Java框架Spring重大漏洞得到修補、Ka-Sat衛星網路遭駭事故駭客以資料破壞軟體讓數據機停擺[轉載自iThome]

Java框架Spring出現的重大漏洞CVE-2022-22965，這幾天引起許多資安人員高度關注，並認為嚴重程度很有可能接近Log4Shell。Spring於3月31日發布了資安通告，提供修補此漏洞的新版軟體，並說明可能會曝露於該漏洞風險的情境，同時也提醒IT人員不能掉以輕心。

美國衛星網路業者Viasat於2月24日遭到網路攻擊，而使得部分歐洲用戶無法上網的事故，有資安業者做出更多說明，指出駭客對這些用戶的數據機進行資料破壞（Wiper）攻擊，並找到可能是俄羅斯駭客發動攻擊的證據。

在烏克蘭戰爭中，俄羅斯軍隊節節敗退，加上許多國家祭出經濟制裁，該國也出現了與過往有所不同的網路攻擊事故，一起疑似是俄羅斯自導自演，而使得該國飛航主管機關資料遭到破壞，而被迫改以紙本作業的情況；另一起則是鎖定該國反對發動戰爭人士而來的網路釣魚攻擊。

【攻擊與威脅】

Viasat衛星網路用戶的數據機遭到資料破壞軟體AcidRain攻擊

自美國衛星服務業者Viasat公布2月24日遭駭的調查結果後，有研究人員指出，駭客疑似使用了資料破壞軟體（Wiper），導致Ka-Sat部分用戶的數據機無法運作。資安業者SentinelOne指出，他們在3月15日，看到名為ukrop的ELF檔案被上傳到惡意軟體分析平臺VirusTotal，這個Linux執行檔可在MIPS架構的設備上運作，根據檔案的名稱，研究人員認為很有可能是「烏克蘭行動」的縮寫，推測該惡意軟體是專門針對烏克蘭的攻擊行動所開發，且疑似在Ka-Sat網路攻擊裡破壞數據機的檔案，研究人員將其命名為AcidRain。

有別於烏克蘭先前出現的資料破壞軟體，幾乎都是針對Windows電腦而來，AcidRain的攻擊目標是數據機，研究人員進一步追查，發現AcidRain與VPNFilter部分程式碼有共通之處，推測背後的攻擊者有可能是俄羅斯駭客組織Sandworm。

駭客鎖定俄羅斯政府機關與民眾發動釣魚郵件攻擊，疑似監控反戰人士

俄羅斯駭客在武裝行動開始以來，不斷對烏克蘭發動網路攻擊，但現在出現疑似針對國內反戰人士的行動。資安業者Malwarebytes發現針對俄羅斯政府與民眾的釣魚郵件攻擊行動，這些郵件向收信人提出警告，如果存取俄羅斯政府封鎖的網站、社群網站、即時通訊軟體，甚至企圖使用VPN服務突破政府封鎖的人士，將會面臨刑事訴訟，若是收信人想要知道細節而不慎開啟附件，電腦將可能會被植入Cobalt Strike。

研究人員指出，駭客使用RTF格式的文件檔案，並使用MSHTML重大漏洞CVE-2021-40444或其變種漏洞Cabless，來對受害電腦發動攻擊。收信人一旦開啟RTF檔案，將會下載惡意HTML檔案，進而遭到上述HTML漏洞的攻擊，並被植入Cobalt Strike而遭到監控。

中國駭客組織利用VMware遠距工作平臺Log4Shell漏洞，植入蠕蟲軟體

駭客鎖定遠距工作平臺VMware Horizon下手，並利用Log4Shell漏洞入侵受害主機的現象，最近又有相關事故。資安業者Fortinet發現中國駭客組織Deep Panda的攻擊行動，駭客鎖定VMware Horizon伺服器，並利用Log4Shell漏洞成功入侵之後，於受害主機植入蠕蟲程式Fire Chili。

研究人員指出，駭客使用了有效的簽章來規避偵測，而這些簽章的來源，疑似是從資安業者Comodo與遊戲開發商Frostburn Studios竊得。值得留意的是，這些簽章也遭到惡名昭彰的駭客組織Winnti所運用，研究人員認為可能是兩個駭客組織之間共用部分資源。

勒索軟體Hive利用新的混淆手法IPfuscation，以規避偵測

繼日前勒索軟體駭客組織Hive改以Rust開發Linux版攻擊工具後，該組織也傳出為Windows版Hive加入新的規避偵測機制。資安業者SentinelOne指出，他們看到勒索軟體Hive使用名為IPfuscation的新型態規避手法，駭客運用ASCII字元表示的IPv4位址數字，或是IPv6位址、UUID、MAC位址，來進行混淆，當勒索軟體的檔案執行時，就會將其轉換成二進位的資料，進而產生Shell Code。

由於上述字串解密之前看起來就是單純的IP位址或是MAC位址，而難以被防毒軟體察覺異狀，研究人員認為，企業很可能需要透過行為檢測的資安工具，才能識破這種攻擊手法。

想知道更多資訊，歡迎到以下連結唷!!!