资安一周第131期：北朝鲜针对资安研究人员发动攻击。大型僵尸网络Emotet基础设施被切断

1/28-2/3 一定要看的资安新闻

 

＃APT攻击

Google、微软相继揭露北朝鲜针对资安研究人员的攻击

资安研究人员经常透过社群网站来交流的情况，也成为骇客下手的途径。Google在1月25日向研究人员发出警告，由北朝鲜-支持的骇客，透过社交工程手法试图攻击资安人员，攻击者以漏洞研究合作的名义，发送Visual Studio专案档案，宣称当中含有破解漏洞的程式码，但实际上，是会连上C&C中继站的恶意软件。此外，也有部分研究员因存取攻击者建置的部落格而受到入侵。

由于Google指出，受害研究员的电脑执行最新版Windows 10等微软软件，而引起微软关注，1月28日，微软也公布调查结果，包含发动攻击的骇客组织是Zinc，以及此起攻击约从2020年中开始布局。详全文

图片来源：Google

 

＃僵尸网络  #Emotet

欧洲刑警组织与8国警方合作拿下Emotet僵尸网络

欧洲刑警组织（Europol）于1月27日宣布，在欧美多个国家的-通力合作之下，他们切断了Emotet的基础设施运作，而这是全球最危险的僵尸网络之一。这起攻坚行动是荷兰、德国、美国、英国、法国、立陶宛、加拿大，以及乌克兰等国家，与欧洲刑警组织、欧洲检查官组织（Eurojust），进行国际合作的成果。乌克兰国家警察队亦宣布，逮捕其中2名嫌犯。详全文

 

＃勒索软件攻击

美国起诉NetWalker勒索软件嫌犯，扣押45万美元加密货币

美国司法部于1月27日宣布，他们与国际警方联手，瓦解知名勒索软件骇客组织NetWalker，起诉参与攻击行动的加拿大人Sebastien Vachon-Desjardins，并扣押价值约45万美元的加密货币。而保加利亚的警方，则扣押该集团用来与受害者沟通的网站。

关于Sebastien Vachon-Desjardins的不法所得金额，美国司法部表示，总共超过2,760万美元，他们扣押的加密货币来自于其中3起攻击行动的赎金。不过，该单位并未说明这名嫌犯在组织中的角色。详全文

 

＃勒索软件攻击

英国研究与创新机构遭勒索软件攻击

英国研究与创新机构（UKRI）于1月28日公告，他们遭到骇客入侵，部分网络被加密，影响英国研究办公室（UKRO）与生物技术与生物科学研究委员会（BBSRC）所提供的服务，该单位表示，这两项服务都尚未恢复正常，尚未确定是否有资料外流。

UKRI表示，除上述2个单位，其余系统皆未受到影响，他们正对于攻击事件进行全面调查。详全文

 

＃漏洞揭露  ＃SSL VPN

导致SonicWall被骇的SSL VPN漏洞，传出已有其他攻击行动开始运用

日前SonicWall公告因为自家VPN设备出现弱点而被攻击，当时该公司仅研判，可能与SMA 100系列SSL VPN设备存在的未知漏洞有关。而在1月31日，资安公司NCC Group发布推文指出，对于这系列设备未被公开的潜在弱点，已经有骇客拿来发动攻击，经通报后此弱点也得到SonicWall的证实，并预计在2月2日提供修补程式。

不过，为了防范调查阶段骇客就开始大肆滥用漏洞，NCC Group并未透露更多细节，仅建议网管人员要加强该设备的存取监控，及早察觉是否遭到攻击。详全文

 

＃供应链攻击  ＃制造业

卡巴斯基揭露SolarWinds事故企业受害规模，近2千家企业感染Sunburst

继美国-坦承遭到SolarWinds供应链攻击，究竟有多少企业也是此起事件的受害者？卡巴斯基于1月26日指出，约有近2千家企业遭到后门程式Sunburst锁定，制造业是其中占比最高者，占18.11%。

在受害者的地区分布上，遍及美洲、非洲，以及亚太地区。美国、台湾、荷兰、俄罗斯、墨西哥、智利、印尼，以及沙特阿拉伯等国，都有企业被感染Sunburst。详全文

图片来源：卡巴斯基

 

＃漏洞揭露

存在近十年Sudo漏洞，可让Unix、Linux本机使用者取得根权限

安全厂商Qualys研究人员于1月26日揭露，Sudo程式存在权限升级漏洞CVE-2021-3156，在预设组态情况下，任何人都能取得主机上的根执行权限，而且，自2011年7月的Sudo版本就存在此漏洞。经通报后Sudo开发者已完成修补，由于Sudo在Unix与Linux操作系统相当普遍，各大Linux开发商也发布安全公告，呼吁用户尽速更新相关套件。详全文

 

＃漏洞揭露  ＃NAT

网址转译服务出现可被滥用的攻击手法，多款浏览器相继纳入防堵措施

资安研究人员Samy Kamkar与Armis研究人员揭露新的攻击手法，可绕过防火墙网址转译（NAT）机制，滥用H.323多媒体内容协定建立连线，并对内部网络环境的设备上下其手，他们将这种手法命名为NAT Slipstreaming 2.0。Google、微软、Mozilla，以及苹果也在浏览器纳入相关防堵机制，推出能防范相关攻击的Chrome 87、Edge 87、Firefox 85，以及Safari 14.0.3。

研究人员指出，NAT Slipstreaming 2.0是1.0版的变形手法，不只滥用的协定不同，2.0版的攻击范围也从1.0版的单一装置，扩及至整个内部网络环境的装置。详全文

 

＃网络诈骗  ＃网络银行

诈骗集团冒用国泰世华网络银行名义，发送钓鱼简讯行骗

内政部警政署刑事警察局于2月1日公告，他们接获多名民众报案，表示收到佯称是国泰世华网络银行的钓鱼简讯，内容宣称用户的银行账户显示异常，要求必须登入并绑定用户资料，否则账户将遭到冻结。一旦民众依照指示操作，诈骗集团便能透过窃得的网银账号密码，将受害者账户的存款转走。

该单位统计，自1月27日至29日，全国警察机关总共收到83件相关检举，账户盗用占21件，损失超过300万元，呼吁民众要提高警觉。详全文

图片来源：内政部警政署刑事警察局

 

＃网络诈骗  ＃电商网站

好物市集用户接到诈骗电话，发现是网站遭到攻击所致

电商网站好物市集于1月25日公告，他们接获用户通报，自23日下午3时起开始接到有诈骗电话的情况，该公司汇整疑似诈骗电话号码的名单，呼吁用户要多加提防。而到了29日，好物市集再度发出公告，表示他们聘请趋势科技进行调查，结果发现是恶意的网络骇客攻击行为造成。详全文

 

 

更多资安动态

●骇客在中国两大公有云发动挖矿攻击，锁定多款中介软件下手
●英国-送给小学的笔电惊传暗藏恶意软件
●勒索软件骇客组织FonixCrypter收山，释出解密金钥
●苹果推出iOS 14.4，修补3个疑遭滥用的未知漏洞