轉載「駭客利用Office已知漏洞，透過網路釣魚散布Remcos RAT」訊息

 

駭客利用Office已知漏洞，透過網路釣魚散布Remcos RAT

資安業者Fortinet公布最新一波的木馬程式Remcos RAT攻擊行動，過程中駭客利用5年前的已知漏洞CVE-2017-0199，在後臺下載HTML應用程式檔案（HTA）啟動感染鏈。

 駭客利用RAT發動攻擊的情況，不時有事故傳出，而最近一波攻擊行動裡，攻擊者採用了新的手法來迴避偵測，因而引起研究人員的注意。

資安業者Fortinet發現假借公司業務往來的網路釣魚攻擊，駭客聲稱寄送採購單（PO）的名義，寄送帶有Excel檔案附件的釣魚信，一旦收信人開啟附件檔案，就會看到這份文件受到保護的訊息，若要檢視內容，就必須依照指示啟用編輯功能及啟用內容，然而若是照做，就會觸發遠端程式碼執行漏洞CVE-2017-0199，攻擊者藉此於後臺下載HTML應用程式檔案（HTA），並於受害電腦執行。

值得留意的是，為了避免東窗事發，此HTA採用JavaScript、VBScript等多種指令碼，並搭配Base64演算法、PowerShell指令來進行多層包裝。一旦該HTA檔案啟動，就會將dllhost.exe下載到受害電腦並執行。

此執行檔會利用處理程序挖空（Process Hollowing）手法，將惡意程式碼注入新的處理程序Vaccinerende.exe，從而在記憶體內執行Remcos RAT有效酬載，然後向C2伺服器進行註冊、接收命令，而這麼做的目的，就是避免於磁碟上留下痕跡。

【資安新聞-iThome】

駭客利用Office已知漏洞，透過網路釣魚散布Remcos RAT

詳細資訊請參考：https://www.ithome.com.tw/news/165851

轉載「惡意軟體GootLoader鎖定澳洲，針對愛貓人士下手」訊息

 

惡意軟體GootLoader鎖定澳洲，針對愛貓人士下手

資安業者Sophos發現相當具有針對性的惡意程式GootLoader攻擊行動，其中對方鎖定的對象相當特別，是針對想要在澳洲養孟加拉貓的使用者而來。

 在散布惡意軟體的手法當中，搜尋引擎最佳化中毒（SEO Poisoning）可說是相當常見，通常攻擊者會假借提供常見的應用程式及遊戲，或是破解軟體、盜版軟體的名義，引誘Google搜尋的使用者上當，但如今，有人專門針對喜好特定動物的人士而來。

資安業者Sophos揭露最新一波惡意程式GootLoader的攻擊行動，本來攻擊者就會透過搜尋引擎最佳化中毒的手法，來取得受害電腦的初始入侵管道，這次也不例外，但這波攻擊有所不同，駭客鎖定的對象，竟是詢問在澳洲養孟加拉貓是否合法的使用者。這種專門針對特定地區愛貓人士的情況，其實並不常見。

根據研究人員的調查，3月底他們在MDR用戶環境當中，察覺新的GootLoader變種開始積極活動的跡象，循線調查發現，攻擊者透過搜尋引擎最佳化中毒手法，藉由Google搜尋將使用者導向特定網路論壇，而使用者詢問的問題，是有關在澳洲養孟加拉貓是否需要執照（Do you need a license to own a Bengal cat in Australia），一旦他們執行搜尋，檢索結果列出的第一項網址，就是駭客放置的惡意廣告。

【資安新聞-iThome】

惡意軟體GootLoader鎖定澳洲，針對愛貓人士下手

詳細資訊請參考：https://www.ithome.com.tw/news/165964

轉載「D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路」訊息

 D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路

資安研究員Netsecfish上週末揭露D-Link有4款NAS機型存在資安漏洞，這個編號為CVE-2024-10914的弱點屬於命令注入漏洞，此事也得到D-Link證實，但由於設備的生命週期已經結束，他們不會進行修補。

 研究人員Netsecfish於D-Link旗下部分型號的網路儲存設備（NAS）發現重大層級的CVE-2024-10914，此為命令注入漏洞，存在於NAS設備名為account_mgr.cgi的URI，發生在CGI指令碼cgi_user_add處理name參數的過程，未經身分驗證的攻擊者有機會利用偽造的HTTP GET請求，藉由漏洞注入任意的Shell命令，估計全球約有6.1萬臺設備曝險。

 這項漏洞影響DNS-320、DNS-320LW、DNS-325，以及DNS-340L等4款機種，根據漏洞資料庫VulDB的評估，此漏洞的4.0版CVSS風險評分為9.2（滿分10分）。

 研究人員也進一步說明攻擊者如何利用這個漏洞，他們可對NAS發送特製的HTTP GET請求，並將惡意輸入的內容挾帶於name參數當中，這麼一來，就會觸發帶有name參數的cgi_user_add命令，並在設備注入Shell命令。

 針對該漏洞曝險的情況，Netsecfish透過物聯網搜尋引擎FOFA進行調查，結果從41,097個IP位址當中，找到61,147臺設備，其中英國有10,381臺最多，義大利、德國、俄羅斯居次，分別有5,835臺、4,877臺、3,936臺。

對此，11月8日D-Link發布資安公告證實上述漏洞，但也表明這些設備的產品支援狀態皆為生命週期結束（EOL）或是服務週期終止（EOS），該公司將不予處理，呼籲用戶儘速汰換設備。

 

【資安新聞-iThome】

D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路

詳細資訊請參考：https://www.ithome.com.tw/news/165945

轉載「駭客濫用DocuSign API大量傳送假發票」訊息

駭客濫用DocuSign API大量傳送假發票

資安業者Wallarm發現駭客使用真實的DocuSign帳戶及範本，來冒充諸如Norton等合法公司，並大量寄出偽造的發票，以欺騙受害者付款。

 鎖定應用程式與API安全性的資安業者Wallarm本周警告，駭客正在濫用DocuSign的Envelopes API大量寄送假發票，企業稍一不慎就可能淪為受害者。

DocuSign為一專門提供電子簽名及數位交易管理服務的業者，協助企業與個人在網路上完成文件的簽署與管理，並在美國那斯達克股市掛牌。Envelopes API是DocuSign所開發的核心API，能夠用來建立、發送與管理信封，此信封內含文件、收件人資訊及簽署指導，以自動化整個簽署流程。

然而，Wallarm發現，駭客使用真實的DocuSign帳戶及範本來冒充諸如Norton等合法公司，並大量寄出偽造的發票，以欺騙受害者付款。

駭客先建立一個合法且付費的DocuSign帳戶，接著模仿合法公司的發票範本，再大量寄出，一旦受害者簽署了該文件，駭客就能利用該簽名檔來請款。危險的是，由於發票是直接自DocuSign平臺發送的，所以並不會被企業的過濾機制攔截。

【資安新聞-iThome】

駭客濫用DocuSign API大量傳送假發票

詳細資訊請參考：https://www.ithome.com.tw/news/165851

轉載「臺灣企業臉書粉專管理員遭鎖定，駭客企圖散布竊資軟體LummaC2、Rhadamanthys」訊息

  臺灣企業臉書粉專管理員遭鎖定，駭客企圖散布竊資軟體LummaC2、Rhadamanthys

思科揭露專門針對臺灣企業臉書用戶及廣告管理員而來的攻擊行動，對方聲稱收信人的公司盜用他們的圖片及影片，揚言採取法律行動，藉此引誘收信人開啟偽製成PDF的可執行檔，於受害電腦植入竊資軟體。

鎖定臉書企業粉絲專頁或是廣告管理員的攻擊行動已出現數起，但過往這種類型的事故多半發生在國外，如今有研究人員揭露專門鎖定臺灣用戶而來的攻擊行動。

思科旗下的威脅情報團隊Talos指出，他們發現自今年7月開始，有人針對臺灣的臉書企業用戶及廣告帳號，發動相關攻擊，攻擊者以侵犯版權為由，假冒企業的法律部門，寄送帶有偽裝成PDF檔案附件的釣魚信，意圖引誘使用者下載及執行惡意程式。

在這波攻擊行動裡，對方濫用Google的Appspot[.]com網域名稱，以及短網址服務、雲端檔案共享服務Dropbox，藉此迴避網路資安系統的偵測，而能成功將竊資軟體LummaC2（Lumma Stealer）、Rhadamanthys，傳送到受害電腦。

 再者，過程中駭客也運用多種迴避防毒軟體偵測及沙箱分析機制的手法，例如：程式碼混淆、Shell Code加密處理，以及將檔案膨脹至超過700 MB等。

【資安新聞-iThome】

臺灣企業臉書粉專管理員遭鎖定，駭客企圖散布竊資軟體LummaC2、Rhadamanthys

詳細資訊請參考：https://www.ithome.com.tw/news/165853

轉載「資安小知識：地址中毒」訊息

資安小知識：地址中毒

地址中毒(address poisoning)是近年來常被駭客利用的一種精巧網路釣魚手法，該攻擊主要發生在數據透明且公開的區塊鏈上，若受害者在操作加密貨幣交易的過程中，沒有仔細逐字檢查交易帳戶地址，便會掉落攻擊者所設計的圈套中，可能造成巨大財產損失。

地址中毒之攻擊手法十分精巧，利用的是人的「習慣」，首先，攻擊者針對經常在個人多個帳戶之間進行資金轉移，或是規律向某帳號發送資金的帳戶進行監控，攻擊者可透過帳號生成器建立相似的假地址，並向受害者發送一筆交易，使得假地址被記錄到受害者的交易紀錄中，當受害者進行交易時，可能被誘導將加密貨幣轉移至攻擊者的假地址。

呼籲加密貨幣的使用者在進行貨幣交易時，避免直接從歷史交易中複製地址，並請務必逐字確認交易地址是否正確。

【資安新聞-TWCERT/CC】

資安小知識：地址中毒

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-14-8204-086d5-1.html

轉載「勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來，意圖入侵企業網路環境」訊息

勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來，意圖入侵企業網路環境

資安業者Arctic Wolf針對勒索軟體Fog、Akira的攻擊行動提出警告，表示在2個月的時間裡已出現30起攻擊行動，而且，駭客進入受害企業並加密檔案所需的時間不到一天，使得防守方更難對相關事故進行應變

9月初資安業者SonicWall針對防火牆作業系統SonicOS重大層級漏洞CVE-2024-40766（CVSS風險評分為9.3），表明他們掌握這項漏洞有實際攻擊行動出現，資安業者Arctic Wolf也觀察到相關資安事故，如今他們公布更多調查結果。

10月24日Arctic Wolf表示，他們最早是在8月初察覺勒索軟體Akira及Fog的攻擊行動顯著增加的情況，而且，駭客初期入侵受害組織環境的管道，就是利用SonicWall防火牆設備的SSL VPN帳號。

截至10月中旬，駭客已發起約30起攻擊行動，根據研究人員掌握的受害企業組織產業類型和規模，駭客很可能隨機尋找下手目標，並未針對特定產業而來。

這些資安事故當中，約有四分之三與Akira有關，其餘則是被植入Fog。研究人員提及，駭客從入侵到加密檔案的時間並不長，大部分接近10個小時，但最短的僅有1.5至2個小時。

針對駭客入侵的方法，研究人員根據防火牆的事件記錄資料進行分析，他們尚未發現利用其他已知RCE漏洞的跡象，而且，攻擊者主要是透過虛擬專用伺服器（VPS）存取SSL VPN連線。值得一提的是，駭客利用的SSL VPN帳號並未與AD或其他類似的身分驗證機制整合，但研究人員無法確認使用者有無啟用多因素驗證（MFA）機制。

【資安新聞-iThome】

勒索軟體Fog、Akira鎖定SonicWall防火牆的VPN功能而來，意圖入侵企業網路環境

詳細資訊請參考：https://www.ithome.com.tw/news/165817