资安一周第134期：针对苹果M1处理器Mac的恶意程式首度现身。Clubhouse出现聊天室转播工具引发争议

2/18-2/24 一定要看的资安新闻

 

＃恶意程式  ＃macOS  ＃Apple M1

研究人员首度发现苹果M1处理器原生恶意程式

苹果2020年底推出采用Arm架构处理器M1的Mac电脑，许多软件厂商相继打造专属此种电脑的原生应用程序，而最近，也出现针对Arm架构Mac电脑的恶意程式。在2月14日，资安研究人员Patrick Wardle揭露，他在恶意软件分析平台VirusTotal上，看到专门针对M1处理器的恶意广告程式GoSearch22。该名研究人员也指出，能识别M1版GoSearch22的防毒软件，较能够辨别x86版GoSearch22者，竟少了15%。

隔了4天，资安公司Malwarebytes、Carbon Black，以及Red Canary联手，公开第2个具备M1版的恶意程式Silver Sparrow，他们指出已有近3万台Mac电脑受到感染，受害者遍及153个国家。详全文

图片来源：Patrick Wardle

 

＃即时通讯软件

Clubhouse出现聊天室转播工具引发争议

迅速窜红的影音社交平台Clubhouse，号称提供隐密的谈话空间，并为了让用户能畅所欲言，该平台强调发言者所分享的内容，所有权都属于自己，他人未经许可不能录音与录影，或者是借着其他方式转述、分享。但最近，一位名为AI-X（Ai Eks）的中国开发人员，发布名为OpenClubhouse的应用程序，号称可让非Clubhouse用户也能即时收听聊天室的内容。而OpenClubhouse的出现，再度掀起Clubhouse对于用户隐私保护不力的议题。详全文

 

＃漏洞揭露  ＃macOS  ＃iOS  ＃WebKit

骇客滥用Safari排版引擎漏洞，将苹果用户导向诈骗网站

骇客为了骗取上网用户的个资与信用卡资讯，利用浏览器漏洞也成为突破防线的策略。最近资安厂商Confiant指出，专门发动侧录攻击的骇客组织ScamClub，利用Safari浏览器排版引擎WebKit的漏洞CVE-2021-1801，突破该排版引擎的沙箱防护机制，进而将使用者导向诈骗网站。这样的漏洞不仅影响Mac电脑与iOS装置上的Safari，采用WebKit排版引擎的其他iOS版本浏览器（如Chrome），也受到影响。

研究人员指出，在过去的90天内，骇客已用来曝光恶意广告超过5千万次。苹果获报后，也于iOS 14.4与macOS Big Sur 11.2修补此漏洞。详全文

 

＃漏洞揭露  ＃档案共享工具

跨平台档案共享软件SHAREit存在RCE漏洞

资安研究人员发现软件漏洞并进行通报，但原始软件开发厂商迟迟不予回应的情况，时有所闻。趋势科技于2月15日披露，知名跨平台档案共享软件茄子快传（SHAREit），其Android版软件存在多项漏洞，其中最严重者可能引发远端程式攻击。但他们3个月前通报至今，开发者Smart Media4U始终没有回应，他们决定揭露相关细节。开发者于23日修补漏洞。

对于此次揭露的漏洞，趋势科技也进行概念性验证，成功透过茄子快传的界面，诱使用户安装冒牌App。详全文

图片来源：趋势科技

 

＃勒索软件攻击

现代集团Kia汽车爆遭勒索软件袭击，骇客索讨2千万美元比特币

近期的勒索软件攻击，很可能因为用户察觉有异，以及攻击者宣称已经得手而曝光。根据资安新闻网站Bleeping Computer于2月17日的报导，Kia汽车美洲分公司疑似遭到勒索软件DoppelPaymer攻击，骇客要求404.5412个比特币的赎金，约相当于2千万美元。

这起事件为何会曝光？最初是16日有网友指出，她前往美国亚利桑纳州一家汽车经销商买车，经理却告知，全美国Kia的电脑，因该公司遭到勒索软件攻击而停机3天，使得该名网友无法购车。详全文

 

＃资料外泄  ＃供应链攻击

美国软件供应商Accellion遭骇，用户陆续出面指控因此受害

拥有大型客户的私有云解决方案业者Accellion，在1月12日坦承遭到攻击，骇客攻陷其档案传输设备（FTA），该公司在察觉攻击行动的72小时之内就修补了相关漏洞，并宣称只有不到50个用户受到波及。但如今有许多用户出面指控，他们遭到网络攻击，起因就是Accellion遭骇。

先是2月初华盛顿州审计官办公室指控，他们发生的资料外泄与此事有关，而近日则是有全球知名律师事务所Jones Day，以及连锁商店Kroger传出攻击事件，原因疑似与采用Accellion的FTA系统有关，甚至有公司内部资料被骇客公开的情况。详全文

 

＃账号填充攻击

欧洲IP网络资源协调中心遭账号填充攻击，呼吁用户采用双因素验证

单一登入整合（SSO）免除用户记忆大量账号与密码的不便，然而攻击者一旦成功破解帐密，就能取得执行各式应用系统的权利。欧洲IP网络资源协调中心（RIPE NCC）近日发出公告，指出他们的单一登入服务RIPE NCC Access，遭到账号填充攻击，呼吁用户采用双因素验证。

由于该组织有超过2万个会员，这些人多半是当地的IP地址分配者，假如有账号遭骇，便可能让攻击者得以重新分配IP地址。详全文

 

＃供应链攻击  ＃SolarWinds

微软证实SolarWinds攻击过程中，骇客曾下载部分Azure、Intune、Exchange元件

于2020年爆发的SolarWinds供应链攻击事件，当时微软仅证实他们内部署存在相关漏洞的SolarWinds Orion网管系统，但否认源代码外泄的传闻。而近期微软的调查结果出炉，坦承骇客曾存取部分源代码，并下载少数Azure、Intune，以及Exchange元件。而且，在2021年1月初，这些骇客仍企图利用相关账号存取微软内部资源，但并未得逞。详全文

 

＃挖矿攻击  ＃漏洞攻击

骇客发动为期2年的大规模挖矿攻击

骇客看上建置于云端的应用系统服务器资源，并用来挖矿的现象，近期时有所闻。资安厂商Palo Alto Networks于2月17日揭露名为Watchdog的挖矿程式，攻击者利用33个应用系统的漏洞，劫持Windows及Unix操作系统的服务器，暗中挖矿超过2年。是已知规模最大、时间最长的门罗币（Monero）挖矿劫持攻击。详全文

 

＃垃圾软件

骇客利用Google快讯推送冒牌Flash Player更新，诱骗用户安装垃圾软件

在收集资料的管道而言，Google快讯（Google Alerts）是许多人会使用工具，但有攻击者将其用于推送垃圾软件。根据资安新闻网站Bleeping Computer报导，他们看到Google快讯近期传送的网页链接，竟出现用户电脑的Flash Player过期的讯息，要求安装更新工具。一旦使用者信以为真并依照指示操作，电脑就会被安装名为One Updater的垃圾软件安装程式。详全文

图片来源：Bleeping Computer

 

更多资安动态

●导致SonicWall被骇的漏洞，该公司二度推出修补程式
●Google服务再度被骇客用来掩护线上交易侧录攻击
●美国非营利组织为小型医疗院所提供免费勒索软件防护
●研究人员揭露不需接收中继站指令的勒索软件Zeoticus 2.0