户下手，目的是挟持使用者的Netflix账号。对于新用户而言，他们成立了冒牌的注册网页，并使用热门影片的预告来引诱新用户上当；而针对现有的Netflix用户，他们则是发送付款确认通知的钓鱼信，要求用户依照指示处理，否则将关闭账号。无论是新旧Netflix用户，一旦遵照歹徒的指引，就有可能面临信用卡遭到盗刷，或是Netflix账号被转卖给他人的情况。

研究人员揭露可绕过Windows事件追踪器的手法，恐影响EDR系统运作

固件安全业者Binarly在Black Hat Europe 2021上，揭露2种可绕过Windows事件追踪器（ETW）的攻击手法，并实际利用Process Monitor与Microsoft Defender展示。由于ETW受到不少端点侦测与回应（EDR）系统使用，此次研究人员展示的ETW绕过手法，将会让多款EDR系统无法发挥作用。虽然该公司针对Windows内建的防毒软件进行展示，但他们强调，这种手法恐导致运用ETW的资安系统失效，而且难以被发现。

 

【漏洞与修补】

Netgear网络设备存在RCE漏洞

资安研究团队Grimm指出，Netgear旗下锁定小型办公室的网络设备，包含了路由器、调制解调器、Wi-Fi讯号延伸器等，存在RCE漏洞CVE-2021-34991，一旦攻击者利用这项漏洞，可在局域网络的环境里，取得Root权限来发动远端程式码攻击，CVSS风险层级为8.8分。Netgear获报后也发布修补程式，并呼吁用户应尽速更新。

 

【资安防御措施】

美国K-12学校云端防护不足

美国的幼稚园、国小，以及中学（统称K-12）学校普遍将学校的基础设施，建置于云端，且逾半数学校（56%）认为他们的云端环境安全且兼顾隐私。但根据EdWeek研究中心与云端监控平台业者ManagedMethods联手进行的调查指出，约有半数学校对于云端环境的资安防护状态不佳，部分并未部署有关的防护系统，部分则是不清楚他们是否已拥有这类防护机制。

 

【近期资安日报】

2021年11月18日

2021年11月17日

2021年11月16日